Wechseln zu:Navigation, Suche
Wiki




























De.png
En.png
Fr.png




Letzte Anpassung zur Version: 12.2.2
Neu:
  • Ab v12.2.2 müssen statische IP-Adressen innerhalb des DHCP-Pools liegen.
    Der Pool im Beispiel wurde daher erweitert.

Vorherige Versionen: 12.2



Ausgangslage

Viele Anbieter von Serviceleistungen verlangen für die Anbindung an die eigene Serverlandschaft einen eigenen VPN-Router, der eine gesicherte Verbindung dorthin aufbaut und über den die Verbindungen geroutet werden.
Für die Implementierung im Kunden-Netzwerk gibt es verschiedene Ansätze. Dieser Artikel geht auf die Problematiken einer solcher Implementierung ein und gibt einen Vorschlag zur optimalen Integration in Kundennetzwerke.


Routing Probleme

Wird der Router einfach mit in das interne Netz aufgenommen, dann ergibt sich zunächst ein Routing- Problem:
Verbindungen in das Netzwerk des Drittanbieters müssen über diesen Router gehen. Ein lokales Routing auf den Geräten des Netzwerks kommt nicht in Frage. Ein Routing über die Firewall ist ebenfalls problematisch.

Beim Herstellen einer TCP-Verbindung ergibt sich hier ein asynchrones Routing:
Wird von einem Gerät eine solche Verbindung initiiert, wird das SYN-Paket des TCP-Dreiwege- Handshakes zunächst zur UTM und dann über den Router des Drittanbieters geroutet. Das SYN/ACK-Paket des Responders aus dem Netz des Drittanbieters wird hingegen vom Router direkt an den Initiator zugestellt und nicht über die UTM. Das dritte Paket des Dreiwege-Handshakes (ACK) geht wieder über die UTM und wird dort vom Paketfilter aufgrund eines unplausiblen Status verworfen (Stateful Inspection).


Zero-Trust Problem

Selbst wenn die zuvor beschriebenen Routingprobleme gelöst bzw. umgangen werden konnten, entziehen sich die Verbindungen in das Netz des Drittanbieters der Kontrolle der UTM (Virenscanner, Webfilter, Portfilter, …) was bei einem nicht vertrauenswürdigen Netz nicht akzeptabel ist. Eine Integration in bestehende Kundennetzwerke sollte daher nicht in Betracht gezogen werden.


Lösungen

Fremdrouter-09.png

Alle beschriebenen Probleme können gelöst werden, indem der Router in ein separates Subnetz an der UTM gestellt wird und ein Transfernetzwerk etabliert wird. Das ist prinzipiell mit jeder UTM-Appliance von Securepoint möglich. Es wird lediglich eine weitere freie Ethernet-Schnittstelle oder VLAN-Schnittstelle benötigt.


Vorgehensweise

  • Voraussetzungen:
    • Gegeben sei ein internes Netzwerk 10.0.0.0/24 an LAN2.
    • Es ist eine weitere Schnittstelle an der UTM verfügbar, die bisher noch nicht genutzt wurde (LAN3)
  • Ziel:
    • Über den Router eines Dienstanbieters soll die Verbindung in ein privates Subnetz 172.16.0.0/16 hergestellt werden.
  • Vorgehen:
    • Die ungenutzte Schnittstelle (LAN3) soll das Subnetz 10.0.1.0/24 mit der IP 10.0.1.1 bekommen.
    • Der Router des Dienstanbieters erhält die IP 10.0.1.100
    • Um die Einbindung des Routers zu vereinfachen soll die UTM in diesem Subnetz als DHCP-Server dienen.
      Hierzu soll ein fester Lease für das Router-Interface mit der IP 10.0.1.100 konfiguriert werden.



Netzwerkkonfiguration

Beschriftung Wert Beschreibung Fremdrouter-01.png
Konfiguration der DMZ-Schnittstelle
IP-Adressen: »10.0.1.1/24 Zur Konfiguration von LAN3 wird unter → Netzwerk →Netzwerkkonfiguration die Netzwerkkonfiguration und dann das Interface LAN3 zur Bearbeitung geöffnet. Unter „IP- Adressen“ wird nun die IP 10.0.1.1/24 eingetragen und gespeichert.
DHCP-Pool anlegen

Es wird ein DHCP-Pool für dynamische Adressen vergeben.
Unter dem Reiter DHCP- Pools wird die Schaltfläche Pool hinzufügen betätigt und folgendermaßen konfiguriert:
Schritt 1

Name: dmz-pool Pool Name UTM v12.2.3 Netzwerk Netzwerkkonfiguration DHC-Pools.png
Konfigurierter DHCP-Pool
Pool Startadresse: 10.0.1.10/---  Erste IP-Adresse, die per DHCP vergeben werden kann
Pool Endadresse: 10.0.1.200/--- 
aktualisiert
Letzte IP-Adresse, die per DHCP vergeben werden kann
Schritt 2
Nameserver: 10.0.1.1/---  Als Nameserver dient die UTM selbst, also die IP der zugehörigen Schnittstelle
Schritt 3
Router 10.0.1.1/---  Als Router dient die UTM selbst, also die IP der zugehörigen Schnittstelle

Lease hinzufügen

Im Reiter Statisches DHCP wird mit der Schaltfläche Lease hinzufügen ein fester Lease für den Router hinzugefügt.

Host: Router Name für den Host (zur eindeutigen Zuordnung) UTM v12.2 Netzwerkschnittstellen Lease hinzufügen.png
Statische IP-Adresse für den Router des Diensteanbieters
Ethernet __:__:__:__:__:__ MAC-Adresse des Routers des Diensteanbieters
IP: 10.0.1.100/---  Statische IP-Adresse für den Router des Diensteanbieters, die per DHCP zugewiesen werden soll
Route hinzufügen

Die UTM muss eine Route in das Netzwerk des Diensteanbieters über diesen Router haben.
Unter dem Reiter Routing und nach Betätigen der Schaltfläche Route hinzufügen wird folgendes konfiguriert:

Quellnetzwerk:     Die Angabe eines Quellnetzwerks ist nicht erforderlich. UTM v12.2 Netzwerkschnittstellen Route hinzufügen.png
Gateway-IP: 10.0.1.100/---  IP des Routers des Diensteanbieters
Gateway-Schnittstelle LAN1
Zielnetzwerk 172.16.0.0/16 Netz-IP des Dienstanbieters mit Subnetzmaske
Gewichtung 0Link=

Regelwerk

Zur Gestaltung des Regelwerks werden zwei Netzwerkobjekte gebraucht.
Für den Router:

Name: Diensteanbieter Router Frei wählbarer Name UTM v12.2 Netzwerkobjekt Diensteanbieter-Router.png
Netzwerkobjekt für den Router
Typ: Host
Adresse 10.0.1.100/---  IP-Adresse, die als Static Lease per DHCP an den Router des Diensteanbieters vergeben wurde
Zone: dmz1
Gruppen:     Optional. Ggf. kann das Netzwerkobjekt Gruppen hinzugefügt werden
Für das Netzwerk des Diensteanbieters:
Name: Diensteanbieter Netzwerk Frei wählbarer Name UTM v12.2 Netzwerkobjekt Diensteanbieter-Nezwerk.png
Typ: Netzwerk (Adresse)
Adresse 172.16.0.0/16 Netz-IP des privaten Netzwerkes, zu dem der VPN-Tunnel geht, der durch den Router des Diensteanbieters aufgebaut wird
Zone: dmz1
Gruppen:     Optional. Ggf. kann das Netzwerkobjekt Gruppen hinzugefügt werden


Portfilterregeln

Die benötigten Portfilterregeln hängen davon ab, welches VPN-Verfahren der Router nutzt und welche Dienste innerhalb der gesicherten Verbindung benötigt werden.
Annahmen für dieses Beispiel:

  • Die Verbindung erfolgt über IPSec
  • Im Netzwerk des Diensteanbieters sollen verschiedene Terminalserver über das RDP-Protokoll erreicht werden
# Quelle Ziel Dienst NAT Aktion Aktiv
Freigabe der IPSec-Verbindung Dragndrop.png 4 Host.svg Diensteanbieter Router World.svg internet Service-group.svg ipsec HN Accept Ein
DNS-Freigabe, damit der Router seinen VPN-Server über einen Hostnamen ansprechen kann Dragndrop.png 5 Host.svg Diensteanbieter Router Interface.svg dmz1-interface Service-group.svg dns Accept Ein
Zugriff auf Netzwerk des Diensteanbieters Dragndrop.png 6 Network.svg internal-network Network.svg Diensteanbieter Netzwerk Tcp.svg ms-rdp Accept Ein

Zusammenfassung

Durch die Integration des Diensteanbieter-Routers in die DMZ wurden sämtliche beschriebenen Routing-Probleme beseitigt und gleichzeitig die Kontrolle über sämtliche Verbindungen in und aus dem eigenen Netzwerk beibehalten.