VPN-Konzentrator in der Cloud

VPN Verbindungen ohne öffentliche IP Adresse: VPN-Konzentrator in der Cloud

Neuer Artikel: 05.2024

notempty

Dieser Artikel bezieht sich auf eine Resellerpreview

-

Vorbemerkung

Im folgenden wird die Problemstellung, dass kein Standort eine öffentliche IP-Adresse hat, aber dennoch S2S und S2E Verbindungen ermöglicht werden sollen, behandelt.
Die zwei Szenarien unterscheiden sich nur in der Konfiguration der zweiten Hardware UTM, somit muss in beiden Fällen zunächst die allgemeine Konfiguration durchgeführt werden und anschließend die spezifische Konfiguration für das Szenario S2S oder das Szenario S2E.

Konfiguration Allgemein

Mithilfe einer weiteren UTM (im Beispiel eine virtuelle UTM in der terra Cloud) kann diese als VPN-Konzentrator die Pakete zwischen den Clients und Standorten vermittelt. Der VPN-Konzentrator verfügt dabei über eine öffentliche IP-Adresse.

Zur Umsetzung wird die Terra-Cloud-UTM als SSL-VPN Site-to-Site Server konfiguriert und die Hardware-UTM des Standort A als SSL-VPN Site-to-Site Clients.

Diese IP-Adressen werden im folgenden verwendet:

Terra-Cloud UTM	öffentliche IP: 203.0.113.203
Standort A	internes Netz: 192.168.174.0/24
Standort B	internes Netz: 192.168.173.0/24

Terra-Cloud UTM als S2S Server

Installationsassistent

Schritt 1 Schritt 1 Terracloud UTM

Im Installationsschritt 1 wird der Verbindungstyp ausgewählt, es stehen folgende Verbindungen zur Verfügung: Roadwarrior Server Site-to-Site Server Site-to-Site Client Für die Konfiguration des Site-to-Site Server wird dieser ausgewählt.	SSL-VPN Verbindung hinzufügen UTMbenutzer@firewall.name.fqdnVPNSSL-VPN Installationsschritt 1

Schritt 2 Schritt 2 Terracloud UTM
Soll ein lokales IPv6-Netz angebunden werden, muss die Option IPv6 über IPv4 verwenden: aktiviert Ja werden.	Installationsschritt 2

Schritt 3 Terracloud UTM

Lokale Einstellungen für den Site-to-Site Server

Beschriftung	Wert	Beschreibung	Installationsschritt 3
Name:	S2S-server	Eindeutiger Name
Protokoll:	UDP	Gewünschtes Protokoll wählen
Port:	1194	Der Port ist voreingestellt
Serverzertifikat:	cs-ttt-point	Auswahl des Zertifikates, mit dem der Server sich authentifiziert. Sollte noch kein Serverzertifikat vorliegen, kann dieses (und ggf. auch eine CA) in der Zertifikatsverwaltung erstellt werden. Aufruf mit Erstellung einer CA im Abschnitt CA mit der Schaltfläche + CA hinzufügen Erstellung eines Serverzertifikates im Abschnitt Zertifikate mit der Schaltfläche + Zertifikat hinzufügen Bitte beachten: Serverzertifikat: Ein aktivieren Erstellung des Client-Zertifikates mit der Schaltfläche Zertifikat hinzufügen Beide Zertifikate müssen mit der selben CA erstellt werden! Das Client-Zertifikat und die zugehörige CA werden ebenfalls zur Konfiguration der Gegenstelle (Client) benötigt. Sie müssen mit der Schaltfläche exportiert werden. Zur Nutzung bei einer UTM als Client wird das PEM-Format benötigt. Weitere Hinweise im Wiki-Artikel zur Nutzung von Zertifikaten.
Servernetzwerke freigeben:	» ✕ 192.168.173.0/24	Lokales Netzwerk von Standort B, das freigegeben werden soll. (Eingabe mit Klick in die Klickbox und anschließend über die Tastatur.)

Schritt 4 Terracloud UTM

Im Installationsschritt 4 wird das Transfernetz für den Site-to-Site Server eingetragen.

Beschriftung	Wert	Beschreibung	Installationsschritt 4
Transfer-Netzwerk:	192.168.190.0/24	Es muss eine Netzwerkadresse angegeben werden, die in keinem Netz der beteiligten Appliances verwendetet wird.
Server-Tunneladresse:	192.168.190.1/32	Die Server- und Client-Tunneladresse wird automatisch ermittelt.
IPv4 Client-Tunneladresse:	192.168.190.2/24

Schritt 5 Terracloud UTM

Beschriftung	Wert	Beschreibung	Installationsschritt 5
Name:	S2S-client	Wird automatisch aus dem in Schritt 3 festgelegtem Namen gebildet
Client-Zertifikat:	ssl-vpn-ClientA	Zertifikat des Client-Netzwerks
Clientnetzwerke freigeben:	» ✕192.168.174.0/24	Lokales Netzwerk von Standort A, das freigegeben werden soll. (Eingabe mit Klick in die Klickbox und anschließend über die Tastatur.)
notempty Das ausgewählte Zertifikat sollte mit keinem anderen Client / -Netzwerk verwendet werden.

UTM Standort A als S2S Client

Installationsassistent

Schritt 1 Schritt 1 Standort A

Im Installationsschritt 1 wird der Verbindungstyp ausgewählt, es stehen folgende Verbindungen zur Verfügung:

Roadwarrior Server
Site-to-Site Server
Site-to-Site Client

Für die Konfiguration des Site-to-Site Client wird dieser ausgewählt.

UTM v12.6.2 Cloud Konzentrator Client Konfig Schritt 1.png

Installationsschritt 1

Schritt 2 Standort A

Soll ein lokales IPv6-Netz angebunden werden, muss die Option IPv6 über IPv4 verwenden: aktiviert Ja werden.	Installationsschritt 2

Schritt 3 Standort A

Lokale Einstellungen für den Site-to-Site Client können im Schritt 3 getätigt werden. Hier kann ein Name für die Verbindung eingetragen, Protokoll ausgewählt, ein Serverzertifikat gewählt werden- durch einen Klick auf die Schaltfläche mit dem Fenster kann eine CA und ein Zertifikat importiert werden.
Beschriftung	Wert	Beschreibung	Installationsschritt 3
Name:	S2S-client	Eindeutiger Name
Protokoll:	UDP	Gewünschtes Protokoll wählen Es muss das gleiche Protokoll, wie beim Site-to-Site Server ausgewählt werden.
Client-Zertifikat:	ssl-vpn-ClientA	Auswahl des Zertifikates, mit dem der Client sich authentifiziert Hier muss das gleiche Zertifikat verwendet werden, dass beim Site-to-Site Server in Schritt 5 als Zertifikat der Gegenstelle (Client) ausgewählt wurde. Aufruf mit Abschnitt CA Schaltfläche CA importieren Import der CA vom S2S Server Abschnitt Zertifikate Schaltfläche Zertifikat importieren Import des Client-Zertifikates, das auf dem S2S Server erstellt wurde.

Schritt 4 Standort A

Dieser Installationsschritt entfällt beim Site-to-Site Client.

Schritt 5 Standort A

Im Schritt 5 wird die öffentliche Remotegateway IP-Adresse oder SPDyn-Adresse des Site-to-Site Servers als Gegenstelle eingetragen. notempty Die Portadresse muss mit einem Doppelpunkt hinter die IP-Adresse gesetzt werden. Wird der Port 1194 verwendet, kann diese Angabe auch weggelassen werden.	Installationsschritt 5

Netzwerkobjekte und Paketfilterregeln erstellen

Netzwerkobjekte Standort A

Ein neues Netzwerkobjekt kann unter Firewall Netzwerkobjekte Schaltfläche Objekt hinzufügen erstellt werden.
Beschriftung	Wert	Beschreibung	Netzwerkobjekt hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte Netzwerkobjekt für das Tunnelnetzwerk
Name:	sslvpn-S2S-ClientB-Network	Eindeutiger Name
Typ:	VPN-Netzwerk	Soll im Server-Netzwerk nur ein einzelner Host freigegeben werden, kann hier auch VPN-Host ausgewählt werden.
Adresse:	192.168.173.0/24	Lokales Netzwerk von Standort B, das freigegeben werden soll. Wurden mehrere Servernetzwerke freigegeben, muss für jedes dieser Netzwerke ein eigenes Netzwerkobjekt angelegt werden. Anschließend können die Netzwerkobjekte dann zu einer Gruppe zusammengefasst werden.
Zone:	vpn-ssl-S2S-client	Die Zone auf dem S2S Client, über die das S2S Server-Netzwerk angesprochen wird.
Gruppen:		Optional

Paketfilterregeln Standort A

Eine neue Paketfilterregel kann unter Firewall Paketfilter Schaltfläche Regel hinzufügen erstellt werden.

#	Quelle	Ziel	Dienst	NAT	Logging	Aktion	Aktiv
	internal-network	sslvpn-S2S-ClientB-Network	default-internet		3/Min	Accept	Ein
	sslvpn-S2S-ClientB-Network	internal-network	default-internet		3/Min	Accept	Ein

Konfiguration Szenario S2S

Terracloud UTM Konfiguration anpassen

Zweiten Client hinzufügen Terracloud UTM

Der zweite Client muss separat erstellt werden unter VPN SSL-VPN Schaltfläche SSL-VPN Client-Gegenstelle hinzufügen, bei der zuvor erstellten Verbindung.

Beschriftung	Wert	Beschreibung	SSL-VPN Client-Gegenstelle hinzufügen UTMbenutzer@firewall.name.fqdnVPNSSL-VPN Terracloud UTM
Name:	S2S-B-client	Eindeutiger Name
Client-Zertifikat:	ssl-vpn-ClientB	Zertifikat des Client-Netzwerks
IPv4 Tunnel Adresse:	192.168.190.3/24	Eine freie IPv4 Adresse angeben, die in dem Transfer-Netzwerk liegt.
Servernetzwerke freigeben:	» ✕192.168.174.0/24	Lokales Netzwerk von Standort A, das freigegeben werden soll. (Eingabe mit Klick in die Klickbox und anschließend über die Tastatur.)
Clientnetzwerke freigeben:	» ✕192.168.173.0/24	Lokales Netzwerk von Standort B, das freigegeben werden soll. (Eingabe mit Klick in die Klickbox und anschließend über die Tastatur.)
notempty Das ausgewählte Zertifikat sollte mit keinem anderen Client / -Netzwerk verwendet werden.

Netzwerkobjekte und Paketfilterregeln erstellen

Netzwerkobjekte Terracloud UTM

Mit der Einrichtung der Verbindung wurde ein TUN-Interface erzeugt. Es erhält automatisch die erste IP aus dem in der Verbindung konfigurierten Transfernetz und eine Zone "vpn-ssl-<servername>".
Um das Clientnetzwerk der Gegenstelle erreichen zu können, muss dafür ein Netzwerkobjekt unter Firewall Netzwerkobjekte Schaltfläche + Objekt hinzufügen angelegt werden.
Das TUN-Interface des Site-to-Site-Clients erhält ebenfalls eine IP aus diesem Netz. Diese dient als Gateway in das Subnetz des Site-to-Site-Clients. Das Subnetz des Clients muss als Netzwerkobjekt angelegt werden und befindet sich in der Zone auf dem zugehörigen TUN-Interface.

Beschriftung	Wert	Beschreibung	Netzwerkobjekte hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte
Name:	sslvpn-S2S-ClientA-Network	Eindeutiger Name
Typ:	VPN-Netzwerk	Soll im Client-Netzwerk nur ein einzelner Host freigegeben werden, kann hier auch VPN-Host ausgewählt werden.
Adresse:	192.168.174.0/24	Lokales Netzwerk von Standort A, das freigegeben werden soll Wurden mehrere Clientnetzwerke freigegeben, muss für jedes dieser Netzwerke ein eigenes Netzwerkobjekt angelegt werden. Anschließend können die Netzwerkobjekte dann zu einer Gruppe zusammengefasst werden.
Zone:	vpn-ssl-S2S-server	Die Zone auf dem S2S Server, über die das S2S Client-Netzwerk angesprochen wird.
Gruppen:		Optional

Name:	sslvpn-S2S-ClientB-Network	Eindeutiger Name	Netzwerkobjekte hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte
Adresse:	192.168.173.0/24	Lokales Netzwerk von Standort B, das freigegeben werden soll. Wurden mehrere Clientnetzwerke freigegeben, muss für jedes dieser Netzwerke ein eigenes Netzwerkobjekt angelegt werden. Anschließend können die Netzwerkobjekte dann zu einer Gruppe zusammengefasst werden.

Paketfilterregeln Terracloud UTM

Damit die Clients auf das jeweils andere Netz zugreifen können muss dies nun mithilfe von Paketfilterregeln erlaubt werden. Diese können wie folgt aussehen:

#	Quelle	Ziel	Dienst	NAT	Logging	Aktion	Aktiv
	sslvpn-S2S-ClientB-Network	sslvpn-S2S-ClientA-Network	default-internet		3/Min	Accept	Ein
	sslvpn-S2S-ClientA-Network	sslvpn-S2S-ClientB-Network	default-internet		3/Min	Accept	Ein

UTM Standort B als S2S Client

Installationsassistent

Installationsassistent Standort B

Schritt 1 Schritt 1

Im Installationsschritt 1 wird der Verbindungstyp ausgewählt, es stehen folgende Verbindungen zur Verfügung:

Roadwarrior Server
Site-to-Site Server
Site-to-Site Client

Für die Konfiguration des Site-to-Site Client wird dieser ausgewählt.

Installationsschritt 1

Schritt 2 Standort B

Soll ein lokales IPv6-Netz angebunden werden, muss die Option IPv6 über IPv4 verwenden: aktiviert Ja werden.	Installationsschritt 2

Schritt 3 Standort B

Lokale Einstellungen für den Site-to-Site Client können im Schritt 3 getätigt werden. Hier kann ein Name für die Verbindung eingetragen, Protokoll ausgewählt, ein Serverzertifikat gewählt werden- durch einen Klick auf die Schaltfläche mit dem Fenster kann eine CA und ein Zertifikat importiert werden.
Beschriftung	Wert	Beschreibung	Installationsschritt 3
Name:	S2S-client	Eindeutiger Name
Protokoll:	UDP	Gewünschtes Protokoll wählen Es muss das gleiche Protokoll, wie beim Site-to-Site Server ausgewählt werden.
Client-Zertifikat:	ssl-vpn-ClientB	Auswahl des Zertifikates, mit dem der Client sich authentifiziert Hier muss das gleiche Zertifikat verwendet werden, dass beim Site-to-Site Server in Schritt 5 als Zertifikat der Gegenstelle (Client) ausgewählt wurde. Aufruf mit Abschnitt CA Schaltfläche CA importieren Import der CA vom S2S Server Abschnitt Zertifikate Schaltfläche Zertifikat importieren Import des Client-Zertifikates, das auf dem S2S Server erstellt wurde.

Schritt 4 Standort B

Dieser Installationsschritt entfällt beim Site-to-Site Client.

Schritt 5 Standort B

Im Schritt 5 wird die öffentliche Remotegateway IP-Adresse oder SPDyn-Adresse des Site-to-Site Servers als Gegenstelle eingetragen. notempty Die Portadresse muss mit einem Doppelpunkt hinter die IP-Adresse gesetzt werden. Wird der Port 1194 verwendet, kann diese Angabe auch weggelassen werden.	Installationsschritt 5

Netzwerkobjekte und Paketfilterregeln erstellen

Netzwerkobjekte Standort B

Ein neues Netzwerkobjekt kann unter Firewall Netzwerkobjekte Schaltfläche Objekt hinzufügen erstellt werden.
Beschriftung	Wert	Beschreibung	Netzwerkobjekt hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte Netzwerkobjekt für das Tunnelnetzwerk
Name:	sslvpn-S2S-ClientA-Network	Eindeutiger Name
Typ:	VPN-Netzwerk	Soll im Server-Netzwerk nur ein einzelner Host freigegeben werden, kann hier auch VPN-Host ausgewählt werden.
Adresse:	192.168.174.0/24	Lokales Netzwerk von Standort A, das freigegeben werden soll. Wurden mehrere Servernetzwerke freigegeben, muss für jedes dieser Netzwerke ein eigenes Netzwerkobjekt angelegt werden. Anschließend können die Netzwerkobjekte dann zu einer Gruppe zusammengefasst werden.
Zone:	vpn-ssl-S2S-client	Die Zone auf dem S2S Client, über die das S2S Server-Netzwerk angesprochen wird.
Gruppen:		Optional

Paketfilterregeln Standort B

Eine neue Paketfilterregel kann unter Firewall Paketfilter Schaltfläche Regel hinzufügen erstellt werden.

#	Quelle	Ziel	Dienst	NAT	Logging	Aktion	Aktiv
	internal-network	sslvpn-S2S-ClientA-Network	default-internet		3/Min	Accept	Ein
	sslvpn-S2S-ClientA-Network	internal-network	default-internet		3/Min	Accept	Ein

Konfiguration Szenario S2E

Terracloud UTM Konfiguration anpassen

Netzwerkobjekte und Paketfilterregeln erstellen

Netzwerkobjekte Terracloud UTM

Mit der Einrichtung der Verbindung wurde ein TUN-Interface erzeugt. Es erhält automatisch die erste IP aus dem in der Verbindung konfigurierten Transfernetz und eine Zone "vpn-ssl-<servername>".
Um das Clientnetzwerk der Gegenstelle erreichen zu können, muss dafür ein Netzwerkobjekt unter Firewall Netzwerkobjekte Schaltfläche + Objekt hinzufügen angelegt werden.
Das TUN-Interface des Site-to-Site-Clients erhält ebenfalls eine IP aus diesem Netz. Diese dient als Gateway in das Subnetz des Site-to-Site-Clients. Das Subnetz des Clients muss als Netzwerkobjekt angelegt werden und befindet sich in der Zone auf dem zugehörigen TUN-Interface.

Beschriftung	Wert	Beschreibung	Netzwerkobjekte hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte
Name:	sslvpn-S2S-ClientA-Network	Eindeutiger Name
Typ:	VPN-Netzwerk	Soll im Client-Netzwerk nur ein einzelner Host freigegeben werden, kann hier auch VPN-Host ausgewählt werden.
Adresse:	192.168.174.0/24	Lokales Netzwerk von Standort A, das freigegeben werden soll Wurden mehrere Clientnetzwerke freigegeben, muss für jedes dieser Netzwerke ein eigenes Netzwerkobjekt angelegt werden. Anschließend können die Netzwerkobjekte dann zu einer Gruppe zusammengefasst werden.
Zone:	vpn-ssl-S2S-server	Die Zone auf dem S2S Server, über die das S2S Client-Netzwerk angesprochen wird.
Gruppen:		Optional

Name:	Roadwarrior-Network	Eindeutiger Name	Netzwerkobjekte hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte
Adresse:	192.168.173.0/24	Lokales Netzwerk von Standort B, das freigegeben werden soll. Wurden mehrere Clientnetzwerke freigegeben, muss für jedes dieser Netzwerke ein eigenes Netzwerkobjekt angelegt werden. Anschließend können die Netzwerkobjekte dann zu einer Gruppe zusammengefasst werden.

Paketfilterregeln Terracloud UTM

Damit die Clients auf das jeweils andere Netz zugreifen können muss dies nun mithilfe von Paketfilterregeln erlaubt werden. Diese können wie folgt aussehen:

#	Quelle	Ziel	Dienst	NAT	Logging	Aktion	Aktiv
	Roadwarrior-Network	sslvpn-S2S-ClientA-Network	default-internet		3/Min	Accept	Ein
	sslvpn-S2S-ClientA-Network	Roadwarrior-Network	default-internet		3/Min	Accept	Ein

UTM Standort B als Roadwarrior

Installationsassistent

Installationsassistent Roadwarrior

Schritt 1 Schritt 1

Im Installationsschritt 1 wird der Verbindungstyp ausgewählt.
Es stehen folgende Verbindungen zur Verfügung.

Roadwarrior Server
Site to Site Server
Site to Site Client

Für die Konfiguration des Roadwarrior Servers wird dieser ausgewählt.

UTM v12.6.2 Cloud Konzentrator RW Konfig Schritt 1.png

Einrichtung Schritt 1

Schritt 2 Roadwarrior

Soll im Quell- und Zielnetz IPv6 verwendet werden, muss dies hier ermöglicht werden.

UTM v12.6.2 Cloud Konzentrator RW Konfig Schritt 2.png

Einrichtung Schritt 2

Schritt 3 Roadwarrior

Beschriftung	Wert	Beschreibung	Einrichtung Schritt 3
Name:	Roadwarrior	Eindeutiger Name
Protokoll	UDP	Gewünschtes Protokoll wählen
Port:	1194	Der Port ist voreingestellt
Serverzertifikat:	Roadwarrior	Auswahl des Zertifikates, mit dem der Server sich authentifiziert. Sollte noch kein Serverzertifikat vorliegen, kann dieses (und ggf. auch eine CA) in der Zertifikatsverwaltung erstellt werden. Aufruf mit Erstellung einer CA im Abschnitt CA mit der Schaltfläche + CA hinzufügen Erstellung eines Serverzertifikates im Abschnitt Zertifikate mit der Schaltfläche + Zertifikat hinzufügen Bitte beachten: Serverzertifikat: Ein aktivieren Erstellung des Client-Zertifikates mit der Schaltfläche Zertifikat hinzufügen Beide Zertifikate müssen mit der selben CA erstellt werden! Das Client-Zertifikat und die zugehörige CA werden ebenfalls zur Konfiguration der Gegenstelle (Client) benötigt. Sie müssen mit der Schaltfläche exportiert werden. Zur Nutzung bei einer UTM als Client wird das PEM-Format benötigt. Weitere Hinweise im Wiki-Artikel zur Nutzung von Zertifikaten.
Servernetzwerke freigeben	» ✕192.168.173.0/24	Lokales Netzwerk von Standort A, das freigegeben werden soll. (Eingabe mit Klick in die Klickbox und anschließend über die Tastatur.)

Schritt 4 Roadwarrior

Im Installationsschritt 4 wird das Transfernetz für den Roadwarrior eingetragen.
Das Transfernetz kann frei gewählt werden, darf aber noch nicht anderweitig auf der UTM verwendet werden.

UTM v12.6.2 Cloud Konzentrator RW Konfig Schritt 4.png

Einrichtung Schritt 4

Schritt 5 Roadwarrior

Die Benutzerauthentisierung wird im letzten Schritt ausgewählt.
Danach kann der Einrichtungsassistent abgeschlossen werden.

None = Authentifizierung nur über die Zertifikate
Local = Lokale Benutzer und AD Gruppen
Radius = Radius Server

UTM v12.6.2 Cloud Konzentrator RW Konfig Schritt 5.png

Einrichtung Schritt 5

Regelwerk

Implizite Regeln Roadwarrior

Unter Firewall Implizite Regeln Bereich VPN kann das Protokoll, das für die Verbindung genutzt wird, aktiviert werden.

Im Beispiel Ein SSL-VPN UDP ➊

Diese Implizite Regel gibt die Ports, die für SSL-VPN Verbindungen genutzt werden, auf allen Schnittstellen frei. Paketfilter-Regeln anstelle von impliziten Regeln können das individuell für einzelne Schnittstellen regeln.
Soll der Anwender den Client vom User-Interface herunterladen, muss dies hier zusätzlich freigegeben werden:
Ein User Interface Portal ➋

UTM v12.6.2 Cloud Konzentrator RW Implizite Regeln.png

Gegebenenfalls muss das Userinterface auf einen anderen Port gelegt werden, wenn Port 443 an einen internen Server weitergeleitet wurde.

Netzwerkobjekte Roadwarrior

Mit der Einrichtung der Verbindung wurde ein tun-Interface erzeugt. Es erhält automatisch die erste IP-Adresse aus dem in der Verbindung konfigurierten Transfernetz und eine Zone "vpn-ssl-<servername>".

Die Roadwarrior-Clients erhalten eine IP-Adresse aus diesem Netz und befinden sich in dieser Zone.
Um den Roadwarriorn den Zugriff auf das eigene Netz zu gewähren, muss dafür ein Netzwerkobjekt angelegt werden.

Beschriftung	Wert	Beschreibung	Netzwerkobjekt hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte Netzwerkobjekt für das Tunnelnetzwerk
Name:	SSL-VPN-RW-Network	Eindeutiger Name
Typ:	VPN-Netzwerk	Passenden Typ wählen
Adresse:	192.168.192.0/24	Die Netzwerk-IP, die in Schritt 4 als Tunnel-Pool angegeben wurde.
Zone:	vpn-ssl-Roadwarrior	Die Zone auf dem Roadwarrior, über die das S2S Server-Netzwerk angesprochen wird.
Gruppen:		Optional


Beschriftung	Wert	Beschreibung	Netzwerkobjekt hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte Netzwerkobjekt für das Tunnelnetzwerk
Name:	sslvpn-S2S-ClientA-Network	Eindeutiger Name
Typ:	VPN-Netzwerk	Soll im Server-Netzwerk nur ein einzelner Host freigegeben werden, kann hier auch VPN-Host ausgewählt werden.
Adresse:	192.168.174.0/24	Lokales Netzwerk von Standort A, das freigegeben werden soll. Wurden mehrere Servernetzwerke freigegeben, muss für jedes dieser Netzwerke ein eigenes Netzwerkobjekt angelegt werden. Anschließend können die Netzwerkobjekte dann zu einer Gruppe zusammengefasst werden.
Zone:	vpn-ssl-Roadwarrior	Die Zone auf dem Roadwarrior, über die das S2S Server-Netzwerk angesprochen wird.
Gruppen:		Optional

Paketfilterregeln Roadwarrior

Es wird eine Paketfilterregel benötigt, die den RW-Clients den Zugriff auf das internal-network erlaubt, sowie zwei Weitere, die den Zugriff vom Standort A aus erlauben:

#	Quelle	Ziel	Dienst	NAT	Logging	Aktion	Aktiv
	SSL-VPN-RW-Network	internal-network	ms-rdp		3/Min	Accept	Ein
	internal-network	sslvpn-S2S-ClientA-Network	default-internet		3/Min	Accept	Ein
	sslvpn-S2S-ClientA-Network	internal-network	default-internet		3/Min	Accept	Ein