Wechseln zu:Navigation, Suche
Wiki































De.png
En.png
Fr.png









Netmap Einrichtung für einen SSL-VPN Roadwarrior

Letzte Anpassung zur Version: 12.6.0

Neu:
  • Layoutanpassung
  • Screenshots aktualisiert
notempty
Dieser Artikel bezieht sich auf eine Resellerpreview



Einleitung

In diesem Wiki wollen wir den Fall behandeln, wenn ein Roadwarrior gleichzeitig eine VPN Verbindung zu verschiedenen Zielen aufbaut, die aber jeweils das gleiche Subnetz verwenden. Weiterhin bekommt der VPN-Client auch noch eine Adresse aus dem gleichen Roadwarrior Pool von den VPN-Servern. In diesem Fall hätte der Client natürlich das Problem, dass er nicht zwischen den Zielen unterscheiden kann.

Hierbei kann der NAT-Typ NETMAP Abhilfe schaffen.


Netmap-SSL-RW.png

In unserem Beispiel nehmen wir die folgenden Vorgaben an:

Roadwarrior Pool: 192.168.0.0/24
Internes Netz der Standorte: 192.168.175.0/24
Netmap-Netz des ersten Standort: 192.168.1.0/24
Netmap-Netz des zweiten Standort: 192.168.2.0/24

Weiterhin gehen wir davon aus, dass die SSL-VPN Roadwarrior Verbindung bereits eingerichtet ist und funktioniert.


Konfiguration des SSL-VPN Roadwarriorserver mit Netmap

Vorbereitungen

Firewall Netzwerkobjekte  Schaltfläche Netzwerkobjekt bearbeiten UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte UTM v12.6 SSL-VPN VPN-Roadwarrior-Netmap Netzwerkobjekt bearbeiten.png Netzwerkobjekt auf Adresse umstellen
Zur Nutzung der NETMAP Funktion sind folgende Bedingungen zu beachten:
  • Die Subnetze der am NETMAP beteiligten Objekte müssen alle die gleiche Größe haben, zum Beispiel alle /24.
  • Alle beteiligten Objekte müssen eine definierte Netzwerk IP-Adresse eingetragen haben. Es dürfen also keine Schnittstellen ausgewählt werden.

Das Netzwerkobjekt des Internen Netzwerkes darf nicht auf die Schnittstelle eingerichtet sein. Dieses kann gegebenenfalls auf Adresse umgestellt werden, indem die Adresse in die Drop-Down Schaltfläche eingetragen wird. In diesem Beispiel haben wir auf beiden Seiten das Netzwerk 192.168.175.0/24.

Einstellung im SSL-VPN Server

VPN SSL-VPN  Schaltfläche SSL-VPN Verbindung bearbeiten UTMbenutzer@firewall.name.fqdnVPNSSL-VPN UTM v12.6 SSL-VPN VPN-Roadwarrior-Netmap Verbindung bearbeiten.png Netmap Adresse im Roadwarrior-Server
Unter Servernetzwerke freigeben wird nur das Netmap-Netz eingetragen und nicht das Original Subnetz des internen Netzwerks.

Sollten weitere Subnetze an den Client übermittelt werden, muss vorher überprüft werden, dass diese nicht auch auf anderen Zielen vorhanden sind.

Netzwerkobjekte erstellen

Neben dem vorhandenen Netzwerkobjekt für den Roadwarrior wird ein weiteres für das Netmap-Netz mit den folgenden Eigenschaften benötigt, um eine entsprechende Paketfilterregel zu erstellen:


Bezeichnung Wert Beschreibung Netzwerkobjekt hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte UTM v12.6 SSL-VPN VPN-Roadwarrior-Netmap Netzwerkobjekt hinzufuegen.png Netzwerkobjekt für Netmap-Netz
Name: Netmap-Netz Ist frei wählbar.
Typ: Netzwerk (Adresse)
Adresse: 192.168.1.0/24 Das Subnetz, das für Netmap verwendet werden soll.
Zone: internal Die Netzwerkzone, in der sich auch das Netzwerk befindet, mit deren Hosts der Client eine Verbindung per VPN herstellen soll.

Paketfilterregeln

Die erste Paketfilter Regel wird schon vorhanden sein, denn die SSL-VPN Verbindung wurde ja schon angelegt und funktioniert, wenn vom Client nicht gleichzeitig eine weitere Verbindung zu einem anderen Ziel mit dem selben Subnetz aufgebaut wird.

Bei dieser Paketfilterregel geht es um die grundsätzliche Steuerung der Datenübertragung vom Roadwarrior zum Internen Netzwerk mit bestimmten Diensten. Hierbei ändert sich auch nichts.

Regel bearbeiten UTMbenutzer@firewall.name.fqdnFirewallPaketfilter UTM v12.6 SSL-VPN VPN-Roadwarrior-Netmap Regel bearbeiten.png Paketfilterregel für Roadwarrior
Die zweite Paketfilterregel ist neu und bezieht sich auf das Netmap. Diese hat die folgenden Eigenschaften:
Bezeichnung Wert Beschreibung Regel hinzufügen UTMbenutzer@firewall.name.fqdnFirewallPaketfilter UTM v12.6 SSL-VPN VPN-Roadwarrior-Netmap Regel erstellen.png Paketfilterregel für Netmap
Allgemein
Quelle: Network.svginternal-network Netzwerk, auf das der Roadwarrior Zugriff haben soll.
Ziel: Vpn-network.svgRoadwarrior Netzwerk des Roadwarrior.
Dienst: Other.svgany Die any Regel sollte nur bei Netmap verwendet werden, da sie keine Einschränkungen hat.
Aktion: ACCEPT
[ - ] NAT
Typ: NETMAP
Netzwerkobjekt: Network.svgNetmap-Netz
Dienst: Other.svgany Die any Regel sollte nur bei Netmap verwendet werden, da sie keine Einschränkungen hat.

Die Übersicht der Paketfilter sollte nun folgende Zeilen enthalten:

# Quelle Ziel Dienst NAT Aktion Aktiv
Dragndrop.png 5 Vpn-network.svg Roadwarrior Network.svg internal-network Tcp.svg ms-rdp Accept Ein
Dragndrop.png 6 Network.svg internal-network Vpn-network.svg Roadwarrior Other.svg any NM Accept Ein

Hinweise

Der VPN Client muss die Verbindung neu aufbauen, damit dieser auch das korrekte Subnetz übermittelt bekommt.

Der Zugriff vom Client auf einen Host im internen Netzwerk erfolgt dann über die IP-Adresse 192.168.2.x, da hier die Subnetzmaske /24 definiert wurde. Das letzte Oktett ist also die Original Host-IP.
Wenn wir in diesem Beispiel also den Host mit der Original IP-Adresse 192.168.0.1 ansprechen möchten, muss der Client die IP-Adresse 192.168.2.1 verwenden um diesen zu erreichen.

Der Client kann hier nur mit IP-Adressen auf die Hosts im internen Netzwerk zugreifen. Eine DNS Abfrage würde zur Folge haben, dass die Original IP des Hosts übertragen werden würde und darüber ist dieser vom Client nicht mehr erreichbar.