Wechseln zu:Navigation, Suche
Wiki

IPSec Site-to-Site-Ziele mit einem SSL-VPN erreichen

Aus Securepoint Wiki



























































































SSL-VPN zu IPSec3.png
Netzwerkskizze Ausgangslage
De.png
En.png
Fr.png





Mit einem SSL-VPN Roadwarrior auf ein Netzwerk hinter einer IPSec Site-to-Site Verbindung zugreifen
Letzte Anpassung: 04.2022
Neu:
  • Ergänzung der Regeln, die für die IPSec-Verbindung ohne implizite Regeln benötigt werden
  • Layoutanpassung der Portfilterregeln

Vorherige Versionen: -

Ausgangslage

  • Ein Netzwerk am Standort A ist über eine IPSec-Site-to-Site-Verbindung mit einem Netzwerk an Standort B verbunden
  • Es besteht eine SSL-VPN-Verbindung von einem Roadwarrior zu dem Netzwerk an Standort B

Ziel:

  • Das Interne Netzwerk an Standort A soll für den Roadwarrior über die SSL-VPN-Verbindung zu Standort B erreichbar sein.


Konfiguration:

  • Standort A:
    Internes Netzwerk: 192.168.218.0/24
  • Standort B:
    Internes Netzwerk: 192.168.219.0/24
  • Roadwarrior:
    SSL-VPN-Verbindung zu Standort B
    Transfernetz-IP: 10.10.10.0/24

IPSec Site-to-Site Verbindung einrichten

Ein Anleitung zur Konfiguration einer IPSec-Site-to-Site Verbindung gibt es in diesem Wiki.

SSL-VPN Verbindung einrichten

Ein Anleitung zur Konfiguration einer SSL-VPN Verbindung für Roadwarrior gibt es in diesem Wiki.


Anpassen der Konfiguration

SSL-VPN-Verbindung bearbeiten

Standort B
Anpassen der SSL-VPN-Roadwarrior Verbindung unter → VPN →SSL-VPN Schaltfläche der Verwendeten Verbindung, Reiter Allgemein

Beschriftung Wert Beschreibung UTMv12.2 SSL-VPN-zu-IPSec-Servernetzwerke.png
Servernetzwerke hinzufügen
Servernetzwerke freigeben: »192.168.219.0/24»192.168.218.0/24 In diesem Beispiel wurde das interne Netzwerk des Standortes B (192.168.219.0/24) bereits durch die SSL-VPN-Verbindung freigegeben.
Zusätzlich muss nun noch das interne Zielnetzwerk an Standort A, auf das der Roadwarrior zugreifen soll freigegeben werden.
Speichern Angaben mit der Schaltfläche Speichern übernehmen
SSL-VPN Verbindung neu starten mit der Schaltfläche Neustarten
  • Die SSL-VPN-Verbindung auf dem Roadwarrior muss einmal beendet und neu aufgebaut werden, damit das neue Servernetzwerk gepuscht werden kann


    • Konfiguration mit Anpassung der IPSec-Verbindung

    Das Transfernetz des Roadwarriors muss auf beiden UTMs in der Phase 2 der IPSec Verbindung eingetragen werden.
    Konfiguration unter → VPN →IPSec Schaltfläche Phase 2 der verwendeten Verbindung, Reiter Subnetze, Schaltfläche IPSec Verbindung hinzufügen

    Anpassen der IPSec-Verbindung
    Standort A
    Beschriftung Wert Beschreibung UTMv12.2 SSL-VPN-zu-IPSec-Phase2 Subnetz-hinzufügenA.png
    Subnetz hinzufügen in Phase 2 / Standort A     UTMv12.2 SSL-VPN-zu-IPSec-Phase2 SubnetzeA.png
    Ergänzte Subnetze in Phase 2 / Standort A
    Lokales Netzwerk: 192.168.218.0/24 Das lokale Zielnetzwerk muss am Standort A als Lokales Netzwerk eingetragen werden
    Remote Netzwerk: 10.10.10.0/24 Das Transfernetz des Roadwarriors (hier 10.10.10.0/24) muss am Standort A als Remote-Netzwerk eingetragen werden
    Subnetze hinzufügen mit Speichern
    Änderungen der Phase 2 übernehmen ebenfalls mit der Schaltfläche Speichern
    IPSec-Verbindung neu starten mit der Schaltfläche Neustarten


    Standort B
    Beschriftung Wert Beschreibung UTMv12.2 SSL-VPN-zu-IPSec-Phase2 Subnetz-hinzufügen.png
    Subnetz hinzufügen in Phase 2 / Standort B     UTMv12.2 SSL-VPN-zu-IPSec-Phase2 Subnetze.png
    Ergänzte Subnetze in Phase 2 / Standort B
    Lokales Netzwerk: 10.10.10.0/24 Das Transfernetz des Roadwarriors (hier 10.10.10.0/24) muss am Standort B als Lokales Netzwerk eingetragen werden
    Remote Netzwerk: 192.168.218.0/24 Das interne Zielnetzwerk (in Standort A) muss am Standort B als Remote-Netzwerk eingetragen werden
    Subnetze hinzufügen mit Speichern
    Änderungen der Phase 2 übernehmen ebenfalls mit der Schaltfläche Speichern
    IPSec-Verbindung neu starten mit der Schaltfläche Neustarten


    Netzwerkobjekt am Standort A anlegen

    Standort A
    Diese Regel ist nicht erforderlich, wenn die IPSec-Verbindung über implizite Regeln erlaubt wurde.
    Davon ist jedoch im Regelfall abzuraten, da implizite Regeln die Ports, die für IPSec Verbindungen genutzt werden, allen Schnittstellen freigeben.
    Netzwerkobjekt anlegen im Reiter → Firewall →PortfilterReiter Netzwerkobjekte Schaltfläche Objekt hinzufügen

    Beschriftung Wert Beschreibung UTM v12.2 SSL-VPN zu IPSec Netzwerkobjekt StandortA.png
    Name: IPSec Ziel frei wählbarer Name
    Typ: VPN-Netzwerk Auch, wenn es sich nur um einen einzigen Roadwarrior handelt, wird für die Anbindung eine Tunnel-Netz-IP verwendet. Daher ist hier der Typ Netzwerk auszuwählen.
    Adresse: 10.10.10.0/24 Die Netz-IP des SSL-VPN Transfer Netzes aus Standort B
    Zone: vpn-ipsec Die Zone entspricht der IPSec-Verbindung
    Gruppen:     Ggf. kann das Netzwerkobjekt einer Gruppe hinzugefügt werden
    Speichern und schließen Netzwerkobjekt mit dieser Schaltfläche speichern und hinzufügen


    Portfilter-Regel Standort A

    Standort A Portfilter Regel anlegen im Reiter → Firewall →PortfilterReiter Portfilter Schaltfläche Regel hinzufügen

    Quelle Vpn-network.svg SSL-VPN-RW-Network Netzwerkobjekt des Roadwarrior-Netzwerkes
    Ziel Network.svg internal-network Internes Zielnetzwerk, auf daß der Roadwarrior zugreifen können soll
    Dienst Service-group.svg xyz Gewünschter Dienst oder Dienstgruppe
    ╭╴NAT╶╮ Typ: Hidenat_Exclude Um sicher zu stellen, daß nicht durch eine andere Regel ein HideNAT durchgeführt wird kann an dieser Stelle ein HideNAT-Exclude bestimmt werden.
    ╭╴NAT╶╮ Netzwerkobjekt Interface.svg external-interface



    Anzeige der Portfilter-Regel in der Übersicht

    # Quelle Ziel Dienst NAT Aktion Aktiv
    Bereits existierende Regel, die den Aufbau des IPSec-Tunnels ermöglicht
    Diese Regel ist nicht erforderlich, wenn die IPSec-Verbindung über implizite Regeln erlaubt wurde.
    Davon ist jedoch im Regelfall abzuraten, da implizite Regeln die Ports, die für IPSec Verbindungen genutzt werden, allen Schnittstellen freigeben.
    		Dragndrop.png 4 World.svg internet Interface.svg external-interface Service-group.svg ipsec Accept Ein
    Existierende Regel, die den Zugriff des lokalen Netzwerkes auf das IPSec-Netzwerk erlaubt
    Diese Regel ist nicht erforderlich, wenn die IPSec-Verbindung über implizite Regeln erlaubt wurde.
    Davon ist jedoch im Regelfall abzuraten, da implizite Regeln die Ports, die für IPSec Verbindungen genutzt werden, allen Schnittstellen freigeben.
    		Dragndrop.png 5 Network.svg internal-network Vpn-network.svg IPSec-Network Service-group.svg Gewünschter Dienst oder Dienstgruppe HNE Accept Ein
    Existierende Regel, die den Zugriff des IPSec-Netzwerkes auf das lokale Netzwerk erlaubt
    Diese Regel ist nicht erforderlich, wenn die IPSec-Verbindung über implizite Regeln erlaubt wurde.
    Davon ist jedoch im Regelfall abzuraten, da implizite Regeln die Ports, die für IPSec Verbindungen genutzt werden, allen Schnittstellen freigeben.
    		Dragndrop.png 6 Vpn-network.svg IPSec Network Network.svg internal-network Service-group.svg Gewünschter Dienst oder Dienstgruppe Accept Ein
    Neue Regel, die dem Roadwarrior über das SSL-VPN-Netzwerkobjekt den Zugriff auf das interne Netzwerk erlaubt Dragndrop.png 7 Vpn-network.svg SSL-VPN-RW-Network Host.svg IPSec Ziel Service-group.svg Gewünschter Dienst oder Dienstgruppe HNE Accept Ein
  • Die Regel wird erst angewendet, wenn die Schaltfläche Regeln aktualisieren betätigt wird!



    • Netzwerkobjekt am Standort B anlegen

    Standort B
    Anlegen eines Netzwerkobjektes für das Zielnetzwerk unter → Firewall →PortfilterReiter Netzwerkobjekte Schaltfläche Objekt hinzufügen

    Beschriftung Wert Beschreibung UTMv12.2 SSL-VPN-zu-IPSec-Netzerkobjekt ipsec.png
    Name: IPSec Ziel frei wählbarer Name
    Typ: VPN-Netzwerk
    Adresse: 192.168.218.0/24 Die Netz-IP des internen Zielnetzwerkes, auf das zugegriffen werden soll
    Zone: vpn-ipsec Die Zone entspricht der IPSec-Verbindung
    Gruppen:     Ggf. kann das Netzwerkobjekt einer Gruppe hinzugefügt werden
    Speichern und schließen Netzwerkobjekt mit dieser Schaltfläche speichern und hinzufügen


    Portfilter-Regel Standort B

    Standort B
    Portfilter Regel anlegen im Reiter → Firewall →PortfilterReiter Portfilter Schaltfläche Regel hinzufügen

    Quelle Vpn-network.svg SSL-VPN-RW-Network Netzwerkobjekt des Roadwarrior-Netzwerkes
    Ziel Vpn-network.svg IPSec Ziel Netzwerk, auf das zugegriffen werden soll
    Dienst Service-group.svg xyz Gewünschter Dienst oder Dienstgruppe


    ╭╴NAT╶╮ Typ: Hidenat_Exclude Um sicher zu stellen, daß nicht durch eine andere Regel ein HideNAT durchgeführt wird kann an dieser Stelle ein HideNAT-Exclude bestimmt werden.
    ╭╴NAT╶╮ Netzwerkobjekt Interface.svg internal-interface
  • Das SSL-VPN-Netzwerk wird an dieser Stelle wie ein internes Netzwerk behandelt!

    • Speichern der Regel mit der Schaltfläche Hinzufügen und schließen


    Anzeige der Portfilter-Regel in der Übersicht

    # Quelle Ziel Dienst NAT Aktion Aktiv
    Bereits existierende Regel, die den Aufbau des IPSec-Tunnels ermöglicht
    Diese Regel ist nicht erforderlich, wenn die IPSec-Verbindung über implizite Regeln erlaubt wurde.
    Davon ist jedoch im Regelfall abzuraten, da implizite Regeln die Ports, die für IPSec Verbindungen genutzt werden, allen Schnittstellen freigeben.
    		Dragndrop.png 4 World.svg internet Interface.svg external-interface Service-group.svg ipsec Accept Ein
    Existierende Regel, die den Zugriff des lokalen Netzwerkes auf das IPSec-Netzwerk erlaubt
    Diese Regel ist nicht erforderlich, wenn die IPSec-Verbindung über implizite Regeln erlaubt wurde.
    Davon ist jedoch im Regelfall abzuraten, da implizite Regeln die Ports, die für IPSec Verbindungen genutzt werden, allen Schnittstellen freigeben.
    		Dragndrop.png 5 Network.svg internal-network Vpn-network.svg IPSec-Network Service-group.svg Gewünschter Dienst oder Dienstgruppe HNE Accept Ein
    Existierende Regel, die den Zugriff des IPSec-Netzwerkes auf das lokale Netzwerk erlaubt
    Diese Regel ist nicht erforderlich, wenn die IPSec-Verbindung über implizite Regeln erlaubt wurde.
    Davon ist jedoch im Regelfall abzuraten, da implizite Regeln die Ports, die für IPSec Verbindungen genutzt werden, allen Schnittstellen freigeben.
    		Dragndrop.png 6 Vpn-network.svg IPSec Network Network.svg internal-network Service-group.svg Gewünschter Dienst oder Dienstgruppe Accept Ein
    Neue Regel, die dem Roadwarrior den Zugriff auf das IPSec-Zielnetzwerk erlaubt Dragndrop.png 7 Vpn-network.svg SSL-VPN-RW-Network Network.svg IPSec Ziel Service-group.svg Gewünschter Dienst oder Dienstgruppe HNE Accept Ein
  • Die Regel wird erst angewendet, wenn die Schaltfläche Regeln aktualisieren betätigt wird!



    • Konfiguration mit HideNat-Regel

    Besteht kein Zugriff auf die Konfiguration an Standort A, kann auch eine Regel mit HideNat verwendet werden. Dies ersetzt dann die Übergabe der Netz-IP des SSL-VPN-Transfernetzes in Phase 2 der IPSec-Verbindung.

    Da hierbei IP-Adressen ausgetauscht werden, kann dies zu Problemen z.B. mit VoIP oder FTP führen.

    Netzwerkobjekt am Standort B anlegen

    Standort B
    Anlegen eines Netzwerkobjektes für das Zielnetzwerk unter → Firewall →PortfilterReiter Netzwerkobjekte Schaltfläche Objekt hinzufügen

    Beschriftung Wert Beschreibung UTMv12.2 SSL-VPN-zu-IPSec-Netzerkobjekt.png
    Name: IPSec Ziel frei wählbarer Name
    Typ: Netzwerk (Adresse) Wichtig: Die SSL-VPN-Verbindung bekommt nicht mit, daß es sich um eine weitere VPN-Verbindung handelt.
    Daher darf hier kein VPN-Netzwerk ausgewählt werden!
    Adresse: 192.168.218.0/24 Die Netz-IP des internen Zielnetzwerkes, auf das zugegriffen werden soll
    Zone: external external
    Gruppen:     Ggf. kann das Netzwerkobjekt einer Gruppe hinzugefügt werden
    Speichern und schließen Netzwerkobjekt mit dieser Schaltfläche speichern und hinzufügen


    Portfilter-Regel Standort B

    Standort B
    Portfilter Regel anlegen im Reiter → Firewall →PortfilterReiter Portfilter Schaltfläche Regel hinzufügen

    Quelle Vpn-network.svg SSL-VPN-RW-Network Netzwerkobjekt des Roadwarrior-Netzwerkes
    Ziel Host.svg IPSec Ziel Netzwerk, auf das zugegriffen werden soll
    Dienst Service-group.svg xyz Gewünschter Dienst oder Dienstgruppe
    ╭╴NAT╶╮ Typ: Hidenat Die Adressen müssen vom Roadwarrior-Netz ind das Zielnetzwerk übersetzt werden
    ╭╴NAT╶╮ Netzwerkobjekt Interface.svg internal-interface
  • Das SSL-VPN-Netzwerk wird an dieser Stelle wie ein internes Netzwerk behandelt!

    • Speichern der Regel mit der Schaltfläche Hinzufügen und schließen


    Anzeige der Portfilter-Regel in der Übersicht

    # Quelle Ziel Dienst NAT Aktion Aktiv
    Dragndrop.png 7 Vpn-network.svg SSL-VPN-RW-Network Host.svg IPSec Ziel Service-group.svg Gewünschter Dienst oder Dienstgruppe HN Accept Ein
  • Die Regel wird erst angewendet, wenn die Schaltfläche Regeln aktualisieren betätigt wird!



    • Abgerufen von „https://wiki.securepoint.de/index.php?title=UTM/VPN/SSL_VPN_zu_IPSec-Ziel&oldid=81883