In diesem Beispiel wurde das interne Netzwerk des Standortes B (192.168.219.0/24) bereits durch die SSL-VPN-Verbindung freigegeben. Zusätzlich muss nun noch das interne Zielnetzwerk an Standort A, auf das der Roadwarrior zugreifen soll freigegeben werden.
Speichern und schließen
Angaben mit der Schaltfläche Speichern übernehmen
SSL-VPN Verbindung neu starten mit der Schaltfläche Neustarten
Die SSL-VPN-Verbindung auf dem Roadwarrior muss einmal beendet und neu aufgebaut werden, damit das neue Servernetzwerk gepuscht werden kann
Konfiguration mit Anpassung der IPSec-Verbindung
Das Transfernetz des Roadwarriors muss auf beiden UTMs in der Phase 2 der IPSec Verbindung eingetragen werden. Konfiguration unter VPN IPSec Schaltfläche Phase 2 der verwendeten Verbindung, Bereich Subnetze, Schaltfläche IPSec Verbindung hinzufügen
Anpassen der IPSec-Verbindung
Standort A
Beschriftung
Wert
Beschreibung
Subnetz hinzufügen UTMbenutzer@firewall.name.fqdnVPNIPSec Subnetz hinzufügen in Phase 2 / Standort A Phase 2 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPsec Ergänzte Subnetze in Phase 2 / Standort A
Lokales Netzwerk:
192.168.218.0/24
Das lokale Zielnetzwerk muss am Standort A als Lokales Netzwerk eingetragen werden
Remote Netzwerk:
10.10.10.0/24
Das Transfernetz des Roadwarriors (hier 10.10.10.0/24) muss am Standort A als Remote-Netzwerk eingetragen werden
Subnetze hinzufügen mit Speichern und schließen Änderungen der Phase 2 übernehmen ebenfalls mit der Schaltfläche IPSec-Verbindung neu starten mit der Schaltfläche Neustarten
Standort B
Beschriftung
Wert
Beschreibung
Subnetz hinzufügen UTMbenutzer@firewall.name.fqdnVPNIPSec Subnetz hinzufügen in Phase 2 / Standort B Phase 2 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPsec Ergänzte Subnetze in Phase 2 / Standort B
Lokales Netzwerk:
10.10.10.0/24
Das Transfernetz des Roadwarriors (hier 10.10.10.0/24) muss am Standort B als Lokales Netzwerk eingetragen werden
Remote Netzwerk:
192.168.218.0/24
Das interne Zielnetzwerk (in Standort A) muss am Standort B als Remote-Netzwerk eingetragen werden
Subnetze hinzufügen mit Speichern und schließen Änderungen der Phase 2 übernehmen ebenfalls mit der Schaltfläche IPSec-Verbindung neu starten mit der Schaltfläche Neustarten
Netzwerkobjekt am Standort A anlegen
Standort A Diese Regel ist nicht erforderlich, wenn die IPSec-Verbindung über implizite Regeln erlaubt wurde. Davon ist jedoch im Regelfall abzuraten, da implizite Regeln die Ports, die für IPSec Verbindungen genutzt werden, allen Schnittstellen freigeben.
Netzwerkobjekt anlegen im Reiter Firewall Netzwerkobjekte Schaltfläche Objekt hinzufügen
Auch, wenn es sich nur um einen einzigen Roadwarrior handelt, wird für die Anbindung eine Tunnel-Netz-IP verwendet. Daher ist hier der Typ Netzwerk auszuwählen.
Adresse:
10.10.10.0/24
Die Netz-IP des SSL-VPN Transfer Netzes aus Standort B
Zone:
vpn-ipsec
Die Zone entspricht der IPSec-Verbindung
Gruppen:
Ggf. kann das Netzwerkobjekt einer Gruppe hinzugefügt werden
Speichern und schließen
Netzwerkobjekt mit dieser Schaltfläche speichern und hinzufügen
Die Netz-IP des internen Zielnetzwerkes, auf das zugegriffen werden soll
Zone:
vpn-ipsec
Die Zone entspricht der IPSec-Verbindung
Gruppen:
Ggf. kann das Netzwerkobjekt einer Gruppe hinzugefügt werden
Speichern und schließen
Netzwerkobjekt mit dieser Schaltfläche speichern und hinzufügen
Paketfilter-Regel Standort A
Standort A
Quelle
SSL-VPN-RW-Network
Netzwerkobjekt des Roadwarrior-Netzwerkes
Ziel
internal-network
Internes Zielnetzwerk, auf daß der Roadwarrior zugreifen können soll
Dienst
xyz
Gewünschter Dienst oder Dienstgruppe
Anzeige der Paketfilter-Regel in der Übersicht
#
Quelle
Ziel
Dienst
NAT
Aktion
Aktiv
Bereits existierende Regel, die den Aufbau des IPSec-Tunnels ermöglicht
Diese Regel ist nicht erforderlich, wenn die IPSec-Verbindung über implizite Regeln erlaubt wurde. Davon ist jedoch im Regelfall abzuraten, da implizite Regeln die Ports, die für IPSec Verbindungen genutzt werden, allen Schnittstellen freigeben.
4
internet
external-interface
ipsec
Accept
Ein
Existierende Regel, die den Zugriff des lokalen Netzwerkes auf das IPSec-Netzwerk erlaubt
Diese Regel ist nicht erforderlich, wenn die IPSec-Verbindung über implizite Regeln erlaubt wurde. Davon ist jedoch im Regelfall abzuraten, da implizite Regeln die Ports, die für IPSec Verbindungen genutzt werden, allen Schnittstellen freigeben.
5
internal-network
IPSec-Network
Gewünschter Dienst oder Dienstgruppe
HNE
Accept
Ein
Existierende Regel, die den Zugriff des IPSec-Netzwerkes auf das lokale Netzwerk erlaubt
Diese Regel ist nicht erforderlich, wenn die IPSec-Verbindung über implizite Regeln erlaubt wurde. Davon ist jedoch im Regelfall abzuraten, da implizite Regeln die Ports, die für IPSec Verbindungen genutzt werden, allen Schnittstellen freigeben.
6
IPSec Network
internal-network
Gewünschter Dienst oder Dienstgruppe
Accept
Ein
Neue Regel, die dem Roadwarrior über das SSL-VPN-Netzwerkobjekt den Zugriff auf das interne Netzwerk erlaubt
7
SSL-VPN-RW-Network
internal-network
Gewünschter Dienst oder Dienstgruppe
Accept
Ein
Die Regel wird erst angewendet, wenn die Schaltfläche Regeln aktualisieren betätigt wird!
Netzwerkobjekt am Standort B anlegen
Standort B Anlegen eines Netzwerkobjektes für das Zielnetzwerk unter Firewall Netzwerkobjekte Schaltfläche Objekt hinzufügen
Die Netz-IP des internen Zielnetzwerkes, auf das zugegriffen werden soll
Zone:
vpn-ipsec
Die Zone entspricht der IPSec-Verbindung
Gruppen:
Ggf. kann das Netzwerkobjekt einer Gruppe hinzugefügt werden
Speichern und schließen
Netzwerkobjekt mit dieser Schaltfläche speichern und hinzufügen
Paketfilter-Regel Standort B
Standort B
Quelle
SSL-VPN-RW-Network
Netzwerkobjekt des Roadwarrior-Netzwerkes
Ziel
IPSec Ziel
Netzwerk, auf das zugegriffen werden soll
Dienst
xyz
Gewünschter Dienst oder Dienstgruppe
Speichern der Regel mit der Schaltfläche Speichern und schließen
Anzeige der Paketfilter-Regel in der Übersicht
#
Quelle
Ziel
Dienst
NAT
Aktion
Aktiv
Bereits existierende Regel, die den Aufbau des IPSec-Tunnels ermöglicht
Diese Regel ist nicht erforderlich, wenn die IPSec-Verbindung über implizite Regeln erlaubt wurde. Davon ist jedoch im Regelfall abzuraten, da implizite Regeln die Ports, die für IPSec Verbindungen genutzt werden, allen Schnittstellen freigeben.
4
internet
external-interface
ipsec
Accept
Ein
Existierende Regel, die den Zugriff des lokalen Netzwerkes auf das IPSec-Netzwerk erlaubt
Diese Regel ist nicht erforderlich, wenn die IPSec-Verbindung über implizite Regeln erlaubt wurde. Davon ist jedoch im Regelfall abzuraten, da implizite Regeln die Ports, die für IPSec Verbindungen genutzt werden, allen Schnittstellen freigeben.
5
internal-network
IPSec-Network
Gewünschter Dienst oder Dienstgruppe
HNE
Accept
Ein
Existierende Regel, die den Zugriff des IPSec-Netzwerkes auf das lokale Netzwerk erlaubt
Diese Regel ist nicht erforderlich, wenn die IPSec-Verbindung über implizite Regeln erlaubt wurde. Davon ist jedoch im Regelfall abzuraten, da implizite Regeln die Ports, die für IPSec Verbindungen genutzt werden, allen Schnittstellen freigeben.
6
IPSec Network
internal-network
Gewünschter Dienst oder Dienstgruppe
Accept
Ein
Neue Regel, die dem Roadwarrior den Zugriff auf das IPSec-Zielnetzwerk erlaubt
7
SSL-VPN-RW-Network
IPSec Ziel
Gewünschter Dienst oder Dienstgruppe
Accept
Ein
Die Regel wird erst angewendet, wenn die Schaltfläche Regeln aktualisieren betätigt wird!
Konfiguration mit HideNat-Regel
Besteht kein Zugriff auf die Konfiguration an Standort A, kann auch eine Regel mit HideNat verwendet werden. Dies ersetzt dann die Übergabe der Netz-IP des SSL-VPN-Transfernetzes in Phase 2 der IPSec-Verbindung.
Da hierbei IP-Adressen ausgetauscht werden, kann dies zu Problemen z.B. mit VoIP oder FTP führen.
Netzwerkobjekt am Standort B anlegen
Standort B Anlegen eines Netzwerkobjektes für das Zielnetzwerk unter Firewall Netzwerkobjekte Schaltfläche Objekt hinzufügen
Wichtig: Die SSL-VPN-Verbindung bekommt nicht mit, daß es sich um eine weitere VPN-Verbindung handelt. Daher darf hier kein VPN-Netzwerk ausgewählt werden!
Adresse:
192.168.218.0/24
Die Netz-IP des internen Zielnetzwerkes, auf das zugegriffen werden soll
Zone:
external
external
Gruppen:
Ggf. kann das Netzwerkobjekt einer Gruppe hinzugefügt werden
Speichern und schließen
Netzwerkobjekt mit dieser Schaltfläche speichern und hinzufügen
Paketfilter-Regel Standort B
Standort B
Quelle
SSL-VPN-RW-Network
Netzwerkobjekt des Roadwarrior-Netzwerkes
Ziel
IPSec Ziel
Netzwerk, auf das zugegriffen werden soll
Dienst
xyz
Gewünschter Dienst oder Dienstgruppe
NAT
Typ:
Hidenat
Die Adressen müssen vom Roadwarrior-Netz ind das Zielnetzwerk übersetzt werden
NAT
Netzwerkobjekt
internal-interface
Das SSL-VPN-Netzwerk wird an dieser Stelle wie ein internes Netzwerk behandelt!
Speichern der Regel mit der Schaltfläche Speichern und schließen
Anzeige der Paketfilter-Regel in der Übersicht
#
Quelle
Ziel
Dienst
NAT
Aktion
Aktiv
7
SSL-VPN-RW-Network
IPSec Ziel
Gewünschter Dienst oder Dienstgruppe
HN
Accept
Ein
Die Regel wird erst angewendet, wenn die Schaltfläche Regeln aktualisieren betätigt wird!