Mit einem SSL-VPN Roadwarrior auf ein Netzwerk hinter einer IPSec Site-to-Site Verbindung zugreifen
Letzte Anpassung: 04.2022
Neu:
Ergänzung der Regeln, die für die IPSec-Verbindung ohne implizite Regeln benötigt werden
Layoutanpassung der Portfilterregeln
Vorherige Versionen: -
Ausgangslage
Ein Netzwerk am Standort A ist über eine IPSec-Site-to-Site-Verbindung mit einem Netzwerk an Standort B verbunden
Es besteht eine SSL-VPN-Verbindung von einem Roadwarrior zu dem Netzwerk an Standort B
Ziel:
Das Interne Netzwerk an Standort A soll für den Roadwarrior über die SSL-VPN-Verbindung zu Standort B erreichbar sein.
Konfiguration:
Standort A: Internes Netzwerk: 192.168.218.0/24
Standort B: Internes Netzwerk: 192.168.219.0/24
Roadwarrior: SSL-VPN-Verbindung zu Standort B Transfernetz-IP: 10.10.10.0/24
IPSec Site-to-Site Verbindung einrichten
Ein Anleitung zur Konfiguration einer IPSec-Site-to-Site Verbindung gibt es in diesem Wiki.
SSL-VPN Verbindung einrichten
Ein Anleitung zur Konfiguration einer SSL-VPN Verbindung für Roadwarrior gibt es in diesem Wiki.
Anpassen der Konfiguration
SSL-VPN-Verbindung bearbeiten
Standort B Anpassen der SSL-VPN-Roadwarrior Verbindung unter → VPN →SSL-VPN Schaltfläche der Verwendeten Verbindung, Reiter Allgemein
Beschriftung
Wert
Beschreibung
Servernetzwerke hinzufügen
Servernetzwerke freigeben:
» ✕192.168.219.0/24» ✕192.168.218.0/24
In diesem Beispiel wurde das interne Netzwerk des Standortes B (192.168.219.0/24) bereits durch die SSL-VPN-Verbindung freigegeben. Zusätzlich muss nun noch das interne Zielnetzwerk an Standort A, auf das der Roadwarrior zugreifen soll freigegeben werden.
Speichern
Angaben mit der Schaltfläche Speichern übernehmen
SSL-VPN Verbindung neu starten mit der Schaltfläche Neustarten
Die SSL-VPN-Verbindung auf dem Roadwarrior muss einmal beendet und neu aufgebaut werden, damit das neue Servernetzwerk gepuscht werden kann
Konfiguration mit Anpassung der IPSec-Verbindung
Das Transfernetz des Roadwarriors muss auf beiden UTMs in der Phase 2 der IPSec Verbindung eingetragen werden. Konfiguration unter → VPN →IPSec Schaltfläche Phase 2 der verwendeten Verbindung, Reiter Subnetze, Schaltfläche IPSec Verbindung hinzufügen
Anpassen der IPSec-Verbindung
Standort A
Beschriftung
Wert
Beschreibung
Subnetz hinzufügen in Phase 2 / Standort A
Ergänzte Subnetze in Phase 2 / Standort A
Lokales Netzwerk:
192.168.218.0/24
Das lokale Zielnetzwerk muss am Standort A als Lokales Netzwerk eingetragen werden
Remote Netzwerk:
10.10.10.0/24
Das Transfernetz des Roadwarriors (hier 10.10.10.0/24) muss am Standort A als Remote-Netzwerk eingetragen werden
Subnetze hinzufügen mit Speichern Änderungen der Phase 2 übernehmen ebenfalls mit der Schaltfläche Speichern IPSec-Verbindung neu starten mit der Schaltfläche Neustarten
Standort B
Beschriftung
Wert
Beschreibung
Subnetz hinzufügen in Phase 2 / Standort B
Ergänzte Subnetze in Phase 2 / Standort B
Lokales Netzwerk:
10.10.10.0/24
Das Transfernetz des Roadwarriors (hier 10.10.10.0/24) muss am Standort B als Lokales Netzwerk eingetragen werden
Remote Netzwerk:
192.168.218.0/24
Das interne Zielnetzwerk (in Standort A) muss am Standort B als Remote-Netzwerk eingetragen werden
Subnetze hinzufügen mit Speichern Änderungen der Phase 2 übernehmen ebenfalls mit der Schaltfläche Speichern IPSec-Verbindung neu starten mit der Schaltfläche Neustarten
Netzwerkobjekt am Standort A anlegen
Standort A Diese Regel ist nicht erforderlich, wenn die IPSec-Verbindung über implizite Regeln erlaubt wurde. Davon ist jedoch im Regelfall abzuraten, da implizite Regeln die Ports, die für IPSec Verbindungen genutzt werden, allen Schnittstellen freigeben.
Netzwerkobjekt anlegen im Reiter → Firewall →PortfilterReiter Netzwerkobjekte Schaltfläche Objekt hinzufügen
Beschriftung
Wert
Beschreibung
Name:
IPSec Ziel
frei wählbarer Name
Typ:
VPN-Netzwerk
Auch, wenn es sich nur um einen einzigen Roadwarrior handelt, wird für die Anbindung eine Tunnel-Netz-IP verwendet. Daher ist hier der Typ Netzwerk auszuwählen.
Adresse:
10.10.10.0/24
Die Netz-IP des SSL-VPN Transfer Netzes aus Standort B
Zone:
vpn-ipsec
Die Zone entspricht der IPSec-Verbindung
Gruppen:
Ggf. kann das Netzwerkobjekt einer Gruppe hinzugefügt werden
Speichern und schließen
Netzwerkobjekt mit dieser Schaltfläche speichern und hinzufügen
Portfilter-Regel Standort A
Standort A Portfilter Regel anlegen im Reiter → Firewall →PortfilterReiter Portfilter Schaltfläche Regel hinzufügen
Quelle
SSL-VPN-RW-Network
Netzwerkobjekt des Roadwarrior-Netzwerkes
Ziel
internal-network
Internes Zielnetzwerk, auf daß der Roadwarrior zugreifen können soll
Dienst
xyz
Gewünschter Dienst oder Dienstgruppe
╭╴NAT╶╮Typ:
Hidenat_Exclude
Um sicher zu stellen, daß nicht durch eine andere Regel ein HideNAT durchgeführt wird kann an dieser Stelle ein HideNAT-Exclude bestimmt werden.
╭╴NAT╶╮Netzwerkobjekt
external-interface
Anzeige der Portfilter-Regel in der Übersicht
#
Quelle
Ziel
Dienst
NAT
Aktion
Aktiv
Bereits existierende Regel, die den Aufbau des IPSec-Tunnels ermöglicht
Diese Regel ist nicht erforderlich, wenn die IPSec-Verbindung über implizite Regeln erlaubt wurde. Davon ist jedoch im Regelfall abzuraten, da implizite Regeln die Ports, die für IPSec Verbindungen genutzt werden, allen Schnittstellen freigeben.
4
internet
external-interface
ipsec
Accept
Ein
Existierende Regel, die den Zugriff des lokalen Netzwerkes auf das IPSec-Netzwerk erlaubt
Diese Regel ist nicht erforderlich, wenn die IPSec-Verbindung über implizite Regeln erlaubt wurde. Davon ist jedoch im Regelfall abzuraten, da implizite Regeln die Ports, die für IPSec Verbindungen genutzt werden, allen Schnittstellen freigeben.
5
internal-network
IPSec-Network
Gewünschter Dienst oder Dienstgruppe
HNE
Accept
Ein
Existierende Regel, die den Zugriff des IPSec-Netzwerkes auf das lokale Netzwerk erlaubt
Diese Regel ist nicht erforderlich, wenn die IPSec-Verbindung über implizite Regeln erlaubt wurde. Davon ist jedoch im Regelfall abzuraten, da implizite Regeln die Ports, die für IPSec Verbindungen genutzt werden, allen Schnittstellen freigeben.
6
IPSec Network
internal-network
Gewünschter Dienst oder Dienstgruppe
Accept
Ein
Neue Regel, die dem Roadwarrior über das SSL-VPN-Netzwerkobjekt den Zugriff auf das interne Netzwerk erlaubt
7
SSL-VPN-RW-Network
IPSec Ziel
Gewünschter Dienst oder Dienstgruppe
HNE
Accept
Ein
Die Regel wird erst angewendet, wenn die Schaltfläche Regeln aktualisieren betätigt wird!
Netzwerkobjekt am Standort B anlegen
Standort B Anlegen eines Netzwerkobjektes für das Zielnetzwerk unter → Firewall →PortfilterReiter Netzwerkobjekte Schaltfläche Objekt hinzufügen
Beschriftung
Wert
Beschreibung
Name:
IPSec Ziel
frei wählbarer Name
Typ:
VPN-Netzwerk
Adresse:
192.168.218.0/24
Die Netz-IP des internen Zielnetzwerkes, auf das zugegriffen werden soll
Zone:
vpn-ipsec
Die Zone entspricht der IPSec-Verbindung
Gruppen:
Ggf. kann das Netzwerkobjekt einer Gruppe hinzugefügt werden
Speichern und schließen
Netzwerkobjekt mit dieser Schaltfläche speichern und hinzufügen
Portfilter-Regel Standort B
Standort B Portfilter Regel anlegen im Reiter → Firewall →PortfilterReiter Portfilter Schaltfläche Regel hinzufügen
Quelle
SSL-VPN-RW-Network
Netzwerkobjekt des Roadwarrior-Netzwerkes
Ziel
IPSec Ziel
Netzwerk, auf das zugegriffen werden soll
Dienst
xyz
Gewünschter Dienst oder Dienstgruppe
╭╴NAT╶╮Typ:
Hidenat_Exclude
Um sicher zu stellen, daß nicht durch eine andere Regel ein HideNAT durchgeführt wird kann an dieser Stelle ein HideNAT-Exclude bestimmt werden.
╭╴NAT╶╮Netzwerkobjekt
internal-interface
Das SSL-VPN-Netzwerk wird an dieser Stelle wie ein internes Netzwerk behandelt!
Speichern der Regel mit der Schaltfläche Hinzufügen und schließen
Anzeige der Portfilter-Regel in der Übersicht
#
Quelle
Ziel
Dienst
NAT
Aktion
Aktiv
Bereits existierende Regel, die den Aufbau des IPSec-Tunnels ermöglicht
Diese Regel ist nicht erforderlich, wenn die IPSec-Verbindung über implizite Regeln erlaubt wurde. Davon ist jedoch im Regelfall abzuraten, da implizite Regeln die Ports, die für IPSec Verbindungen genutzt werden, allen Schnittstellen freigeben.
4
internet
external-interface
ipsec
Accept
Ein
Existierende Regel, die den Zugriff des lokalen Netzwerkes auf das IPSec-Netzwerk erlaubt
Diese Regel ist nicht erforderlich, wenn die IPSec-Verbindung über implizite Regeln erlaubt wurde. Davon ist jedoch im Regelfall abzuraten, da implizite Regeln die Ports, die für IPSec Verbindungen genutzt werden, allen Schnittstellen freigeben.
5
internal-network
IPSec-Network
Gewünschter Dienst oder Dienstgruppe
HNE
Accept
Ein
Existierende Regel, die den Zugriff des IPSec-Netzwerkes auf das lokale Netzwerk erlaubt
Diese Regel ist nicht erforderlich, wenn die IPSec-Verbindung über implizite Regeln erlaubt wurde. Davon ist jedoch im Regelfall abzuraten, da implizite Regeln die Ports, die für IPSec Verbindungen genutzt werden, allen Schnittstellen freigeben.
6
IPSec Network
internal-network
Gewünschter Dienst oder Dienstgruppe
Accept
Ein
Neue Regel, die dem Roadwarrior den Zugriff auf das IPSec-Zielnetzwerk erlaubt
7
SSL-VPN-RW-Network
IPSec Ziel
Gewünschter Dienst oder Dienstgruppe
HNE
Accept
Ein
Die Regel wird erst angewendet, wenn die Schaltfläche Regeln aktualisieren betätigt wird!
Konfiguration mit HideNat-Regel
Besteht kein Zugriff auf die Konfiguration an Standort A, kann auch eine Regel mit HideNat verwendet werden. Dies ersetzt dann die Übergabe der Netz-IP des SSL-VPN-Transfernetzes in Phase 2 der IPSec-Verbindung.
Da hierbei IP-Adressen ausgetauscht werden, kann dies zu Problemen z.B. mit VoIP oder FTP führen.
Netzwerkobjekt am Standort B anlegen
Standort B Anlegen eines Netzwerkobjektes für das Zielnetzwerk unter → Firewall →PortfilterReiter Netzwerkobjekte Schaltfläche Objekt hinzufügen
Beschriftung
Wert
Beschreibung
Name:
IPSec Ziel
frei wählbarer Name
Typ:
Netzwerk (Adresse)
Wichtig: Die SSL-VPN-Verbindung bekommt nicht mit, daß es sich um eine weitere VPN-Verbindung handelt. Daher darf hier kein VPN-Netzwerk ausgewählt werden!
Adresse:
192.168.218.0/24
Die Netz-IP des internen Zielnetzwerkes, auf das zugegriffen werden soll
Zone:
external
external
Gruppen:
Ggf. kann das Netzwerkobjekt einer Gruppe hinzugefügt werden
Speichern und schließen
Netzwerkobjekt mit dieser Schaltfläche speichern und hinzufügen
Portfilter-Regel Standort B
Standort B Portfilter Regel anlegen im Reiter → Firewall →PortfilterReiter Portfilter Schaltfläche Regel hinzufügen
Quelle
SSL-VPN-RW-Network
Netzwerkobjekt des Roadwarrior-Netzwerkes
Ziel
IPSec Ziel
Netzwerk, auf das zugegriffen werden soll
Dienst
xyz
Gewünschter Dienst oder Dienstgruppe
╭╴NAT╶╮Typ:
Hidenat
Die Adressen müssen vom Roadwarrior-Netz ind das Zielnetzwerk übersetzt werden
╭╴NAT╶╮Netzwerkobjekt
internal-interface
Das SSL-VPN-Netzwerk wird an dieser Stelle wie ein internes Netzwerk behandelt!
Speichern der Regel mit der Schaltfläche Hinzufügen und schließen
Anzeige der Portfilter-Regel in der Übersicht
#
Quelle
Ziel
Dienst
NAT
Aktion
Aktiv
7
SSL-VPN-RW-Network
IPSec Ziel
Gewünschter Dienst oder Dienstgruppe
HN
Accept
Ein
Die Regel wird erst angewendet, wenn die Schaltfläche Regeln aktualisieren betätigt wird!