Wechseln zu:Navigation, Suche
Wiki


























Mit einem SSL-VPN Roadwarrier auf ein Netzwerk hinter einer IPSec Site-to-Site Verbindung zugreifen

Letzte Anpassung: 10.2021


Neu:

  • Neuer Artikel



Vorherige Versionen: -


Ausgangslage

  • Ein Netzwerk am Standort A ist über eine IPSec-Site-to-Site-Verbindung mit einem Netzwerk an Standort B verbunden
  • Es besteht eine SSL-VPN-Verbindung von einem Roadwarrier zu dem Netzwerk an Standort B

Ziel:

  • Das Interne Netzwerk an Standort A soll für den Roadwarrier über die SSL-VPN-Verbindung zu Standort B erreichbar sein.


Konfiguration:

  • Standort A:
    Internes Netzwerk: 192.168.218.0/24
  • Standort B:
    Internes Netzwerk: 192.168.219.0/24
  • Roadwarrier:
    SSL-VPN-Verbindung zu Standort B
    Transfernetz-IP: 10.10.10.0/24

IPSec Site-to-Site Verbindung einrichten

Ein Anleitung zur Konfiguration einer IPSec-Site-to-Site Verbindung gibt es in diesem Wiki.

SSL-VPN Verbindung einrichten

Ein Anleitung zur Konfiguration einer SSL-VPN Verbindung für Roadwarrier gibt es in diesem Wiki.


Anpassen der Konfiguration

SSL-VPN-Verbindung bearbeiten

Standort B
Anpassen der SSL-VPN-Roadwarrier Verbindung unter → VPN →SSL-VPN Schaltfläche der Verwendeten Verbindung, Reiter Allgemein

Beschriftung: Wert: Beschreibung: UTMv12.2 SSL-VPN-zu-IPSec-Servernetzwerke.png
Servernetzwerke hinzufügen
Servernetzwerke freigeben: »192.168.219.0/24»192.168.218.0/24 In diesem Beispiel wurde das interne Netzwerk des Standortes B (192.168.219.0/24) bereits durch die SSL-VPN-Verbindung freigegeben.
Zusätzlich muss nun noch das interne Zielnetzwerk an Standort A, auf das der Roadwarrier zugreifen soll freigegeben werden.
Speichern Angaben mit der Schaltfläche Speichern übernehmen
SSL-VPN Verbindung neu starten mit der Schaltfläche Neustarten
  • Die SSL-VPN-Verbindung auf dem Roadwarrier muss einmal beendet und neu aufgebaut werden, damit das neue Servernetzwerk gepuscht werden kann.
  • Netzwerkobjekt anlegen

    Standort B
    Anlegen eines Netzwerkobjektes für das Zielnetzwerk unter → Firewall →PortfilterReiter Netzwerkobjekte Schaltfläche Objekt hinzufügen

    Name: IPSec Ziel frei wählbarer Name UTMv12.2 SSL-VPN-zu-IPSec-Netzerkobjekt.png
    Typ: Netzwerk (Adresse) Wichtig: Die SSL-VPN-Verbindung bekommt nicht mit, daß es sich um eine weitere VPN-Verbindung handelt.
    Daher darf hier kein VPN-Netzwerk ausgewählt werden!
    Adresse: 192.168.218.0/24 Die Netzwerk-IP des internen Zielnetzwerkes, auf das zugegriffen werden soll.
    Zone: external external
    Gruppen:     Ggf. kann das Netzwerkobjekt eine Gruppe hinzugefügt werden.
    Speichern und schließen Netzwerkobjekt mit dieser Schaltfläche speichern und hinzufügen

    Konfiguration mit Anpassung der IPSec-Verbindung

    Das Transfernetz des Roadwarriers muss auf beiden UTMs in der Phase 2 der IPSec Verbindung eingetragen werden.
    Konfiguration unter → VPN →IPSec Schaltfläche Phase 2 der verwendeten Verbindung, Reiter Subnetze, Schaltfläche IPSec Verbindung hinzufügen

    Anpassen der IPSec-Verbindung
    Standort A
    Beschriftung: Wert: Beschreibung: UTMv12.2 SSL-VPN-zu-IPSec-Phase2 Subnetz-hinzufügenA.png
    Subnetz hinzufügen in Phase 2 / Standort A
    UTMv12.2 SSL-VPN-zu-IPSec-Phase2 SubnetzeA.png
    Ergänzte Subnetze in Phase 2 / Standort A
    Lokales Netzwerk: 192.168.218.0/24 Das lokale Zielnetzwerk muss am Standort A als Lokales Netzwerk eingetragen werden.
    Remote Netzwerk: 10.10.10.0/24 Das Transfernetz des Roadwarriers (hier 10.10.10.0/24) muss am Standort A als Remote-Netzwerk eingetragen werden.
    Subnetze hinzufügen mit Speichern
    Änderungen der Phase 2 übernehmen ebenfalls mit der Schaltfläche Speichern
    IPSec-Verbindung neu starten mit der Schaltfläche Neustarten


    Standort B
    Beschriftung: Wert: Beschreibung: UTMv12.2 SSL-VPN-zu-IPSec-Phase2 Subnetz-hinzufügen.png
    Subnetz hinzufügen in Phase 2 / Standort B
    UTMv12.2 SSL-VPN-zu-IPSec-Phase2 Subnetze.png
    Ergänzte Subnetze in Phase 2 / Standort B
    Lokales Netzwerk: 10.10.10.0/24 Das Transfernetz des Roadwarriers (hier 10.10.10.0/24) muss am Standort B als Lokales Netzwerk eingetragen werden.
    Remote Netzwerk: 192.168.218.0/24 Das interne Zielnetzwerk (in Standort A) muss am Standort B als Remote-Netzwerk eingetragen werden.
    Subnetze hinzufügen mit Speichern
    Änderungen der Phase 2 übernehmen ebenfalls mit der Schaltfläche Speichern
    IPSec-Verbindung neu starten mit der Schaltfläche Neustarten
    Portfilter-Regel

    Standort B
    Portfilter Regel anlegen im Reiter → Firewall →PortfilterReiter Portfilter Schaltfläche Regel hinzufügen

    ╭╴ Quelle ╶╮ Vpn-network.svg  SSL-VPN-RW-Network Netzwerkobjekt des Roadwarrior-Netzwerkes
    ╭╴ Ziel ╶╮ Host.svg  IPSec Ziel Netzwerk, auf das zugegriffen werden soll.
    ╭╴ Dienst ╶╮ Service-group.svg  xyz Gewünschter Dienst oder Dienstgruppe

    Speichern der Regel mit der Schaltfläche Hinzufügen und schließen


    Anzeige der Portfilter-Regel in der Übersicht

    # Quelle Ziel Dienst NAT Aktion Aktiv
    Dragndrop.png 7 Vpn-network.svg SSL-VPN-RW-Network Host.svg IPSec Ziel Service-group.svg default-internet Accept Ein
  • Die Regel wird erst angewendet, wenn die Schaltfläche Regeln aktualisieren betätigt wird!





  • Konfiguration mit HideNat-Regel

    Besteht kein Zugriff auf die Konfiguration an Standort A, kann auch eine Regel mit HideNat verwendet werden. Dies ersetzt dann die Übergabe der Netz-IP des SSL-VPN-Transfernetzes in Phase 2 der IPSec-Verbindung.

    Da hierbei IP-Adressen ausgetauscht werden, kann dies zu Problemen z.B. mit VoIP oder FTP führen.

    Portfilter-Regel

    Standort B
    Portfilter Regel anlegen im Reiter → Firewall →PortfilterReiter Portfilter Schaltfläche Regel hinzufügen

    ╭╴ Quelle ╶╮ Vpn-network.svg  SSL-VPN-RW-Network Netzwerkobjekt des Roadwarrior-Netzwerkes
    ╭╴ Ziel ╶╮ Host.svg  IPSec Ziel Netzwerk, auf das zugegriffen werden soll.
    ╭╴ Dienst ╶╮ Service-group.svg  xyz Gewünschter Dienst oder Dienstgruppe
    ╭╴NAT╶╮ ╭╴Typ: ╶╮ Hidenat Die Adressen müssen vom Roadwarrier-Netz ind das Zielnetzwerk übersetzt werden
    ╭╴NAT╶╮ ╭╴Netzwerkobjekt ╶╮ internal-interface
  • Das SSL-VPN-Netzwerk wird an dieser Stelle wie ein internes Netzwerk behandelt!
  • Speichern der Regel mit der Schaltfläche Hinzufügen und schließen


    Anzeige der Portfilter-Regel in der Übersicht

    # Quelle Ziel Dienst NAT Aktion Aktiv
    Dragndrop.png 7 Vpn-network.svg SSL-VPN-RW-Network Host.svg IPSec Ziel Service-group.svg default-internet HN Accept Ein
  • Die Regel wird erst angewendet, wenn die Schaltfläche Regeln aktualisieren betätigt wird!