Lauritzl am 18. Januar 2024 um 10:40 Uhr

2024-01-18T10:40:23Z

Lauritzl am 18. Juli 2023 um 11:03 Uhr

2023-07-18T11:03:42Z

Lauritzl: Die Seite wurde neu angelegt: „{{Lang}} {{#vardefine:headerIcon|spicon-utm}} {{var | display | IPSec Site to Site Beispiele | }} {{var | head | Beispiele zur Konfiguration von IPSec-VPN Site to Site Verbindungen | }} {{var | Netzwerk | Netzwerk | }} {{var | Netzwerkkonfiguration | Netzwerkkonfiguration | }} {{var | Einleitung | Einleitung | }} {{var | Einleitung--desc | Bei einer IPSec Verbindung gibt es für jeden Netzaufbau empfohlene Konfigurationen, dam…“

2023-05-02T10:48:55Z

Die Seite wurde neu angelegt: „{{Lang}} {{#vardefine:headerIcon|spicon-utm}} {{var | display | IPSec Site to Site Beispiele | }} {{var | head | Beispiele zur Konfiguration von IPSec-VPN Site to Site Verbindungen | }} {{var | Netzwerk | Netzwerk | }} {{var | Netzwerkkonfiguration | Netzwerkkonfiguration | }} {{var | Einleitung | Einleitung | }} {{var | Einleitung--desc | Bei einer IPSec Verbindung gibt es für jeden Netzaufbau empfohlene Konfigurationen, dam…“

Neue Seite

{{Lang}}

{{#vardefine:headerIcon|spicon-utm}}

{{var | display
| IPSec Site to Site Beispiele
| }}
{{var | head
| Beispiele zur Konfiguration von IPSec-VPN Site to Site Verbindungen
| }}
{{var | Netzwerk
| Netzwerk
| }}
{{var | Netzwerkkonfiguration
| Netzwerkkonfiguration
| }}
{{var | Einleitung
| Einleitung
| }}
{{var | Einleitung--desc
| Bei einer IPSec Verbindung gibt es für jeden Netzaufbau empfohlene Konfigurationen, damit ein Tunnel aufgebaut werden kann. Dabei wird unterschieden, ob die öffentliche IP auf der UTM liegt, oder ob die Verbindung "genattet" ist. Auch, ob es mehrere Internetleitungen gibt, spielt hierbei eine Rolle.
| }}
{{var | Single-Path mit öffentlichen IP-Adressen
| Single-Path mit öffentlichen IP-Adressen
| }}
{{var | Single-Path mit öffentlichen IP-Adressen--desc
| Im folgenden wird erklärt, wie eine IPSec-VPN Konfiguration aussieht, wenn an beiden Seiten der Verbindung jeweils nur eine Internetleitung vorhanden ist und öffentliche IP-Adressen direkt an den UTM anliegen. Dieses ist zum Beispiel der Fall, wenn an der externen Schnittstelle ein ADSL-Modem angeschlossen ist.
| }}
{{var | Zentrale
| Zentrale
| }}
{{var | Netzwerkvorgaben
| Netzwerkvorgaben
| }}
{{var | Single path öffentlich Zentrale Netzwerkvorgaben--Bild
| UTM v12.3.6 Netzwerkkonfiguration single path öffentlich Zentrale.png
| UTM v12.3.6 Netzwerkkonfiguration single path öffentlich Zentrale-en.png }}
{{var | Single path öffentlich Zentrale Netzwerkvorgaben--desc
| Für den Anschluss eines Modems an der UTM wird eine [[UTM/NET/PPPoE | PPPoE-Schnittstelle]] und eine Default-Route über diese Schnittstelle eingerichtet. In unserem Fall ist es die erste PPPoE-Schnittstelle, die dann die Bezeichnung wan0 erhält.
| }}
{{var | Single path öffentlich DR Zentrale--Bild
| UTM v12.3.6 Netzwerkkonfiguration Default Route single path öffentlich Zentrale.png
| UTM v12.3.6 Netzwerkkonfiguration Default Route single path öffentlich Zentrale-en.png }}
{{var | Single path öffentlich DR Zentrale--desc
| Die Default-Route kann mit Klick auf {{Menu|Netzwerk|Netzwerkkonfiguration|Routing|+ Default-Route hinzufügen}} angelegt werden, wobei die zuvor angelegte PPPoE-Schnittstelle als Gateway ausgewählt wird.
| }}
{{var | IPSec Phase 1
| IPSec Phase 1
| }}
{{var | IPSec Phase 1--desc
| Mit Klick auf {{Menu|VPN|IPSec|Verbindungen|+ IPSec Verbindung hinzufügen}} kann eine IPSec-Verbindung hinzugefügt werden. Eine genau Anleitung dazu findet sich [[UTM/VPN/IPSec-S2S |hier]]. Wenn anschließend auf {{Button|Phase 1}} geklickt wird, so sieht der Dialog wie folgt aus:
| }}
{{var | Name--desc
| Name der Verbindung
| }}
{{var | Singlepath öffentlich IPSec Zentrale--Bild
| UTM v12.3.6 IPSec Phase 1 single path öffentliche Zentrale.png
| UTM v12.3.6 IPSec Phase 1 single path öffentliche Zentrale-en.png }}
{{var | IKE Version
| IKE Version
| }}
{{var | IKE Version--desc
| IKE Version
| }}
{{var | Local Gateway--desc
| Lokales Gateway angeben
| }}
{{var | Local Gateway ID--desc
| Die Gateway ID fließt in die Authentifizierung mit ein. Dies kann eine IP-Adresse, ein Hostname oder eine Schnittstelle sein.
| }}
{{var | Remote Host--desc
| Öffentliche IP-Adresse (oder Hostname, der per DNS aufgelöst werden kann) der Gegenstelle.
| }}
{{var | Remote Host ID--desc
| ID, die auf der Gegenstelle als lokale ID konfiguriert wurde (beliebige Zeichenfolge).
| }}
{{var | Beliebige Remote-Adressen erlauben
| Beliebige Remote-Adressen erlauben
| }}
{{var | Beliebige Remote-Adressen erlauben--desc
| Diese Option deaktivieren für Site to Site-Verbindungen mit DynDNS-Hosts, wenn mehrere IPsec-Verbindungen mit a priori unbekannten Adressen (DynDNS S2S, Roadwarrior) konfiguriert sind.
| }}
{{var | Lokale Authentifizierungsmethode
| Lokale Authentifizierungsmethode
| }}
{{var | Lokale Authentifizierungsmethode--desc
| Es kann ein Pre-Shared Key, ein Zertifikat oder ein RSA-Schlüssel verwendet werden.
| }}
{{var | Pre-Shared Key--desc
| Schlüssel hier eintragen oder einen sehr starken Schlüssel erstellen lassen.
| }}
{{var | Startverhalten
| Startverhalten
| }}
{{var | Startverhalten--desc
| Das Startverhalten ''Outgoing'' definiert, dass diese Seite die Initiierung der Verbindung automatisch vornimmt.
| }}
{{var | Dead Peer Detection--desc
| Diese überprüft die Verbindung durch versenden sogenannter ''Keep Alive Pakete'', auf die die Gegenstelle antworten muss. Tut sie dies nicht, wird die Verbindung abgebaut und wieder neu aufgebaut. Wichtig ist, dass auch die Gegenstelle die Dead Peer Detection implementiert haben muss, ansonsten kann diese nicht verwendet werden.
| }}
{{var | DPD Timeout--desc
| Zeitraum, bevor der Zustand unter ''Startverhalten'' wieder hergestellt wird.
| }}
{{var | DPD Intervall
| DPD Intervall
| }}
{{var | DPD Intervall--desc
| Intervall der Überprüfung
| }}
{{var | Compression--desc
| Kompression wird nicht von allen Gegenstellen unterstützt.
| }}
{{var | Speichern
| Speichern
| }}
{{var | Speichern--desc
| Speichert die Einstellungen
| }}
{{var | Filiale
| Filiale
| }}
{{var | Single path öffentlich filiale--Bild
| UTM v12.3.6 Netzwerkkonfiguration single path öffentlich Filiale.png
| UTM v12.3.6 Netzwerkkonfiguration single path öffentlich Filiale-en.png }}
{{var | Single path öffentlich filiale ipsec--Bild
| UTM v12.3.6 IPSec Phase 1 single path öffentliche Filiale.png
| UTM v12.3.6 IPSec Phase 1 single path öffentliche Filiale-en.png }}
{{var | Single-Path mit einer genatteten Seite
| Single-Path mit einer genatteten Seite
| }}
{{var | Single-Path mit einer genatteten Seite--desc
| Im folgenden wird erklärt, wie eine IPSec-VPN Konfiguration aussieht, wenn an beiden Seiten der Verbindung jeweils nur eine Internetleitung vorhanden ist, aber nur auf einer Seite eine öffentliche IP-Adresse direkt an den UTM anliegt. Die andere steht hinter einem Router, welcher der UTM über ein Transfernetz den Internetzugang ermöglicht. Dieses ist zum Beispiel der Fall, wenn an der externen Schnittstelle der UTM der ADSL-Router eines Internet-Providers angeschlossen ist.
| }}
{{var | RSA-Schlüssel
| RSA-Schlüssel
| }}
{{var | RSA-Schlüssel Übersicht--Bild
| UTM v12.3.6 Authentifizierung RSA Schlüssel.png
| UTM v12.3.6 Authentifizierung RSA Schlüssel-en.png }}
{{var | RSA-Schlüssel Übersicht--desc
| Sobald eine IPSec-VPN-Verbindung auf mindestens einer Seite, zum Beispiel durch einen Router "genattet" wird, empfehlen wir, statt eines Pre-Shared Key die Verwendung von RSA-Schlüsseln. Dadurch ist es möglich, bei jeder weiteren VPN-Verbindung einen eigenen Schlüssel und auch wieder die Gateway ID als zweites Authentifizierungsmerkmal zu verwenden. Das Erstellen eines RSA-Schlüsselpaares erfolgt unter {{Menu|Authentifizierung|Schlüssel|+ Schlüssel hinzufügen}} (siehe auch [[UTM/AUTH/Schluessel | RSA-Keys]]). Es muss dann nur noch der öffentliche Schlüssel der Zentrale im PEM, HEX oder Base64 Format exportiert und in die UTM der Filiale importiert werden. Der Öffentliche Schlüssel der Filiale wird ebenfalls exportiert und in die UTM der Zentrale importiert.
| }}
{{var | Single path genattet IPSec Zentrale--Bild
| UTM v12.3.6 IPSec Phase 1 single path genattet Zentrale.png
| UTM v12.3.6 IPSec Phase 1 single path genattet Zentrale-en.png }}
{{var | RSA auswählen
| RSA auswählen
| }}
{{var | Lokaler RSA Schlüssel
| Lokaler RSA Schlüssel
| }}
{{var | Lokaler RSA Schlüssel--desc
| Zuvor angelegten Schlüssel wählen
| }}
{{var | RSA Schlüssel der Gegenstelle
| RSA Schlüssel der Gegenstelle
| }}
{{var | RSA Schlüssel der Gegenstelle--desc
| RSA-Schlüssel auswählen
| }}
{{var | Incoming auswählen
| Incoming auswählen
| }}
{{var | Single path genattet filiale--Bild
| UTM v12.3.6 Netzwerkkonfiguration single path genattet Filiale.png
| UTM v12.3.6 Netzwerkkonfiguration single path genattet Filiale-en.png }}
{{var | Single path genattet filiale--desc
| In diesem Szenario ist die Seite der Filiale die Gegenstelle der IPSec-Verbindung, die durch einen ADSL-Router über das Transfernetz zusätzlich "genattet" werden muss. Die Öffentliche IP-Adresse liegt also nicht direkt auf der externen Schnittstelle der UTM.
| }}
{{var | Single path genattet DR filiale--Bild
| UTM v12.3.6 Netzwerkkonfiguration Default Route single path genattet Zentrale.png
| UTM v12.3.6 Netzwerkkonfiguration Default Route single path genattet Zentrale-en.png }}
{{var | Single path genattet DR filiale--desc
| In der Standard-Route wird die IP-Adresse des ADSL Router als Gateway eingetragen.
| }}
{{var | Single path genattet IPSec filiale--Bild
| UTM v12.3.6 IPSec Phase 1 single path genattet Filiale.png
| UTM v12.3.6 IPSec Phase 1 single path genattet Filiale-en.png }}
{{var | ADSL Transfernetwerk Local Gateway--desc
| Durch das Transfernetz zum ADSL Router liegt die öffentliche IP-Adresse nicht auf der Schnittstelle.
| }}
{{var | ADSL Transfernetwerk Remote Host--desc
| Hier wird die öffentliche IP-Adresse der Zentrale eingetragen.
| }}
{{var | Single-Path beidseitig genattet
| Single-Path beidseitig genattet
| }}
{{var | Single-Path beidseitig genattet--desc
| Im folgenden wird erklärt, wie eine IPSec-VPN Konfiguration aussieht, wenn an beiden Seiten der Verbindung jeweils nur eine Internetleitung vorhanden ist und beide Seiten der Verbindung hinter einem Router stehen, welcher der UTM über ein Transfernetz den Internetzugang ermöglicht. Dies ist zum Beispiel der Fall, wenn an der externen Schnittstelle der UTM der ADSL-Router eines Internet-Providers angeschlossen ist. Diese Konfiguration wird von Securepoint nicht empfohlen, da sie in der Regel instabil ist, wenn sie denn überhaupt aufgebaut wird. Empfohlen wird für dieses Szenario eine [[UTM/VPN/SSL_VPN-S2S | OpenVPN Site to Site Verbindung]].
| }}
{{var | Single path beidseitig genattet Zentrale--Bild
| UTM v12.3.6 Netzwerkkonfiguration single path beidseitig genattet Zentrale.png
| UTM v12.3.6 Netzwerkkonfiguration single path beidseitig genattet Zentrale-en.png }}
{{var | Single path beidseitig genattet Zentrale--desc
| In diesem Szenario soll die Zentrale die IPSec-Verbindung über eine Internetleitung aufbauen, die durch einen ADSL-Router über das Transfernetz zusätzlich "genattet" werden muss. Die Öffentliche IP-Adresse liegt also nicht direkt auf der externen Schnittstelle der UTM.
| }}
{{var | Single path beidseitig genattet DR Zentrale--Bild
| UTM v12.3.6 Netzwerkkonfiguration Default Route single path beidseitig genattet Zentrale.png
| UTM v12.3.6 Netzwerkkonfiguration Default Route single path beidseitig genattet Zentrale-en.png }}
{{var | Single path beidseitig genattet IPSec Zentrale--Bild
| UTM v12.3.6 IPSec Phase 1 single path beidseitig genattet Zentrale.png
| UTM v12.3.6 IPSec Phase 1 single path beidseitig genattet Zentrale-en.png }}
{{var | Single path beidseitig genattet Filiale Netzwerkvorgaben--desc
| In diesem Szenario muss die Seite der Filiale, als IPSec-VPN Gegenstelle, durch einen ADSL Router über das Transfernetz ebenfalls "genattet" werden. Die Öffentliche IP-Adresse liegt also nicht direkt auf der externen Schnittstelle der UTM.
| }}
{{var | Single path beidseitig genattet IPSec filiale--Bild
| UTM v12.3.6 IPSec Phase 1 single path beidseitig genattet Filiale.png
| UTM v12.3.6 IPSec Phase 1 single path beidseitig genattet Filiale-en.png }}
{{var | Multipath mit öffentlichen IP-Adressen
| Multipath mit öffentlichen IP-Adressen
| }}
{{var | Multipath mit öffentlichen IP-Adressen--desc
| Im folgenden wird erklärt, wie eine IPSec-VPN Konfiguration aussieht, wenn auf einer Seite mehrere Internetleitungen vorhanden sind und auf beiden Seiten öffentliche IP-Adressen direkt an den UTM anliegen. Dieses ist zum Beispiel der Fall, wenn an der externen Schnittstelle ein ADSL-Modem angeschlossen ist.
| }}
{{var | Multipath öffentlich zentrale netzwerkvorgaben--Bild
| UTM v12.3.6 Netzwerkkonfiguration multipath öffentlich Zentrale.png
| UTM v12.3.6 Netzwerkkonfiguration multipath öffentlich Zentrale-en.png }}
{{var | Multipath öffentlich zentrale netzwerkvorgaben--desc
| In diesem Szenario nehmen wir an, dass die Zentrale mehrere Anschlüsse zum Internet hat. Hier soll die IPSec-VPN Verbindung über einen Internetzugang mit direkt angeschlossenem DSL-Modem aufgebaut werden. In unserem Fall ist es die erste PPPoE Schnittstelle, die dann die Bezeichnung wan0 erhält. Wichtig ist an dieser Stelle auch, dass die VPN Zonen ''vpn-ipsec'' und ''firewall-vpn-ipsec'' auf der Schnittstelle liegen, über die die VPN-Verbindung erstellt werden soll.
| }}
{{var | Multipath öffentlich zentrale DR--Bild
| UTM v12.3.6 Netzwerkkonfiguration Default Route multipath öffentlich Zentrale.png
| UTM v12.3.6 Netzwerkkonfiguration Default Route multipath öffentlich Zentrale-en.png }}
{{var | Multipath öffentlich zentrale DR--desc
| Da in diesem Beispiel mehrere Internetverbindungen gleichzeitig genutzt werden, bestehen auch mehrere Standard Routen (Multipath-Routing). Ansonsten wird es Probleme mit den Portfilterregeln geben. Sollen unterschiedliche VPN-Verbindungen über unterschiedliche Internetverbindungen aufgebaut werden, müssen weitere VPN Zonen angelegt werden.
| }}
{{var | Multipath öffentlich IPSec zentrale--Bild
| UTM v12.3.6 IPSec Phase 1 multipath öffentlich Zentrale.png
| UTM v12.3.6 IPSec Phase 1 multipath öffentlich Zentrale-en.png }}
{{var | Multipath öffentlich Filiale Netzwerkvorgaben--desc
| Auch hier wurde ein Modem an der UTM angeschlossen, eine [[UTM/NET/PPPoE | PPPoE]] Schnittstelle und eine Standard Route über diese Schnittstelle eingerichtet. Auch in diesem Fall ist es die erste PPPoE Schnittstelle, die dann die Bezeichnung wan0 erhält.
| }}
{{var | Multipath öffentlich IPSec Filiale--Bild
| UTM v12.3.6 IPSec Phase 1 multipath öffentlich Filiale.png
| UTM v12.3.6 IPSec Phase 1 multipath öffentlich Filiale-en.png }}
{{var | Multipath mit einer genatteten Seite
| Multipath mit einer genatteten Seite
| }}
{{var | Multipath mit einer genatteten Seite--desc
| Im folgenden wird erklärt, wie eine IPSec-VPN Konfiguration aussieht, wenn auf einer Seite mehrere Internetleitungen vorhanden sind und dort öffentliche IP-Adressen direkt an den UTM anliegen. Die andere Seite steht hinter einem Router, welcher der UTM über ein Transfernetz den Internetzugang ermöglicht. Dieses ist zum Beispiel der Fall, wenn an der externen Schnittstelle der UTM der ADSL-Router eines Internet-Providers angeschlossen ist.
| }}
{{var | Multipath genattet filiale netzwerkvorgaben--desc
| In diesem Szenario ist die Filiale über einen ADSL Router mit dem Internet verbunden. Dadurch gibt es ein Transfernetz, in unserem Beispiel 192.168.2.0/24, über das zusätzlich "genattet" werden muss. Die Öffentliche IP-Adresse liegt also nicht direkt auf der externen Schnittstelle der UTM.
| }}
{{var | Multipath genattet IPSec filiale--Bild
| UTM v12.3.6 IPSec Phase 1 multipath genattet Filiale.png
| UTM v12.3.6 IPSec Phase 1 multipath genattet Filiale-en.png }}
{{var | Multipath beidseitig genattet
| Multipath beidseitig genattet
| }}
{{var | Multipath beidseitig genattet--desc
| Im folgenden wird erklärt, wie eine IPSec-VPN Konfiguration aussieht, wenn auf einer Seite mehrere Internetleitungen vorhanden sind und beide Seiten der Verbindung hinter einem Router stehen, welcher der UTM über ein Transfernetz den Internetzugang ermöglicht. Dies ist zum Beispiel der Fall, wenn an der externen Schnittstelle der UTM der ADSL-Router eines Internet-Providers angeschlossen ist. Diese Konfiguration wird von Securepoint nicht empfohlen, da diese in der Regel instabil ist, wenn sie denn überhaupt aufgebaut wird. Empfohlen wir für dieses Szenario eine [[UTM/VPN/SSL_VPN-S2S | OpenVPN Site to Site Verbindung]].
| }}
{{var | Multipath beidseitig zentrale netzwerkvorgaben--desc
| In diesem Szenario nehmen wir den Fall an, dass die Zentrale mehrere Anschlüsse zum Internet hat. Hier soll die Zentrale die IPSec-Verbindung über eine Internetleitung aufbauen, die durch einen ADSL Router über das Transfernetz zusätzlich "genattet" werden muss. Die Öffentliche IP-Adresse liegt also nicht direkt auf der externen Schnittstelle der UTM.
| }}
{{var | Multipath beidseitig filiale netzwerkvorgaben--desc
| In diesem Szenario ist die Filiale ebenfalls über einen ADSL-Router mit dem Internet verbunden. Dadurch gibt es ein Transfernetz über das zusätzlich "genattet" werden muss. Die öffentliche IP-Adresse liegt also nicht direkt auf der externen Schnittstelle der UTM.
| }}
{{var | Multipath beidseitig IPSec filiale--Bild
| UTM v12.3.6 IPSec Phase 1 multipath beidseitig genattet Filiale.png
| UTM v12.3.6 IPSec Phase 1 multipath beidseitig genattet Filiale-en.png }}

----
{{var |
|
| }}

</div>

UTM/VPN/IPSec-S2S Beispiele.lang - Versionsgeschichte

Lauritzl am 18. Januar 2024 um 10:40 Uhr

Lauritzl am 18. Juli 2023 um 11:03 Uhr