UTM/VPN/SSL VPN-RW an S2S-BestPractice.lang - Versionsgeschichte

Lauritzl am 14. Januar 2026 um 14:42 Uhr

2026-01-14T14:42:30Z

Lauritzl am 22. Oktober 2025 um 15:29 Uhr

2025-10-22T15:29:05Z

← Nächstältere Version		Version vom 22. Oktober 2025, 17:29 Uhr
Zeile 52:		Zeile 52:
	Die Transfernetze müssen auf den UTMs hinterlegt werden:<br>		Die Transfernetze müssen auf den UTMs hinterlegt werden:<br>
	* Hierzu wird das RW-Transfernetz auf der S2S-Serverseite in die '''Servernetzwerk'''-Freigabe eingetragen:<br>{{Host\|VPN Server}} <br>{{Menu-UTM\|VPN\|SSL-VPN}} {{spc\|{{Kasten\|S2S Server\|blau}} gewünschte Verbindung bearbeiten {{Button\|\|w}} \| e }} Bereich {{Reiter \| Allgemein}} {{b\|Servernetzwerke global freigeben:}} {{ic\|{{cb\|192.168.192.0/24}}\|cb\|sp-class=inline-flex}}		* Hierzu wird das RW-Transfernetz auf der S2S-Serverseite in die '''Servernetzwerk'''-Freigabe eingetragen:<br>{{Host\|VPN Server}} <br>{{Menu-UTM\|VPN\|SSL-VPN}} {{spc\|{{Kasten\|S2S Server\|blau}} gewünschte Verbindung bearbeiten {{Button\|\|w}} \| e }} Bereich {{Reiter \| Allgemein}} {{b\|Servernetzwerke global freigeben:}} {{ic\|{{cb\|192.168.192.0/24}}\|cb\|sp-class=inline-flex}}
	* und das S2S-Clientnetz in der '''RW-Netzwerk'''-Freigabe eingetragen:<br>{{Host\|VPN Server}} <br>{{Menu-UTM\|VPN\|SSL-VPN}} {{spc\| {{Kasten\|RW Server\|blau}} gewünschte Verbindung bearbeiten {{Button\|\|w}} \|e}}Bereich {{Reiter \| Allgemein}} {{b\|Servernetzwerke freigeben:}} {{ic\|{{cb\|192.168.174.0/24}}\|cb\|sp-class=inline-flex}}		* und das S2S-Clientnetz in der '''RW-Netzwerk'''-Freigabe eingetragen:<br>{{Host\|VPN Server}} <br>{{Menu-UTM\|VPN\|SSL-VPN}} {{spc\| {{Kasten\|RW Server\|blau}} gewünschte Verbindung bearbeiten {{Button\|\|w}} \|e}}Bereich {{Reiter \| Allgemein}} {{b\|Servernetzwerke freigeben:}} {{ic\|{{cb\|192.168.174.0/24}}\|cb\|sp-class=inline-flex}}{{info\|In einer vorherigen Version war hier fälschlicherweise das Transfernetz eingetragen\|icon=bug}}
	\| 3= }}		\| 3= }}
	{{var \| Route erstellen		{{var \| Route erstellen

Lauritzl am 22. Oktober 2025 um 15:23 Uhr

2025-10-22T15:23:27Z

← Nächstältere Version		Version vom 22. Oktober 2025, 17:23 Uhr
Zeile 51:		Zeile 51:
	\| 2=		\| 2=
	Die Transfernetze müssen auf den UTMs hinterlegt werden:<br>		Die Transfernetze müssen auf den UTMs hinterlegt werden:<br>
	* Hierzu wird das RW-Transfernetz auf der S2S-Serverseite in die ~~Server Netzfreigabe~~ eingetragen:<br>{{Host\|VPN Server}} <br>{{Menu-UTM\|VPN\|SSL-VPN}} {{spc\|{{Kasten\|S2S Server\|blau}} gewünschte Verbindung bearbeiten {{Button\|\|w}} \| e }} Bereich {{Reiter \| Allgemein}} {{b\|Servernetzwerke global freigeben:}} {{ic\|{{cb\|192.168.192.0/24}}\|cb}}		* Hierzu wird das RW-Transfernetz auf der S2S-Serverseite in die '''Servernetzwerk'''-Freigabe eingetragen:<br>{{Host\|VPN Server}} <br>{{Menu-UTM\|VPN\|SSL-VPN}} {{spc\|{{Kasten\|S2S Server\|blau}} gewünschte Verbindung bearbeiten {{Button\|\|w}} \| e }} Bereich {{Reiter \| Allgemein}} {{b\|Servernetzwerke global freigeben:}} {{ic\|{{cb\|192.168.192.0/24}}\|cb\|sp-class=inline-flex}}
	* und das S2S-Clientnetz in der RW-~~Netz~~-Freigabe eingetragen:<br>{{Host\|VPN Server}} <br>{{Menu-UTM\|VPN\|SSL-VPN}} {{spc\| {{Kasten\|RW Server\|blau}} gewünschte Verbindung bearbeiten {{Button\|\|w}} \|e}}Bereich {{Reiter \| Allgemein}} {{b\|Servernetzwerke freigeben:}} {{ic\|{{cb\|192.168.~~190~~.0/24}}\|cb}}		* und das S2S-Clientnetz in der '''RW-Netzwerk'''-Freigabe eingetragen:<br>{{Host\|VPN Server}} <br>{{Menu-UTM\|VPN\|SSL-VPN}} {{spc\| {{Kasten\|RW Server\|blau}} gewünschte Verbindung bearbeiten {{Button\|\|w}} \|e}}Bereich {{Reiter \| Allgemein}} {{b\|Servernetzwerke freigeben:}} {{ic\|{{cb\|192.168.174.0/24}}\|cb\|sp-class=inline-flex}}
	\| 3= }}		\| 3= }}
	{{var \| Route erstellen		{{var \| Route erstellen

Lauritzl am 18. Dezember 2024 um 12:54 Uhr

2024-12-18T12:54:32Z

← Nächstältere Version		Version vom 18. Dezember 2024, 14:54 Uhr
Zeile 183:		Zeile 183:
	\| }}		\| }}
	{{var \| B4-5-Transfernetze eintragen SSL--desc		{{var \| B4-5-Transfernetze eintragen SSL--desc
	\| Zunächst wird das lokale Netz am Standort B, auf das der Roadwarrior letztlich zugreifen können soll, im RW-Tunnel eingegeben. ~~<br>{{Host\|Standort A}}~~ <br>{{Menu-UTM\|VPN\|SSL-VPN}} {{spc\| {{Kasten\|RW Server\|blau}} gewünschte Verbindung bearbeiten {{Button\|\|w}} \|e}}Bereich {{Reiter \| Allgemein}} {{b\|Servernetzwerke global freigeben:}} {{ic\|{{cb\|192.168.175.0/24}}\|cb}}		\| Zunächst wird das lokale Netz aus Standort B, auf das der Roadwarrior letztlich zugreifen können soll, im RW-Tunnel eingegeben. <br>{{Menu-UTM\|VPN\|SSL-VPN}} {{spc\| {{Kasten\|RW Server\|blau}} gewünschte Verbindung bearbeiten {{Button\|\|w}} \|e}}Bereich {{Reiter \| Allgemein}} {{b\|Servernetzwerke global freigeben:}} {{ic\|{{cb\|192.168.175.0/24}}\|cb}}
	\| }}		\| }}
	{{var \| B4-5-Transfernetze eintragen WG--desc		{{var \| B4-5-Transfernetze eintragen WG--desc
	\| Außerdem wird bei Standort A das SSL-RW Transfernetz in die WireGuard ~~Servernetzwerke eingetragen.<br>~~<~~i class="host utm"~~>~~Standort A~~</i><br>{{Menu-UTM\|VPN\|WireGuard}} {{spc\|gewünschte Verbindung bearbeiten {{Button\|\|w}} \|e}} {{b\|Servernetzwerke global freigeben:}} {{ic\|{{cb\|192.168.192.0/24}}\|cb}}		\| Außerdem wird bei Standort A das SSL-RW Transfernetz in die WireGuard <u>Server</u>netzwerke eingetragen.<br>{{Menu-UTM\|VPN\|WireGuard}} {{spc\|gewünschte Verbindung bearbeiten {{Button\|\|w}} \|e}} {{b\|Servernetzwerke global freigeben:}} {{ic\|{{cb\|192.168.192.0/24}}\|cb}}
			\| }}
			{{var \| Wiregard Neustarten
			\| Anschließend Wiregard {{Button-dialog\| Neustarten \| fa-redo-alt \| fa=fas}}
	\| }}		\| }}
	{{var \| B4-Transfernetze eintragen WG-B		{{var \| B4-Transfernetze eintragen WG-B
	\| Bei Standort B wird das SSL-RW Transfernetz in die WireGuard ~~Peernetzwerke eingetragen.~~<br>~~<i class="host utm">Standort B~~</i><br>{{Menu-UTM\|VPN\|WireGuard}} {{spc\|{{Kasten\|Peers\|grau}} gewünschten Peer bearbeiten {{Button\|\|w}} \|e}} {{b\|Peernetzwerke freigeben:}} {{ic\|{{cb\|192.168.192.0/24}}\|cb}}		\| Bei Standort B wird ebenfalls das SSL-RW Transfernetz eingetragen - allerdings in die WireGuard <u>Peer</u>netzwerke .<br>{{Menu-UTM\|VPN\|WireGuard}} {{spc\|{{Kasten\|Peers\|grau}} gewünschten Peer bearbeiten {{Button\|\|w}} \|e}} {{b\|Peernetzwerke freigeben:}} {{ic\|{{cb\|192.168.192.0/24}}\|cb}}
	\| }}		\| }}
	{{var \| Standort		{{var \| Standort
Zeile 203:		Zeile 205:
	\| }}		\| }}
	{{var \| B4-Routen und Paketfilterregeln erstellen--desc1		{{var \| B4-Routen und Paketfilterregeln erstellen--desc1
	\| ~~Außerdem müssen Paketfilterregeln erstellt werden. Für~~ Standort B ~~sind das die folgenden~~:		\| Und für Standort B diese:
	\| }}		\| }}
	{{var \| B4-Routen und Paketfilterregeln erstellen--desc2		{{var \| B4-Routen und Paketfilterregeln erstellen--desc2
	\| ~~Und für~~ Standort A ~~diese~~:		\| Außerdem müssen Paketfilterregeln erstellt werden. <!--Für Standort A ist das die folgende:-->
	\| }}		\| }}
	{{var \| B4-RW-Transfernetz Zone--Hinweis		{{var \| B4-RW-Transfernetz Zone--Hinweis
	\| <small>in der Zone des WG-Tunnels (Standort A)</small>		\| <small>in der Zone des WG-Tunnels zu Standort A</small>
	\| }}		\| }}
	{{var \| WireGuard-Netz		{{var \| WireGuard-Netz
Zeile 216:		Zeile 218:
	{{var \| B4-WireGuard-Netz--Hinweis		{{var \| B4-WireGuard-Netz--Hinweis
	\| <small>der Gegenstelle (Standort B)</small>		\| <small>der Gegenstelle (Standort B)</small>
			\| }}
			{{var \| B4--Regelhinweis
			\| Soll aus dem Zielnetz heraus ein lokales Gerät am Roadwarrior Client (z.B. ein Drucker) oder der Roadwarrior selbst erreicht werden können, bedarf es einer weiteren Regel:
	\| }}		\| }}

Lauritzl: Die Seite wurde neu angelegt: „{{Lang}} {{#vardefine:headerIcon|spicon-utm}} {{var | display | SSL-VPN RW an S2S Best Practice | }} {{var | head | SSL-VPN mit einem Roadwarrior an S2S Verbindungen - Beispielszenarien | }} {{var | SSL-RW an S2S-Serverseite verbinden | SSL-RW an S2S-Serverseite verbinden | }} {{var | Vorbemerkung | Vorbemerkung | }} {{var | Vorbemerkung--desc | Im Beispiel wird die Dienstgruppe {{whitebox| {{spc|dienste|o|-}} default-internet}} ve…“

2024-12-13T15:09:29Z

Die Seite wurde neu angelegt: „{{Lang}} {{#vardefine:headerIcon|spicon-utm}} {{var | display | SSL-VPN RW an S2S Best Practice | }} {{var | head | SSL-VPN mit einem Roadwarrior an S2S Verbindungen - Beispielszenarien | }} {{var | SSL-RW an S2S-Serverseite verbinden | SSL-RW an S2S-Serverseite verbinden | }} {{var | Vorbemerkung | Vorbemerkung | }} {{var | Vorbemerkung--desc | Im Beispiel wird die Dienstgruppe {{whitebox| {{spc|dienste|o|-}} default-internet}} ve…“

Neue Seite

{{Lang}}

{{#vardefine:headerIcon|spicon-utm}}

{{var | display
| SSL-VPN RW an S2S Best Practice
| }}
{{var | head
| SSL-VPN mit einem Roadwarrior an S2S Verbindungen - Beispielszenarien
| }}
{{var | SSL-RW an S2S-Serverseite verbinden
| SSL-RW an S2S-Serverseite verbinden
| }}
{{var | Vorbemerkung
| Vorbemerkung
| }}
{{var | Vorbemerkung--desc
| Im Beispiel wird die Dienstgruppe {{whitebox| {{spc|dienste|o|-}} default-internet}} verwendet. In realen Konfigurationen muss diese Gruppe natürlich angepasst werden. Ggf. empfiehlt sich eine neue Dienstgruppe. Eine Regel mit {{whitebox| {{spc|other|o|-}} any }} sollte nur dann verwendet werden, wenn alle beteiligten Netze und Geräte zu 100% vertrauenswürdig sind und eine Kompromittierung ausgeschlossen werden kann.
| }}
{{var | Voraussetzung
| Voraussetzung
| }}
{{var | Konfiguriertes S2S-VPN
| Konfiguriertes S2S-VPN
| }}
{{var | Konfigurierte S2E-Verbindung
| Konfigurierte S2E-Verbindung
| }}
{{var | RW Transfer-Netz
| RW Transfer-Netz
| }}
{{var | VPN-Server Internes Netz
| VPN-Server Internes Netz
| }}
{{var | S2S Transfer-Netz
| S2S Transfer-Netz
| }}
{{var | VPN-Client Internes Netz
| VPN-Client Internes Netz
| }}
{{var | Beispielszenario
| Beispielszenario
| }}
{{var | Beispielszenarien
| Beispielszenarien
| }}
{{var | Transfernetze eintragen
| Transfernetze eintragen
| }}
{{var | 1=B1-Transfernetze eintragen--desc
| 2=
Die Transfernetze müssen auf den UTMs hinterlegt werden: 
* Hierzu wird das RW-Transfernetz auf der S2S-Serverseite in die Server Netzfreigabe eingetragen: {{Host|VPN Server}} {{Menu-UTM|VPN|SSL-VPN}} {{spc|{{Kasten|S2S Server|blau}} gewünschte Verbindung bearbeiten {{Button||w}} | e }} Bereich {{Reiter | Allgemein}} {{b|Servernetzwerke global freigeben:}} {{ic|{{cb|192.168.192.0/24}}|cb}}
* und das S2S-Clientnetz in der RW-Netz-Freigabe eingetragen: {{Host|VPN Server}} {{Menu-UTM|VPN|SSL-VPN}} {{spc| {{Kasten|RW Server|blau}} gewünschte Verbindung bearbeiten {{Button||w}} |e}}Bereich {{Reiter | Allgemein}} {{b|Servernetzwerke freigeben:}} {{ic|{{cb|192.168.190.0/24}}|cb}}
| 3= }}
{{var | Route erstellen
| Route erstellen
| }}
{{var | Route erstellen--desc
|
* Anschließend muss auf der Clientseite eine Route erstellt werden. Diese hat kein Quellnetzwerk, als Gateway das ''S2S-tun-interface'' und als Ziel das ''RW-Transfernetz'': {{Host|VPN Client}} {{Menu-UTM|Netzwerk|Netzwerkkonfiguration|Routing|Route hinzufügen|+}}
| }}
{{var | Route erstellen--Bild
| UTM v14.0.0 SSL-VPN E2S BP Route erstellen.png
| UTM v14.0.0 SSL-VPN E2S BP Route erstellen-en.png }}
{{var | Route erstellen--cap
| {{Host|VPN Client}} Route
| }}
{{var | Beispiel 1-2--Client Paketfilterregeln erstellen--desc
| 
Es werden insgesamt 4 Paketfilterregeln benötigt. Zwei auf VPN Clientseite, die wie folgt aussehen:
| }}
{{var | Paketfilterregeln erstellen
| Paketfilterregeln erstellen
| }}
{{var | Quelle | Quelle | Quelle }}
{{var | Ziel | Ziel | Target }}
{{var | Dienst | Dienst | Service }}
{{var | Aktion | Aktion | Action }}
{{var | Aktiv | Aktiv | Active }}
{{var | Typ | Typ | Type }}
{{var | Netzwerkobjekt | Netzwerkobjekt | Networkobject }}
{{var | Allgemein | Allgemein | General }}
{{var | RW-Transfer-Netz
| RW-Transfer-Netz
| }}
{{var | B1-2-RW-Transfer-Netz Zone--Hinweis
| Objekt erstellen mit Zone des S2S-Tunnels
| }}
{{var | internes Zielnetz
| internes Zielnetz
| }}
{{var | Beispiel 1-2--Server Paketfilterregeln erstellen--desc
| Zwei weitere Paketfilterregeln werden auf der VPN Serverseite benötigt, die wie folgt aussehen:
| }}
{{var | S2S-Netz der Clientseite
| S2S-Netz der Clientseite
| }}

{{var | SSL-RW an S2S-Clientseite verbinden
| SSL-RW an S2S-Clientseite verbinden
| }}
{{var | 1=B2-Transfernetze eintragen--desc
| 2=
Die Transfernetze müssen auf den UTMs hinterlegt werden: 
* Hierzu wird das RW-Transfernetz auf der S2S-Serverseite in die Client Netzfreigabe eingetragen: {{Host|VPN Server}} {{Menu-UTM|VPN|SSL-VPN}} {{spc|{{Kasten|S2S Server|blau}} {{spc|Client-Gegenstellen|grau}} gewünschten Client bearbeiten {{Button||w}} | e }} {{b|Clientnetzwerke freigeben:}} {{ic|{{cb|192.168.192.0/24}}|cb}}
* und das S2S-Servernetz in der RW-Netz-Freigabe eingetragen: {{Host|VPN Server}} {{Menu-UTM|VPN|SSL-VPN}} {{spc| {{Kasten|RW Server|blau}} gewünschte Verbindung bearbeiten {{Button||w}} |e}}Bereich {{Reiter | Allgemein}} {{b|Servernetzwerke global freigeben:}} {{ic|{{cb|192.168.175.0/24}}|cb}}
| 3= }}
{{var | Beispiel 2--Bild
| VPN RW - S2S Client.png
| }}
{{var | Beispiel 2--cap
|
| }}
{{var | S2S-Netz der Serverseite
| S2S-Netz der Serverseite
| }}

{{var | SSL-RW durch IPSec-S2S
| SSL-RW durch IPSec-S2S
| }}
{{var | SSL-RW durch IPSec-S2S--desc
| Vom Roadwarrior-Netz durch ein IPSec-Netz ein Gerät erreichen.
| }}
{{var | Beispiel 3--Bild
| SSL-RW durch IPSec-S2S.png
| }}
{{var | Beispiel 3--cap
|
| }}
{{var | IPSec-Netz erstellen
| IPSec-Netz erstellen
| }}
{{var | 1=B3-IPSec-Netz erstellen--desc
| 2=
* Zunächst wird das lokale Netz am Standort B, auf das der Roadwarrior letztlich zugreifen können soll, im RW-Tunnel eingegeben. {{Host|Standort A}} {{Menu-UTM|VPN|SSL-VPN}} {{spc| {{Kasten|RW Server|blau}} gewünschte Verbindung bearbeiten {{Button||w}} |e}}Bereich {{Reiter | Allgemein}} {{b|Servernetzwerke global freigeben:}} {{ic|{{cb|192.168.175.0/24}}|cb}}
* Anschließend wird ein Netzwerkobjekt für das lokale Netz an Standort B (hinter der IPSec-Verbindung) erstellt. {{Host|Standort A}} {{Menu-UTM|Firewall|Netzwerkobjekte||Objekt hinzufügen|+}} {{b|Name:}} {{ic|Zielnetz Standort B}} '''Wichtig:'''
<li class="list--element__alert list--element__warning Einrücken">{{b|Typ|class=mw3}} {{Button|Netzwerk (Adresse)|dr|class=mw11}} {{info| Die SSL-VPN-Verbindung bekommt nicht mit, daß es sich um eine weitere VPN-Verbindung handelt. Daher darf hier '''kein VPN-Netzwerk''' ausgewählt werden! }}</li>
<li class="list--element__alert list--element__warning Einrücken">{{b|Zone|class=mw3}} {{Button|external|dr|class=mw11}} </li>
| 3= }}
{{var | Paketfilterregel anlegen
| Paketfilterregel anlegen
| }}
{{var | B3-Paketfilterregel anlegen--desc
| Außerdem müssen die folgenden Paketfilterregeln angelegt werden. Dabei kann der Wiki-Artikel zu [[UTM/VPN/SSL_VPN_zu_IPSec-Ziel#Konfiguration_mit_HideNat-Regel|IPSec S2S-Ziele mit SSL-VPN erreichen]] nützlich sein.
| }}
{{var | RW-Netz
| RW-Netz
| }}
{{var | IPSec-Netz
| Zielnetz Standort B
| }}
{{var | mit internal interface
| mit ''internal interface''
| }}
{{var | Phase 2 bearbeiten
| Phase 2 bearbeiten
| }}
{{var | Phase 2 bearbeiten--desc
| In Phase 2 der Verbindung muss die SSL-Roadwarrior IP-Adresse als Subnetz eingetragen werden.
| }}
{{var | Phase 2 bearbeiten--Menu
| {{Menu-UTM|VPN|IPSec|Verbindungen}} {{spc|Phase 2 der gewünschten Verbindung bearbeiten {{Button|Phase2|w}}|e}} → Bereich {{Reiter|Subnetze}} Schaltfläche {{Button|Subnetz hinzufügen|+}}
| }}
{{var | Phase 2 bearbeiten--Standort B
| Besteht kein administrativer Zugriff auf den entfernten Standort, muss am lokalen ''Standort A'' zusätzlicheine HideNat-Regel angelegt werden. Dazu gibt es eine [[UTM/VPN/SSL_VPN_zu_IPSec-Ziel#Konfiguration_mit_HideNat-Regel | eigene Anleitung]]. Achtung: Hier ist der lokale Standort der ''Standort B'' !
| }}

{{var | SSL-RW durch WG-S2S--SP
| SSL-RW durch WG-S2S (SP zu SP)
| }}
{{var | SSL-RW durch WG-S2S--desc
| Der SSL-RW befindet sich bei Standort A und möchte auf ein Gerät bei Standort B zugreifen.
| }}
{{var | SSL-RW durch WG-S2S--SP--Hinweis
| Dabei verwenden beide Standorte Securepoint Hardware (ansonsten siehe [[#SSL-RW durch WG-S2S (SP zu Fremd)|Szenario 5]])
| }}
{{var | Beispiel 4--Bild
| SSL-RW durch WG-S2S.png
| }}
{{var | Beispiel 4--cap
|
| }}
{{var | B4-5-Transfernetze eintragen SSL--desc
| Zunächst wird das lokale Netz am Standort B, auf das der Roadwarrior letztlich zugreifen können soll, im RW-Tunnel eingegeben. {{Host|Standort A}} {{Menu-UTM|VPN|SSL-VPN}} {{spc| {{Kasten|RW Server|blau}} gewünschte Verbindung bearbeiten {{Button||w}} |e}}Bereich {{Reiter | Allgemein}} {{b|Servernetzwerke global freigeben:}} {{ic|{{cb|192.168.175.0/24}}|cb}}
| }}
{{var | B4-5-Transfernetze eintragen WG--desc
| Außerdem wird bei Standort A das SSL-RW Transfernetz in die WireGuard Servernetzwerke eingetragen. Standort A {{Menu-UTM|VPN|WireGuard}} {{spc|gewünschte Verbindung bearbeiten {{Button||w}} |e}} {{b|Servernetzwerke global freigeben:}} {{ic|{{cb|192.168.192.0/24}}|cb}}

| }}
{{var | B4-Transfernetze eintragen WG-B
| Bei Standort B wird das SSL-RW Transfernetz in die WireGuard Peernetzwerke eingetragen. Standort B {{Menu-UTM|VPN|WireGuard}} {{spc|{{Kasten|Peers|grau}} gewünschten Peer bearbeiten {{Button||w}} |e}} {{b|Peernetzwerke freigeben:}} {{ic|{{cb|192.168.192.0/24}}|cb}}
| }}
{{var | Standort
| Standort
| }}
{{var | B4-Route erstellen--desc
|
* Anschließend muss bei Standort B eine Route erstellt werden. Diese hat kein Quellnetzwerk, als Gateway das ''S2S-tun-interface'' und als Ziel das ''RW-Transfernetz'': {{Host|Standort B}} {{Menu-UTM|Netzwerk|Netzwerkkonfiguration|Routing|Route hinzufügen|+}}
| }}
{{var | B4-Route erstellen--cap
| {{Host|Standort B}} Route
| }}
{{var | B4-Routen und Paketfilterregeln erstellen--desc1
| Außerdem müssen Paketfilterregeln erstellt werden. Für Standort B sind das die folgenden:
| }}
{{var | B4-Routen und Paketfilterregeln erstellen--desc2
| Und für Standort A diese:
| }}
{{var | B4-RW-Transfernetz Zone--Hinweis
| in der Zone des WG-Tunnels (Standort A)
| }}
{{var | WireGuard-Netz
| WireGuard-Netz
| }}
{{var | B4-WireGuard-Netz--Hinweis
| der Gegenstelle (Standort B)
| }}

{{var | SSL-RW durch WG-S2S--Fremd
| SSL-RW durch WG-S2S (SP zu Fremd)
| }}
{{var | SSL-RW durch WG-S2S--Fremd--Hinweis
| Dabei verwendet Standort A Securepoint Hardware und Standort B fremde Hardware (ansonsten siehe [[#SSL-RW durch WG-S2S (SP zu SP)|Szenario 4]])
| }}
{{var | Beispiel 5--Bild
| SSL-RW durch WG-S2S mit fremd Hardware.png
| }}
{{var | B5-Transfernetze eintragen B
| Auf dem entfernten Gerät muss das Roadwarrior-Netz als ''Allowed IPs'' konfiguriert werden.
| }}
{{var | Beispiel 5--cap
|
| }}
{{var | Routen und Paketfilterregeln erstellen
| Routen und Paketfilterregeln erstellen
| }}
{{var | B5-Routen und Paketfilterregeln erstellen--desc
| 
* {{f|Außerdem muss je nach Gerät die WireGuard-Verbindung die IP-Adresse der Securepoint Hardware kennen, dementsprechend müssen Routen und Regeln erstellt werden. § das kann weg?}}

* {{Host|Standort A}} 
Bei Standort A, also der Securepoint Hardware, müssen folgende Paketfilterregeln erstellt werden:
| }}
{{var | Beispiel 1--Bild
| VPN RW - S2S.png
| }}
{{var | Beispiel 1--cap
|
| }}
{{var | Dienst neu starten
| Dienst neu starten um Änderungen vollständig zu übernehmen und Routen zu pushen:
| }}
{{var | Dienst neu starten--Menu
| {{Menu-UTM|Anwendungen|Anwendungsstatus}} die Anwendung {{b|SSL-VPN}} {{Button||fa|icon-class=fas fa-stop}} {{Hover-class|stoppen}} und anschließend {{Button||play}} {{Hover-class|starten}}
| }}

----
{{var |
|
| }}
</div>