Keine Bearbeitungszusammenfassung |
|||
| (12 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt) | |||
| Zeile 1: | Zeile 1: | ||
== IPSec-Tunnel über dediziertes Interface aufbauen == | == IPSec-Tunnel über dediziertes Interface aufbauen == | ||
=== Einleitung === | === Einleitung === | ||
In manchen Setups kommt es vor, dass das Surfen der Clients und der IPSec-Traffic getrennt werden sollen. Hierfür bietet es sich an, eine weitere Internetleitung an die | In manchen Setups kommt es vor, dass das Surfen der Clients und der IPSec-Traffic getrennt werden sollen. Hierfür bietet es sich an, eine weitere Internetleitung an die UTM anzubinden und jeweils eine Leitung für Surfen und den IPSec-Traffic zu verwenden. In dieser Anleitung wird erklärt, wie Sie den IPSec-Traffic über eine dedizierte Schnittstelle '''ohne Defaultroute''' leiten. Möchten man den Aufbau mit zwei Default-Routen realisieren, kann dies ohne Weiteres über die "Route Over"-Einstellung in der Phase 1 des VPN-Tunnels konfiguriert werden. | ||
=== Ausgangssituation === | === Ausgangssituation === | ||
In unserem Beispielszenario verfügt die UTM bereits über eine ADSL-Verbindung (ppp0). Für die Trennung des Traffics wird nun eine weitere Leitung mit fester IP (eth2) angebunden. | In unserem Beispielszenario verfügt die UTM bereits über eine ADSL-Verbindung (ppp0). Die Clients hinter der UTM sollen weiterhin über die ppp0 surfen. Außerdem sollen zwei IPSec-Endpunkte angebunden werden. Für die Trennung des Traffics wird nun eine weitere Leitung mit fester IP (eth2) angebunden.<br> | ||
'''Achtung: Auf der Leitung über die die IPSec-Verbindungen laufen sollen, | '''Achtung: Auf der Leitung über die die IPSec-Verbindungen laufen sollen, wird in diesem Szenario zwingend eine feste IP-Adresse benötigt. Ob diese feste IP-Adresse per ADSL oder SDSL angebunden wird ist dabei irrelevant.''' | ||
[[Datei:multipath_ipsec_aufbau.png| center| thumb| 900px| <font size=2>zwei Internetleitungen an der | [[Datei:multipath_ipsec_aufbau.png| center| thumb| 900px| <font size=2>zwei Internetleitungen an der UTM mit zwei IPSec-Endpunkten</font>]] | ||
=== Lösung === | === Lösung === | ||
In der | ==== Netzwerkkonfiguration ==== | ||
In der UTM wird nun die zweite Leitung hinzugefügt. Die Leitung wird an die entsprechende Schnittstelle (in diesem Beispiel eth2) angeschlossen und im Webinterface eingerichtet. Zu beachten ist hierbei, dass die Zonen vpn-ipsec und firewall-vpn-ipsec auf die Schnittstelle gelegt werden. | |||
<br> Statt einer Default-Route für diese Leitung, wird nun eine Source-Route angelegt. Die Quelle in dieser Source-Route entspricht der IP-Adresse auf (in diesem Beispiel) eth2. | |||
[[Datei:multipath_ipsec_routen_v11.png| center| thumb| 550px| <font size=2>Routen für das Beispielszenario</font>]] | |||
==== IPSec-Einstellungen ==== | |||
In der Phase 1 Ihres IPSec-Tunnels müssen die Einträge '''lokales Gateway''' und '''Route-Over''' entsprechend gesetzt werden. Das '''lokale Gateway''' entspricht der IP-Adresse auf der eth2 und die '''Route-Over''' dem Gateway dieses IP-Netzes. | |||
[[Datei:multipath_ipsec_tunnel_settings.png| center| thumb| 550px| <font size=2>Einstellungen in der Phase 1</font>]] | |||
=== Ergebnis === | |||
Durch die Source Route für die zweite Leitung werden nur die IPSec-Verbindungen über diese Verbindung geleitet. Das Surfen der Benutzer, sowie sämtliche Dienste der UTM, wie z.B. DNS, werden weiterhin über die Default-Route, also über die ppp0 geleitet. | |||
Aktuelle Version vom 21. Dezember 2016, 16:18 Uhr
IPSec-Tunnel über dediziertes Interface aufbauen
Einleitung
In manchen Setups kommt es vor, dass das Surfen der Clients und der IPSec-Traffic getrennt werden sollen. Hierfür bietet es sich an, eine weitere Internetleitung an die UTM anzubinden und jeweils eine Leitung für Surfen und den IPSec-Traffic zu verwenden. In dieser Anleitung wird erklärt, wie Sie den IPSec-Traffic über eine dedizierte Schnittstelle ohne Defaultroute leiten. Möchten man den Aufbau mit zwei Default-Routen realisieren, kann dies ohne Weiteres über die "Route Over"-Einstellung in der Phase 1 des VPN-Tunnels konfiguriert werden.
Ausgangssituation
In unserem Beispielszenario verfügt die UTM bereits über eine ADSL-Verbindung (ppp0). Die Clients hinter der UTM sollen weiterhin über die ppp0 surfen. Außerdem sollen zwei IPSec-Endpunkte angebunden werden. Für die Trennung des Traffics wird nun eine weitere Leitung mit fester IP (eth2) angebunden.
Achtung: Auf der Leitung über die die IPSec-Verbindungen laufen sollen, wird in diesem Szenario zwingend eine feste IP-Adresse benötigt. Ob diese feste IP-Adresse per ADSL oder SDSL angebunden wird ist dabei irrelevant.
Lösung
Netzwerkkonfiguration
In der UTM wird nun die zweite Leitung hinzugefügt. Die Leitung wird an die entsprechende Schnittstelle (in diesem Beispiel eth2) angeschlossen und im Webinterface eingerichtet. Zu beachten ist hierbei, dass die Zonen vpn-ipsec und firewall-vpn-ipsec auf die Schnittstelle gelegt werden.
Statt einer Default-Route für diese Leitung, wird nun eine Source-Route angelegt. Die Quelle in dieser Source-Route entspricht der IP-Adresse auf (in diesem Beispiel) eth2.
IPSec-Einstellungen
In der Phase 1 Ihres IPSec-Tunnels müssen die Einträge lokales Gateway und Route-Over entsprechend gesetzt werden. Das lokale Gateway entspricht der IP-Adresse auf der eth2 und die Route-Over dem Gateway dieses IP-Netzes.
Ergebnis
Durch die Source Route für die zweite Leitung werden nur die IPSec-Verbindungen über diese Verbindung geleitet. Das Surfen der Benutzer, sowie sämtliche Dienste der UTM, wie z.B. DNS, werden weiterhin über die Default-Route, also über die ppp0 geleitet.