Wechseln zu:Navigation, Suche
Wiki
Zeile 53: Zeile 53:


==Portfilter==
==Portfilter==
====Firewallregel erstellen====
*Im Menü ''Firewall > Portfilter"
*Eine neue Regel hinzufügen
*Quelle ist das "internal-network"
*Ziel ist entfernte Netz "gre-network"
*Als Dienst im Testszenario ''any'' wählen
*"Hinzufügen" klicken
*Eine weitere Regel hinzufügen
*Quelle ist das entfernte Netz "gre-network"
*Ziel ist das "internal-network"
*Als Dienst im Testszenario ''any'' wählen
*"Hinzufügen und schließen" klicken


====Netzwerkobjekt hinzufügen====
====Netzwerkobjekt hinzufügen====


Natürlich ist es auch hier ratsam dediziert zu arbeiten, d.h. für jede benötigte Verbindung einzelne Netzwerkobjekte anzulegen und ausschlißlich die benötigten Dienste in der Portfilterregel freizuschalten.


*Gehen Sie auf ''Firewall=>Portfilter=>Netzwerkobjeke''
*Im Menü ''Firewall > Portfilter'' den Karteireiter ''Netzwerkobjekte'' öffnen
*Fügen Sie ein neues Objekt hinzu
*Ein neues Objekt hinzufügen
*Geben Sie dem Objekt einen Namen
*Name: "xsrv-GRE-mail-01"
*Als wählen Typ Sie ''Netzwerk(Addresse)''
*Typ: ''Host''
*Unter ''Adresse'' tragen Sie das Netz der Gegenstelle mit der dazugehörigen Maske
*Adresse: "10.1.0.10"
*Unter ''Zone'' wählen Sie die neu angelegte GRE-Zone aus.
*Zone: "gre"
*Das Feld ''Gruppe'' können Sie leer lassen
*Gruppe: Kein Eintrag
*Klicken Sie auf Speichern
*Speichern
[[Datei:gre_netzwerkobjekt.jpg|300px|thumb|none|Netzwerkobjekt anlegen]]
[[Datei:GRE-NO-Anlegen.PNG|300px|thumb|none|Netzwerkobjekt anlegen]]
 
====Dedizierte Firewallregel erstellen====


====Firewallregel erstellen====


*Im Menü ''Firewall > Portfilter''
*Eine neue Regel hinzufügen
*Quelle ist das "internal-network"
*Ziel ist entfernte Netz "xsrv-GRE-mail-01"
*Als Dienst beim Zugriff auf den Mailserver ''smtp'' wählen
*"Hinzufügen" klicken
[[Datei:GRE-Portfilter-1.PNG|500px|thumb|none|Zugriff vom internen Netz zum Mailserver der Gegenstelle erlauben]]


*Wechseln Sie zurück in den Portfilter
*Eine weitere Regel hinzufügen
*Fügen Sie eine neue Regel hinzu
*Quelle ist das entfernte Netz "gre-network"
*Quelle ist das internal-network
*Ziel ist "srv-lg-rdp-01"
*Ziel ist das so eben anglegte entfernte Netz
*Als Dienst beim Zugriff auf den Terminalserver ''ms-rdp'' wählen
*Als Dienst wählen Sie ''any''
*"Hinzufügen und schließen" klicken
*Klicken Sie auf Speichern
[[Datei:GRE-Portfilter-2.PNG|500px|thumb|none|Zugriff vom entfernten Netz zum Terminalserver erlauben]]
[[Datei:portfilter_gre_hinregel.jpg|500px|thumb|none|Zugriff vom entfernten Netz erlauben]]


*Fügen Sie noch eine weitere Regel hinzu
[[Datei:GRE-Regelwerk.png|500px|thumb|none|Die Regelgruppe mit den Portfilterregeln]]
*Quelle ist das Entfernte Netz
*Ziel ist das internal-network
*Als Dienst wählen Sie ''any''
*Klicken Sie auf Speichern
[[Datei:portfilter_gre_rückregel.jpg|500px|thumb|none|Zugriff auf das Lokale Netz vom entfernten Netz freigeben]]


==Konfiguration der Gegenstelle==
==Konfiguration der Gegenstelle==

Version vom 9. Juni 2017, 10:14 Uhr


Informationen

Letze Anpassung zur Version: 11.7
Bemerkung: Artikelanpassung
Vorherige Versionen: -

Einleitung

Über das GRE (=Generic Routing Encapsulation) Protokoll, lassen sich andere Protokolle einkapseln und über Tunnel transportieren. Dabei ist zu beachten das die Pakete nicht verschlüsselt werden.

Mögliche Verwendung des GRE Protokolls:

  • Bei PPTP VPN

GRE - Tunnel anlegen

In diesem Beispiel hat die Firewall "Zentrale" auf eth0 die IP-Adresse 198.51.100.75/24 und die Gegenstelle "Standort-01" die IP-Adresse 198.51.100.1/24 auf eth0.

Die lokalen Subnetze sind bei "Zentrale" 10.0.0.0/24 sowie 10.1.0.0/24 bei "Standort-01".


GRE - Interface anlegen

  • Menü Netzwerk > Netzwerkkonfiguration
  • Assistenten "+ GRE" starten
  • Die Lokale IP-Adresse ist 10.250.0.1/24
  • Der Lokale Tunnelendpunkt ist 198.51.100.75
  • Der Entfernte Tunnelendpunkt hat die IP 198.51.100.1
  • Die Zonen können im Assistenten angelegt werden'
Lokale Einstellungen
Entfernte Einstellungen





Zonen auf das Interface binden

















Routing

  • Im Menü Netzwerk > Netzwerkkonfiguration" den Karteireiter "Routing auswählen
  • Eine neue Route hinzufügen
  • Gateway ist das GRE - Interface (gretun0)
  • Zielnetzwerk ist das entfernte Netz der Gegenstelle
Route hinzufügen

Portfilter

Firewallregel erstellen

  • Im Menü Firewall > Portfilter"
  • Eine neue Regel hinzufügen
  • Quelle ist das "internal-network"
  • Ziel ist entfernte Netz "gre-network"
  • Als Dienst im Testszenario any wählen
  • "Hinzufügen" klicken
  • Eine weitere Regel hinzufügen
  • Quelle ist das entfernte Netz "gre-network"
  • Ziel ist das "internal-network"
  • Als Dienst im Testszenario any wählen
  • "Hinzufügen und schließen" klicken


Netzwerkobjekt hinzufügen

Natürlich ist es auch hier ratsam dediziert zu arbeiten, d.h. für jede benötigte Verbindung einzelne Netzwerkobjekte anzulegen und ausschlißlich die benötigten Dienste in der Portfilterregel freizuschalten.

  • Im Menü Firewall > Portfilter den Karteireiter Netzwerkobjekte öffnen
  • Ein neues Objekt hinzufügen
  • Name: "xsrv-GRE-mail-01"
  • Typ: Host
  • Adresse: "10.1.0.10"
  • Zone: "gre"
  • Gruppe: Kein Eintrag
  • Speichern
Netzwerkobjekt anlegen

Dedizierte Firewallregel erstellen

  • Im Menü Firewall > Portfilter
  • Eine neue Regel hinzufügen
  • Quelle ist das "internal-network"
  • Ziel ist entfernte Netz "xsrv-GRE-mail-01"
  • Als Dienst beim Zugriff auf den Mailserver smtp wählen
  • "Hinzufügen" klicken
Zugriff vom internen Netz zum Mailserver der Gegenstelle erlauben
  • Eine weitere Regel hinzufügen
  • Quelle ist das entfernte Netz "gre-network"
  • Ziel ist "srv-lg-rdp-01"
  • Als Dienst beim Zugriff auf den Terminalserver ms-rdp wählen
  • "Hinzufügen und schließen" klicken
Zugriff vom entfernten Netz zum Terminalserver erlauben
Die Regelgruppe mit den Portfilterregeln

Konfiguration der Gegenstelle

Auf der entfernten Appliance müssen die Einstellungen analog vorgenommen werden.

  • Erstellen Sie ein Netzwerkobjekt für das Entfernte-Netzwerk.
  • Legen Sie ein GRE Interface mit Hilfe des Schnittstellen-Assistenten an.
  • Erstellen Sie die Firewall Regeln um die Kommunikation zu erlauben.