(Die Seite wurde neu angelegt: „== IPSec-Tunnel über dediziertes Interface aufbauen == === Einleitung === In manchen Setups kommt es vor, dass das Surfen der Clients und der IPSec-Traffic ge…“) |
|||
(5 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
Zeile 1: | Zeile 1: | ||
== IPSec-Tunnel über dediziertes Interface aufbauen == | == IPSec-Tunnel über dediziertes Interface aufbauen == | ||
=== Einleitung === | === Einleitung === | ||
In manchen Setups kommt es vor, dass das Surfen der Clients und der IPSec-Traffic getrennt werden sollen. Hierfür bietet es sich an, eine weitere Internetleitung an die Firewall anzubinden und jeweils eine Leitung für Surfen und IPSec-Traffic zu verwenden. | In manchen Setups kommt es vor, dass das Surfen der Clients und der IPSec-Traffic getrennt werden sollen. Hierfür bietet es sich an, eine weitere Internetleitung an die Firewall anzubinden und jeweils eine Leitung für Surfen und IPSec-Traffic zu verwenden. In dieser Anleitung wird erklärt, wie Sie den IPSec-Traffic über ein dediziertes Interface '''ohne Defaultroute''' leiten. Möchten Sie den Aufbau mit zwei default-Routen realisieren, können Sie dies ohne Weiteres über die "Route Over"-Einstellung in der Phase 1 Ihres VPN-Tunnels konfigurieren. | ||
=== Ausgangssituation === | |||
In unserem Beispielszenario verfügt die Firewall bereits über eine ADSL-Verbindung (ppp0). Für die Trennung des Traffics wird nun eine | In unserem Beispielszenario verfügt die Firewall bereits über eine ADSL-Verbindung (ppp0). Für die Trennung des Traffics wird nun eine weitere Leitung mit fester IP (eth2) angebunden. | ||
'''Achtung: Auf der Leitung über die die IPSec-Verbindungen laufen sollen, benötigen Sie zwingend eine feste IP-Adresse. Ob diese feste IP per ADSL oder SDSL angebunden wird ist dabei irrelevant.''' | '''Achtung: Auf der Leitung über die die IPSec-Verbindungen laufen sollen, benötigen Sie in diesem Szenario zwingend eine feste IP-Adresse. Ob diese feste IP per ADSL oder SDSL angebunden wird ist dabei irrelevant.''' | ||
Die Clients hinter der Firewall sollen nun über die ppp0 surfen. Die VPN-Tunnel hingegen, sollen alle über die eth2 laufen. Es gibt zwei IPSec-Endpunkte, welche nun über die eth2 angebunden werden sollen. | Die Clients hinter der Firewall sollen nun über die ppp0 surfen. Die VPN-Tunnel hingegen, sollen alle über die eth2 laufen. Es gibt zwei IPSec-Endpunkte, welche nun über die eth2 angebunden werden sollen. | ||
[[Datei:multipath_ipsec_aufbau.png| center| thumb| 900px| <font size=2>zwei Internetleitungen an der Firewall mit zwei IPSec-Endpunkten</font>]] | [[Datei:multipath_ipsec_aufbau.png| center| thumb| 900px| <font size=2>zwei Internetleitungen an der Firewall mit zwei IPSec-Endpunkten</font>]] | ||
=== Lösung === | |||
In der Firewall wird zum einen eine default-Route über die ppp0 angelegt. Dies bezweckt, dass die Clients über diese Leitung ins Internet geroutet werden. Zusätzlich muss in jedem IPSec-Tunnel das Feld "Route Over" entsprechend konfiguriert werden. Außerdem wird eine Source-Route mit der öffentlichen, festen IP der eth2 als Quelle angelegt. Diese Route führt in Verbindung mit der, im Tunnel eingetragenen, "Route Over" dazu, dass die Tunnel im Endeffekt über die eth2 geroutet werden. | In der Firewall wird zum einen eine default-Route über die ppp0 angelegt. Dies bezweckt, dass die Clients über diese Leitung ins Internet geroutet werden. Zusätzlich muss in jedem IPSec-Tunnel das Feld "Route Over" entsprechend konfiguriert werden. Außerdem wird eine Source-Route mit der öffentlichen, festen IP der eth2 als Quelle angelegt. Diese Route führt in Verbindung mit der, im Tunnel eingetragenen, "Route Over" dazu, dass die Tunnel im Endeffekt über die eth2 geroutet werden. Des Weiteren müssen die IPSec-Zonen (vpn-ipsec, firewall-vpn-ipsec) auf der Schnittstelle liegen, über die der Tunnel aufgebaut wird. | ||
[[Datei:multipath_ipsec_routen.png| center| thumb| 550px| <font size=2>Routen für das Beispielszenario</font>]] | [[Datei:multipath_ipsec_routen.png| center| thumb| 550px| <font size=2>Routen für das Beispielszenario</font>]] |
Aktuelle Version vom 6. Januar 2015, 12:13 Uhr
IPSec-Tunnel über dediziertes Interface aufbauen
Einleitung
In manchen Setups kommt es vor, dass das Surfen der Clients und der IPSec-Traffic getrennt werden sollen. Hierfür bietet es sich an, eine weitere Internetleitung an die Firewall anzubinden und jeweils eine Leitung für Surfen und IPSec-Traffic zu verwenden. In dieser Anleitung wird erklärt, wie Sie den IPSec-Traffic über ein dediziertes Interface ohne Defaultroute leiten. Möchten Sie den Aufbau mit zwei default-Routen realisieren, können Sie dies ohne Weiteres über die "Route Over"-Einstellung in der Phase 1 Ihres VPN-Tunnels konfigurieren.
Ausgangssituation
In unserem Beispielszenario verfügt die Firewall bereits über eine ADSL-Verbindung (ppp0). Für die Trennung des Traffics wird nun eine weitere Leitung mit fester IP (eth2) angebunden. Achtung: Auf der Leitung über die die IPSec-Verbindungen laufen sollen, benötigen Sie in diesem Szenario zwingend eine feste IP-Adresse. Ob diese feste IP per ADSL oder SDSL angebunden wird ist dabei irrelevant. Die Clients hinter der Firewall sollen nun über die ppp0 surfen. Die VPN-Tunnel hingegen, sollen alle über die eth2 laufen. Es gibt zwei IPSec-Endpunkte, welche nun über die eth2 angebunden werden sollen.
Lösung
In der Firewall wird zum einen eine default-Route über die ppp0 angelegt. Dies bezweckt, dass die Clients über diese Leitung ins Internet geroutet werden. Zusätzlich muss in jedem IPSec-Tunnel das Feld "Route Over" entsprechend konfiguriert werden. Außerdem wird eine Source-Route mit der öffentlichen, festen IP der eth2 als Quelle angelegt. Diese Route führt in Verbindung mit der, im Tunnel eingetragenen, "Route Over" dazu, dass die Tunnel im Endeffekt über die eth2 geroutet werden. Des Weiteren müssen die IPSec-Zonen (vpn-ipsec, firewall-vpn-ipsec) auf der Schnittstelle liegen, über die der Tunnel aufgebaut wird.