Wechseln zu:Navigation, Suche
Wiki
Keine Bearbeitungszusammenfassung
Keine Bearbeitungszusammenfassung
Zeile 10: Zeile 10:
*Die Subnetze der am NETMAP beteiligten Objekte müssen alle die gleiche Größe haben, zum Beispiel alle /24.
*Die Subnetze der am NETMAP beteiligten Objekte müssen alle die gleiche Größe haben, zum Beispiel alle /24.
*Alle beteiligten Objekte müssen einen definierten IP-Adressbereich eingetragen haben. Es dürfen also keine Schnittstellen ausgewählt werden.
*Alle beteiligten Objekte müssen einen definierten IP-Adressbereich eingetragen haben. Es dürfen also keine Schnittstellen ausgewählt werden.
[[Datei:UTM115_AI_PFNOinaddr.png|250px|thumb|right|Netzwerkobjekt auf Adresse umstellen]]
Überprüfen Sie das Netzwerkobjekt Ihres Internen Netzwerkes und stellen Sie dieses gegebenenfalls auf Adresse um indem Sie den Radio-Button vor ''Adresse'' aktivieren und die Netzwerk-Adresse mit der entsprechenden Subnetzmaske in das Feld eintragen. In diesem Beispiel haben wir auf beiden Seiten das Netzwerk 172..16.3.0/24.


Überprüfen Sie das Netzwerkobjekt Ihres Internen Netzwerkes und stellen Sie dieses gegebenenfalls auf Adresse um indem Sie den Radio-Button vor ''Adresse'' aktivieren und die Netzwerk-Adresse mit der entsprechenden Subnetzmaske in das Feld eintragen. In diesem Beispiel haben wir auf beiden Seiten das Netzwerk 172..16.3.0/24.


===Netzwerkobjekte erstellen===
===Auf beiden Seiten das selbe Subnetz===
====Netzwerkobjekte erstellen====
Erstellen Sie zwei Netzwerkobjekte mit Netzwerken, die weder auf der einen noch auf der anderen Seite der VPN Verbindung genutzt werden.
Erstellen Sie zwei Netzwerkobjekte mit Netzwerken, die weder auf der einen noch auf der anderen Seite der VPN Verbindung genutzt werden.
[[Datei:UTM115_AI_PFNOnmrn.png|250px|thumb|right|Netzwerkobjekt Mapnetz Remote]]
Das Netzwerkobjekt für das Mapnetz der Gegenstelle muss sich in der Zone vpn-ipsec befinden und erhält in unserem Beispiel die Netzwerkadresse 10.0.2.0/24.


Das Netzwerkobjekt für das Mapnetz der Gegenstelle muss sich in der Zone vpn-ipsec befinden und erhält in unserem Beispiel die Netzwerkadresse 10.0.2.0/24.


[[Datei:UTM115_AI_PFNOnmln.png|250px|thumb|right|Netzwerkobjekt Mapnetz Lokal]]
Das Netzwerkobjekt für das Mapnetz auf der lokalen Seite muss sich in der Zone des internen Netzwerkes befinden und bekommt in unserem Beispiel die Netzwerkadresse 10.0.1.0/24.
Das Netzwerkobjekt für das Mapnetz auf der lokalen Seite muss sich in der Zone des internen Netzwerkes befinden und bekommt in unserem Beispiel die Netzwerkadresse 10.0.1.0/24.


===NETMAP Regel anlegen===
====NETMAP Regel anlegen====
[[Datei:UTM115_AI_PFRnetmap.png|250px|thumb|right|NETMAP Portfilterregel]]
Legen Sie nun anhand der Netzwerkobjekte eine Portfilterregel an.
Legen Sie nun anhand der Netzwerkobjekte eine Portfilterregel an.


Zeile 29: Zeile 39:
  NAT-Netzwerkobjekt: Mapnetz der lokalen Seite
  NAT-Netzwerkobjekt: Mapnetz der lokalen Seite


===VPN-Verbindung anlegen===
====VPN-Verbindung anlegen====
[[Datei:UTM115_AI_IPSecP2nmn.png|250px|thumb|right|Phase2 mit Mapnetzen]]
Legen Sie die VPN Verbindung an wie im Wiki [http://wiki.securepoint.de/index.php/IPSec_Site_to_Site_v11#VPN-Verbindung_anlegen VPN-Verbindung anlegen] beschrieben, achten Sie aber darauf, dass sie in ''Step 4 Subnetze'' die Netmap-Netzwerke eintragen.
Legen Sie die VPN Verbindung an wie im Wiki [http://wiki.securepoint.de/index.php/IPSec_Site_to_Site_v11#VPN-Verbindung_anlegen VPN-Verbindung anlegen] beschrieben, achten Sie aber darauf, dass sie in ''Step 4 Subnetze'' die Netmap-Netzwerke eintragen.


Zeile 36: Zeile 47:


Entweder Sie nutzen in den Impliziten Regeln unter IPSEC die Option ''Accept'', dann werden Regeln im Hintergrund angelegt, die  alle Dienste für alle Rechner auf beiden Seiten zulassen. Diese ist im Auslieferzustand aktiviert.
Entweder Sie nutzen in den Impliziten Regeln unter IPSEC die Option ''Accept'', dann werden Regeln im Hintergrund angelegt, die  alle Dienste für alle Rechner auf beiden Seiten zulassen. Diese ist im Auslieferzustand aktiviert.
 
[[Datei:UTM115_AI_PFRnmvpn.png|250px|thumb|right|Portfilterregel VPN-Verbindung]]
Sicherer und professioneller ist es allerdings, nur die Dienste zuzulassen, die auch benötigt werden. Dazu deaktivieren Sie die Option Accept in den Impliziten Regeln und legen Portfilterregeln manuell an. Als Netzwerkobjekt für das VPN Netz nutzen Sie das Mapnetz-Objekt der VPN Gegenstelle. Zum Beispiel:
Sicherer und professioneller ist es allerdings, nur die Dienste zuzulassen, die auch benötigt werden. Dazu deaktivieren Sie die Option Accept in den Impliziten Regeln und legen Portfilterregeln manuell an. Als Netzwerkobjekt für das VPN Netz nutzen Sie das Mapnetz-Objekt der VPN Gegenstelle. Zum Beispiel:



Version vom 4. Juni 2015, 09:25 Uhr

Vorlage:V11.5

NATten von kompletten Subnetzen mit NETMAP

Sollten auf beiden Seiten einer VPN Verbindung die selben Subnetze eingesetzt werden, ist es normalerweise nicht möglich diese Verbindung einzurichten.
Weiterhin kann es passieren, dass Sie verschiedene Gegenstellen haben, hinter denen die selben Netzwerke eingerichtet sind.
Mit dem NAT-Typ NETMAP und Hilfsnetzwerken (Mapnetz) die auf keinen der zu verbindenden Gegenstellen eingerichtet sind, können sie diese Verbindung trotzdem erstellen, ohne auf eine der Seiten das Subnetz komplett zu ändern.

Vorbereitungen

Zur Nutzung der NETMAP Funktion sind folgende Bedingungen zu beachten:

  • Die Subnetze der am NETMAP beteiligten Objekte müssen alle die gleiche Größe haben, zum Beispiel alle /24.
  • Alle beteiligten Objekte müssen einen definierten IP-Adressbereich eingetragen haben. Es dürfen also keine Schnittstellen ausgewählt werden.
Netzwerkobjekt auf Adresse umstellen

Überprüfen Sie das Netzwerkobjekt Ihres Internen Netzwerkes und stellen Sie dieses gegebenenfalls auf Adresse um indem Sie den Radio-Button vor Adresse aktivieren und die Netzwerk-Adresse mit der entsprechenden Subnetzmaske in das Feld eintragen. In diesem Beispiel haben wir auf beiden Seiten das Netzwerk 172..16.3.0/24.



Auf beiden Seiten das selbe Subnetz

Netzwerkobjekte erstellen

Erstellen Sie zwei Netzwerkobjekte mit Netzwerken, die weder auf der einen noch auf der anderen Seite der VPN Verbindung genutzt werden.

Netzwerkobjekt Mapnetz Remote

Das Netzwerkobjekt für das Mapnetz der Gegenstelle muss sich in der Zone vpn-ipsec befinden und erhält in unserem Beispiel die Netzwerkadresse 10.0.2.0/24.



Netzwerkobjekt Mapnetz Lokal

Das Netzwerkobjekt für das Mapnetz auf der lokalen Seite muss sich in der Zone des internen Netzwerkes befinden und bekommt in unserem Beispiel die Netzwerkadresse 10.0.1.0/24.

NETMAP Regel anlegen

NETMAP Portfilterregel

Legen Sie nun anhand der Netzwerkobjekte eine Portfilterregel an.

Quelle: Internes Netzwerk
Ziel: Mapnetz der VPN-Gegenstelle
Dienst: Ist hier nicht relevant, nehmen Sie einfach den icmp-echo-req
NAT-Typ: NETMAP
NAT-Netzwerkobjekt: Mapnetz der lokalen Seite

VPN-Verbindung anlegen

Phase2 mit Mapnetzen

Legen Sie die VPN Verbindung an wie im Wiki VPN-Verbindung anlegen beschrieben, achten Sie aber darauf, dass sie in Step 4 Subnetze die Netmap-Netzwerke eintragen.

Portfilterregeln

Nachdem Sie mit der NETMAP Regel die beiden Netzwerke gemappt haben, benötigen Sie nun noch Portfilterregeln die den Datenverkehr regeln.

Entweder Sie nutzen in den Impliziten Regeln unter IPSEC die Option Accept, dann werden Regeln im Hintergrund angelegt, die alle Dienste für alle Rechner auf beiden Seiten zulassen. Diese ist im Auslieferzustand aktiviert.

Portfilterregel VPN-Verbindung

Sicherer und professioneller ist es allerdings, nur die Dienste zuzulassen, die auch benötigt werden. Dazu deaktivieren Sie die Option Accept in den Impliziten Regeln und legen Portfilterregeln manuell an. Als Netzwerkobjekt für das VPN Netz nutzen Sie das Mapnetz-Objekt der VPN Gegenstelle. Zum Beispiel:

Quelle: Mapnetz der VPN Gegenstelle
Ziel: Internes Netzwerk
Dienst: ms-rdp

Hierfür benötigen Sie kein NAT vom Typ NETMAP mehr.