KKeine Bearbeitungszusammenfassung |
KKeine Bearbeitungszusammenfassung |
||
| Zeile 22: | Zeile 22: | ||
* Standort B:<br>Internes Netzwerk: 192.168.219.0/24 | * Standort B:<br>Internes Netzwerk: 192.168.219.0/24 | ||
* Roadwarrior:<br>SSL-VPN-Verbindung zu Standort B<br>Transfernetz-IP: 10.10.10.0/24 | * Roadwarrior:<br>SSL-VPN-Verbindung zu Standort B<br>Transfernetz-IP: 10.10.10.0/24 | ||
| * A network at location A is connected to a network at location B via an IPSec site-to-site connection | | * A network at location A is connected to a network at location B via an IPSec site-to-site connection | ||
* There is an SSL VPN connection from a Roadwarrior to the network at location B | * There is an SSL VPN connection from a Roadwarrior to the network at location B | ||
'''Goal:''' | '''Goal:''' | ||
* The internal network at location A should be accessible for the roadwarrior via the SSL VPN connection to location B | * The internal network at location A should be accessible for the roadwarrior via the SSL VPN connection to location B | ||
<br> | <br> | ||
'''Configuration:''' | '''Configuration:''' | ||
| Zeile 31: | Zeile 31: | ||
* location B:<br>Internal network: 192.168.219.0/24 | * location B:<br>Internal network: 192.168.219.0/24 | ||
* Roadwarrior:<br>SSL VPN connection to location B<br>Transfer network IP: 10.10.10.0/24 }} | * Roadwarrior:<br>SSL VPN connection to location B<br>Transfer network IP: 10.10.10.0/24 }} | ||
{{var | Ausgangslage3--Bild | {{var | Ausgangslage3--Bild | ||
| SSL-VPN zu IPSec3.png | | SSL-VPN zu IPSec3.png | ||
| Zeile 48: | Zeile 42: | ||
{{var | IPSec Verbindung einrichten--desc | {{var | IPSec Verbindung einrichten--desc | ||
| Ein Anleitung zur Konfiguration einer IPSec-Site-to-Site Verbindung gibt es in [[UTM/VPN/IPSec-S2E | diesem Wiki.]] | | Ein Anleitung zur Konfiguration einer IPSec-Site-to-Site Verbindung gibt es in [[UTM/VPN/IPSec-S2E | diesem Wiki.]] | ||
| A guide to | | A guide to configure an IPSec site-to-site connection is available in [[UTM/VPN/IPSec-S2E | this wiki.]] }} | ||
{{var | SSL-VPN Verbindung einrichten | {{var | SSL-VPN Verbindung einrichten | ||
| SSL-VPN Verbindung einrichten | | SSL-VPN Verbindung einrichten | ||
| Zeile 54: | Zeile 48: | ||
{{var | SSL-VPN Verbindung einrichten--desc | {{var | SSL-VPN Verbindung einrichten--desc | ||
| Ein Anleitung zur Konfiguration einer SSL-VPN Verbindung für Roadwarrior gibt es in [[UTM/VPN/SSL_VPN-Roadwarrior | diesem Wiki.]] | | Ein Anleitung zur Konfiguration einer SSL-VPN Verbindung für Roadwarrior gibt es in [[UTM/VPN/SSL_VPN-Roadwarrior | diesem Wiki.]] | ||
| A guide to | | A guide to configure an SSL VPN connection for roadwarriors can be found in [[UTM/VPN/SSL_VPN-Roadwarrior | this wiki]]. }} | ||
{{var | Anpassen der Konfiguration | {{var | Anpassen der Konfiguration | ||
| Anpassen der Konfiguration | | Anpassen der Konfiguration | ||
| Zeile 66: | Zeile 60: | ||
{{var | SSL-VPN-Verbindung bearbeiten--desc | {{var | SSL-VPN-Verbindung bearbeiten--desc | ||
| Anpassen der SSL-VPN-Roadwarrior Verbindung unter {{Menu|VPN|SSL-VPN|||w}} der Verwendeten Verbindung, Reiter {{Reiter|Allgemein}} | | Anpassen der SSL-VPN-Roadwarrior Verbindung unter {{Menu|VPN|SSL-VPN|||w}} der Verwendeten Verbindung, Reiter {{Reiter|Allgemein}} | ||
| Customize the SSL VPN Roadwarrior connection under {{Menu|VPN|SSL-VPN||w}} of the | | Customize the SSL VPN Roadwarrior connection under {{Menu|VPN|SSL-VPN|||w}} of the used connection, {{Reiter|General}} tab. }} | ||
{{var | SSL-VPN-Verbindung bearbeiten--Bild | {{var | SSL-VPN-Verbindung bearbeiten--Bild | ||
| UTMv12.2 SSL-VPN-zu-IPSec-Servernetzwerke.png | | UTMv12.2 SSL-VPN-zu-IPSec-Servernetzwerke.png | ||
| Zeile 75: | Zeile 69: | ||
{{var | Servernetzwerke freigeben | {{var | Servernetzwerke freigeben | ||
| Servernetzwerke freigeben: | | Servernetzwerke freigeben: | ||
| | | Share server networks: }} | ||
{{var | Servernetzwerke freigeben--desc | {{var | Servernetzwerke freigeben--desc | ||
| In diesem Beispiel wurde das interne Netzwerk des Standortes B (192.168.219.0/24) bereits durch die SSL-VPN-Verbindung freigegeben.<br>'''Zusätzlich''' muss nun noch das '''interne Zielnetzwerk''' an Standort A, auf das der Roadwarrior zugreifen soll freigegeben werden. | | In diesem Beispiel wurde das interne Netzwerk des Standortes B (192.168.219.0/24) bereits durch die SSL-VPN-Verbindung freigegeben.<br>'''Zusätzlich''' muss nun noch das '''interne Zielnetzwerk''' an Standort A, auf das der Roadwarrior zugreifen soll freigegeben werden. | ||
| Zeile 125: | Zeile 119: | ||
| Address: }} | | Address: }} | ||
{{var | Adresse--desc | {{var | Adresse--desc | ||
| Die | | Die Netz-IP des internen Zielnetzwerkes, auf das zugegriffen werden soll | ||
| The | | The net IP of the internal target network to be accessed }} | ||
{{var | Zone | {{var | Zone | ||
| Zone: | | Zone: | ||
| Zeile 137: | Zeile 131: | ||
| Groups: }} | | Groups: }} | ||
{{var | Gruppen--desc | {{var | Gruppen--desc | ||
| Ggf. kann das Netzwerkobjekt einer Gruppe hinzugefügt werden | | Ggf. kann das Netzwerkobjekt einer Gruppe hinzugefügt werden | ||
| If necessary, the network object can be added to a group | | If necessary, the network object can be added to a group }} | ||
{{var | Speichern und schließen | {{var | Speichern und schließen | ||
| Speichern und schließen | | Speichern und schließen | ||
| Zeile 203: | Zeile 197: | ||
| Network object of the Roadwarrior network }} | | Network object of the Roadwarrior network }} | ||
{{var | regel--ziel--desc | {{var | regel--ziel--desc | ||
| Netzwerk, auf das zugegriffen werden soll | | Netzwerk, auf das zugegriffen werden soll | ||
| Network that should be accessed | | Network that should be accessed }} | ||
{{var | regel--dienst--desc | {{var | regel--dienst--desc | ||
| Gewünschter Dienst oder Dienstgruppe | | Gewünschter Dienst oder Dienstgruppe | ||
| Zeile 210: | Zeile 204: | ||
{{var | Typ-Hidenat--desc | {{var | Typ-Hidenat--desc | ||
| Die Adressen müssen vom Roadwarrior-Netz ind das Zielnetzwerk übersetzt werden | | Die Adressen müssen vom Roadwarrior-Netz ind das Zielnetzwerk übersetzt werden | ||
| The addresses must be translated from the Roadwarrior network to the goal network | | The addresses must be translated from the Roadwarrior network to the goal network }} | ||
{{var | Typ-Hidenat_Exclude--desc | {{var | Typ-Hidenat_Exclude--desc | ||
| Um sicher zu stellen, daß nicht durch eine andere Regel ein HideNAT durchgeführt wird <u>kann</u> an dieser Stelle ein HideNAT-Exclude bestimmt werden. | | Um sicher zu stellen, daß nicht durch eine andere Regel ein HideNAT durchgeführt wird <u>kann</u> an dieser Stelle ein HideNAT-Exclude bestimmt werden. | ||
| Zeile 226: | Zeile 220: | ||
{{var | IPSec-Regel-external-interface--desc | {{var | IPSec-Regel-external-interface--desc | ||
| Bereits existierende Regel, die den Aufbau des IPSec-Tunnels ermöglicht | | Bereits existierende Regel, die den Aufbau des IPSec-Tunnels ermöglicht | ||
| | | Already existing rule that enables the establishment of the IPSec tunnel }} | ||
{{var | Portfilter Regel-StandortA--desc | {{var | Portfilter Regel-StandortA--desc | ||
| Portfilteregel an Standort A | | Portfilteregel an Standort A | ||
| | | Port filter rule at location A }} | ||
{{var | Zielnetzwerk-StandortA--desc | {{var | Zielnetzwerk-StandortA--desc | ||
| Internes Zielnetzwerk, auf daß der Roadwarrior zugreifen können soll | | Internes Zielnetzwerk, auf daß der Roadwarrior zugreifen können soll | ||
| | | Internal target network that the Roadwarrior should be able to access }} | ||
{{var | Zugriff auf lokales Netzwerk--desc | {{var | Zugriff auf lokales Netzwerk--desc | ||
| Existierende Regel, die den Zugriff des IPSec-Netzwerkes auf das lokale Netzwerk erlaubt | | Existierende Regel, die den Zugriff des IPSec-Netzwerkes auf das lokale Netzwerk erlaubt | ||
| | | Existing rule that allows the IPSec network to access the local network }} | ||
{{var | Zugriff auf IPSec-Netzwerk--desc | {{var | Zugriff auf IPSec-Netzwerk--desc | ||
| Existierende Regel, die den Zugriff des lokalen Netzwerkes auf das IPSec-Netzwerk erlaubt | | Existierende Regel, die den Zugriff des lokalen Netzwerkes auf das IPSec-Netzwerk erlaubt | ||
| | | Existing rule that allows the local network to access the IPSec network }} | ||
{{var | Neue Regel--SSL-VPN--desc | {{var | Neue Regel--SSL-VPN--desc | ||
| Neue Regel, die dem Roadwarrior über das SSL-VPN-Netzwerkobjekt den Zugriff auf das interne Netzwerk erlaubt | | Neue Regel, die dem Roadwarrior über das SSL-VPN-Netzwerkobjekt den Zugriff auf das interne Netzwerk erlaubt | ||
| | | New rule that allows the roadwarrior to access the internal network via the SSL VPN network object }} | ||
{{var | Netzwerkobjekt anlegen Standort A | {{var | Netzwerkobjekt anlegen Standort A | ||
| Netzwerkobjekt am Standort A anlegen | | Netzwerkobjekt am Standort A anlegen | ||
| | | Internal target network that the Roadwarrior should be able to access }} | ||
{{var | Netzwerkobjekt anlegen Standort A--desc | {{var | Netzwerkobjekt anlegen Standort A--desc | ||
| Es wird an Standort A eine Portfilteregel benötigt, die den Zugriff des Roadwarriors auf das interne Netz ermöglicht.<br>Dafür muss ein Netzwerkobjekt für den SSL-VPN-Roadwarrior existieren: | | Es wird an Standort A eine Portfilteregel benötigt, die den Zugriff des Roadwarriors auf das interne Netz ermöglicht.<br>Dafür muss ein Netzwerkobjekt für den SSL-VPN-Roadwarrior existieren: | ||
| Zeile 250: | Zeile 244: | ||
{{var | Netzwerkobjekt anlegen Standort A--Bild | {{var | Netzwerkobjekt anlegen Standort A--Bild | ||
| UTM v12.2 SSL-VPN zu IPSec Netzwerkobjekt StandortA.png | | UTM v12.2 SSL-VPN zu IPSec Netzwerkobjekt StandortA.png | ||
| | | UTM v12.2 SSL-VPN zu IPSec Netzwerkobjekt StandortA-en.png }} | ||
{{var | Netzwerkobjekt anlegen Standort A--cap | {{var | Netzwerkobjekt anlegen Standort A--cap | ||
| | | | ||
| Zeile 258: | Zeile 252: | ||
| VPN-network }} | | VPN-network }} | ||
{{var | Typ Standort A--desc | {{var | Typ Standort A--desc | ||
| Auch, wenn es sich nur um einen einzigen Roadwarrior handelt, wird für die Anbindung eine Tunnel-Netz-IP verwendet. Daher ist hier der Typ Netzwerk auszuwählen | | Auch, wenn es sich nur um einen einzigen Roadwarrior handelt, wird für die Anbindung eine Tunnel-Netz-IP verwendet. Daher ist hier der Typ Netzwerk auszuwählen. | ||
| | | Even if it is only a single roadwarrior, a tunnel net IP is used for the connection. Therefore, the type Network must be selected here. }} | ||
{{var | Adresse Standort A--desc | {{var | Adresse Standort A--desc | ||
| Die Netz-IP des SSL-VPN Transfer Netzes aus Standort B | | Die Netz-IP des SSL-VPN Transfer Netzes aus Standort B | ||
| Zeile 265: | Zeile 259: | ||
{{var | Zone Standort A--desc | {{var | Zone Standort A--desc | ||
| Die Zone entspricht der IPSec-Verbindung | | Die Zone entspricht der IPSec-Verbindung | ||
| | | The zone corresponds to the IPSec connection }} | ||
{{var | Neue Regel Standort B--SSL-VPN--desc | {{var | Neue Regel Standort B--SSL-VPN--desc | ||
| Neue Regel, die dem Roadwarrior den Zugriff auf das IPSec-Zielnetzwerk erlaubt | | Neue Regel, die dem Roadwarrior den Zugriff auf das IPSec-Zielnetzwerk erlaubt | ||
| | | New rule that allows the roadwarrior to access the IPSec target network }} | ||
{{var | Nicht erforderlich bei impliziten Regeln | {{var | Nicht erforderlich bei impliziten Regeln | ||
| Diese Regel ist nicht erforderlich, wenn die IPSec-Verbindung über implizite Regeln erlaubt wurde.<br>Davon ist jedoch im Regelfall abzuraten, da implizite Regeln die Ports, die für IPSec Verbindungen genutzt werden, '''allen''' Schnittstellen freigeben. | | Diese Regel ist nicht erforderlich, wenn die IPSec-Verbindung über implizite Regeln erlaubt wurde.<br>Davon ist jedoch im Regelfall abzuraten, da implizite Regeln die Ports, die für IPSec Verbindungen genutzt werden, '''allen''' Schnittstellen freigeben. | ||
| | | This rule is not required if the IPSec connection was allowed via implicit rules.<br>However, this is usually not recommended, since implicit rules allow the ports used for IPSec connections '''to all''' interfaces. }} | ||
{{var | Portfilter Regel-StandortA--Hinweis | {{var | Portfilter Regel-StandortA--Hinweis | ||
| | | | ||
| }} | | }} | ||
{{var | Konfiguration ohne HideNat--desc | {{var | Konfiguration ohne HideNat--desc | ||
| Das Transfernetz des Roadwarriors muss '''auf beiden UTMs''' in der Phase 2 der IPSec Verbindung eingetragen werden.<br>Konfiguration unter {{Menu|VPN|IPSec||Phase 2|w}} der verwendeten Verbindung, Reiter {{Reiter|Subnetze}}, Schaltfläche {{Button|IPSec Verbindung hinzufügen|+}} | | Das Transfernetz des Roadwarriors muss '''auf beiden UTMs''' in der Phase 2 der IPSec Verbindung eingetragen werden.<br>Konfiguration unter {{Menu|VPN|IPSec||Phase 2|w}} der verwendeten Verbindung, Reiter {{Reiter|Subnetze}}, Schaltfläche {{Button|IPSec Verbindung hinzufügen|+}} | ||
| The Roadwarrior's transfer network must be entered '''on both UTMs'''' in phase 2 of the IPSec connection.<br>Configuration under {{Menu|VPN|IPSec|Phase 2|w}} of the connection used, tab {{ | | The Roadwarrior's transfer network must be entered '''on both UTMs'''' in phase 2 of the IPSec connection.<br>Configuration under {{Menu|VPN|IPSec||Phase 2|w}} of the connection used, tab {{Reiter|Subnets}}, button {{Button|AddIPSec Connection|+}} }} | ||
{{var | Phase2 Subnetz hinzufügenB--Bild | {{var | Phase2 Subnetz hinzufügenB--Bild | ||
| UTMv12.2 SSL-VPN-zu-IPSec-Phase2 Subnetz-hinzufügen.png | | UTMv12.2 SSL-VPN-zu-IPSec-Phase2 Subnetz-hinzufügen.png | ||
| Zeile 302: | Zeile 288: | ||
| Local Network: }} | | Local Network: }} | ||
{{var | Lokales NetzwerkB--desc | {{var | Lokales NetzwerkB--desc | ||
| Das Transfernetz des Roadwarriors (hier 10.10.10.0/24) muss am Standort B als ''Lokales Netzwerk'' eingetragen werden | | Das Transfernetz des Roadwarriors (hier 10.10.10.0/24) muss am Standort B als ''Lokales Netzwerk'' eingetragen werden | ||
| The transfer network of the Roadwarrior (here 10.10.10.0/24) must be entered at location B as ''Local network'' | | The transfer network of the Roadwarrior (here 10.10.10.0/24) must be entered at location B as ''Local network'' }} | ||
{{var | Remote Netzwerk | {{var | Remote Netzwerk | ||
| Remote Netzwerk: | | Remote Netzwerk: | ||
| Remote network: }} | | Remote network: }} | ||
{{var | Remote NetzwerkB--desc | {{var | Remote NetzwerkB--desc | ||
| Das interne Zielnetzwerk (in Standort A) muss am Standort B als ''Remote-Netzwerk'' eingetragen werden | | Das interne Zielnetzwerk (in Standort A) muss am Standort B als ''Remote-Netzwerk'' eingetragen werden | ||
| The internal target network (in location A) must be entered at location B as a ''remote network'' | | The internal target network (in location A) must be entered at location B as a ''remote network'' }} | ||
{{var | Speichern x2 | {{var | Speichern x2 | ||
| Subnetze hinzufügen mit {{Button|Speichern}}<br>Änderungen der Phase 2 übernehmen ebenfalls mit der Schaltfläche {{Button|Speichern}}<br>IPSec-Verbindung neu starten mit der Schaltfläche {{Button|Neustarten|renew}} | | Subnetze hinzufügen mit {{Button|Speichern}}<br>Änderungen der Phase 2 übernehmen ebenfalls mit der Schaltfläche {{Button|Speichern}}<br>IPSec-Verbindung neu starten mit der Schaltfläche {{Button|Neustarten|renew}} | ||
| Zeile 317: | Zeile 303: | ||
| Restart SSL VPN connection with the {{Button|Restart|renew}} button. }} | | Restart SSL VPN connection with the {{Button|Restart|renew}} button. }} | ||
{{var | VPN-Client neustarten | {{var | VPN-Client neustarten | ||
| Die SSL-VPN-Verbindung auf dem Roadwarrior muss einmal beendet und neu aufgebaut werden, damit das neue Servernetzwerk gepuscht werden kann | | Die SSL-VPN-Verbindung auf dem Roadwarrior muss einmal beendet und neu aufgebaut werden, damit das neue Servernetzwerk gepuscht werden kann | ||
| The SSL VPN connection on the Roadwarrior must be terminated and reestablished once to push the new server network | | The SSL VPN connection on the Roadwarrior must be terminated and reestablished once to push the new server network }} | ||
{{var | Standort | {{var | Standort | ||
| Standort | | Standort | ||
| Location }} | | Location }} | ||
{{var | Lokales NetzwerkA--desc | {{var | Lokales NetzwerkA--desc | ||
| Das lokale Zielnetzwerk muss am Standort A als ''Lokales Netzwerk'' eingetragen werden | | Das lokale Zielnetzwerk muss am Standort A als ''Lokales Netzwerk'' eingetragen werden | ||
| The local target network must be entered as ''Local network'' at location A | | The local target network must be entered as ''Local network'' at location A }} | ||
{{var | Remote NetzwerkA--desc | {{var | Remote NetzwerkA--desc | ||
| Das Transfernetz des Roadwarriors (hier 10.10.10.0/24) muss am Standort A als ''Remote-Netzwerk'' eingetragen werden | | Das Transfernetz des Roadwarriors (hier 10.10.10.0/24) muss am Standort A als ''Remote-Netzwerk'' eingetragen werden | ||
| The transfer network of the Roadwarrior (here 10.10.10.0/24) must be entered as ''remote network'' at location A | | The transfer network of the Roadwarrior (here 10.10.10.0/24) must be entered as ''remote network'' at location A }} | ||
{{var | Phase2 Subnetz hinzufügenA--Bild | {{var | Phase2 Subnetz hinzufügenA--Bild | ||
| UTMv12.2 SSL-VPN-zu-IPSec-Phase2 Subnetz-hinzufügenA.png | | UTMv12.2 SSL-VPN-zu-IPSec-Phase2 Subnetz-hinzufügenA.png | ||
| Zeile 354: | Zeile 340: | ||
{{var | neu--Ergänzung der IPSec-Portfilterregeln | {{var | neu--Ergänzung der IPSec-Portfilterregeln | ||
| Ergänzung der Regeln, die für die IPSec-Verbindung ohne implizite Regeln benötigt werden | | Ergänzung der Regeln, die für die IPSec-Verbindung ohne implizite Regeln benötigt werden | ||
| | | Addition of the rules needed for the IPSec connection without implicit rules }} | ||
{{var | | {{var | neu--Portfilterlayout | ||
| | | Layoutanpassung der Portfilterregeln | ||
| | | Layout adjustment of portfilter rules }} | ||
{{var | | {{var | | ||
| | | | ||
UTM/VPN/SSL VPN zu IPSec-Ziel.lang: Unterschied zwischen den Versionen
Aus Securepoint Wiki