KKeine Bearbeitungszusammenfassung |
KKeine Bearbeitungszusammenfassung |
||
| (Eine dazwischenliegende Version desselben Benutzers wird nicht angezeigt) | |||
| Zeile 5: | Zeile 5: | ||
{{var | display | {{var | display | ||
| Anbindung von Drittanbieter Routern - Best Practice | | Anbindung von Drittanbieter Routern - Best Practice | ||
| | | Integration of third party routers - Best Practice }} | ||
{{var | headline | {{var | headline | ||
| Vorschlag zur Integration von Routern von Dienstanbietern | | Vorschlag zur Integration von Routern von Dienstanbietern | ||
| | | Suggestion for the integration of service provider routers }} | ||
{{var | neu--Statische IP im Pool | {{var | neu--Statische IP im Pool | ||
| Ab v12.2.2 müssen statische IP-Adressen '''innerhalb''' des DHCP-Pools liegen.<br>Der[[UTM/NET/Szenario_Drittanbieter-Router#DHCP-Pool_anlegen | Pool im Beispiel]] wurde daher erweitert. | | Ab v12.2.2 müssen statische IP-Adressen '''innerhalb''' des DHCP-Pools liegen.<br>Der[[UTM/NET/Szenario_Drittanbieter-Router#DHCP-Pool_anlegen | Pool im Beispiel]] wurde daher erweitert. | ||
| | | As of v12.2.2, static IP addresses must be '''inside''' the DHCP pool.<br>[{{#var:host}}UTM/NET/Szenario_Drittanbieter-Router#DHCP-Pool_anlegen The pool in the example] was therefore expanded.}} | ||
{{var | Ausgangslage | {{var | Ausgangslage | ||
| Ausgangslage | | Ausgangslage | ||
| | | Initial situation }} | ||
{{var | Ausgangslage--desc | {{var | Ausgangslage--desc | ||
| Viele Anbieter von Serviceleistungen verlangen für die Anbindung an die eigene Serverlandschaft einen eigenen VPN-Router, der eine gesicherte Verbindung dorthin aufbaut und über den die Verbindungen geroutet werden.<br>Für die Implementierung im Kunden-Netzwerk gibt es verschiedene Ansätze. Dieser Artikel geht auf die Problematiken einer solcher Implementierung ein und gibt einen Vorschlag zur optimalen Integration in Kundennetzwerke. | | Viele Anbieter von Serviceleistungen verlangen für die Anbindung an die eigene Serverlandschaft einen eigenen VPN-Router, der eine gesicherte Verbindung dorthin aufbaut und über den die Verbindungen geroutet werden.<br>Für die Implementierung im Kunden-Netzwerk gibt es verschiedene Ansätze. Dieser Artikel geht auf die Problematiken einer solcher Implementierung ein und gibt einen Vorschlag zur optimalen Integration in Kundennetzwerke. | ||
| | | Many service providers require their own VPN router for connecting to their own server landscape, which establishes a secure connection to it and through which the connections are routed.<br>There are various approaches for implementation in the customer network. This article discusses the problems of such an implementation and gives a suggestion for optimal integration in customer networks. }} | ||
{{var | Probleme | {{var | Probleme | ||
| Routing Probleme | | Routing Probleme | ||
| | | Routing issues }} | ||
{{var | Probleme--desc | {{var | Probleme--desc | ||
| Wird der Router einfach mit in das interne Netz aufgenommen, dann ergibt sich zunächst ein Routing- Problem: <br>Verbindungen in das Netzwerk des Drittanbieters müssen über diesen Router gehen. Ein lokales Routing auf den Geräten des Netzwerks kommt nicht in Frage. Ein Routing über die Firewall ist ebenfalls problematisch. | | Wird der Router einfach mit in das interne Netz aufgenommen, dann ergibt sich zunächst ein Routing- Problem: <br>Verbindungen in das Netzwerk des Drittanbieters müssen über diesen Router gehen. Ein lokales Routing auf den Geräten des Netzwerks kommt nicht in Frage. Ein Routing über die Firewall ist ebenfalls problematisch. | ||
Beim Herstellen einer TCP-Verbindung ergibt sich hier ein ''asynchrones Routing'': <br>Wird von einem Gerät eine solche Verbindung initiiert, wird das SYN-Paket des TCP-Dreiwege- Handshakes zunächst zur UTM und dann über den Router des Drittanbieters geroutet. Das SYN/ACK-Paket des Responders aus dem Netz des Drittanbieters wird hingegen vom Router direkt an den Initiator zugestellt und nicht über die UTM. Das dritte Paket des Dreiwege-Handshakes (ACK) geht wieder über die UTM und wird dort vom Paketfilter aufgrund eines unplausiblen Status verworfen (Stateful Inspection). | Beim Herstellen einer TCP-Verbindung ergibt sich hier ein ''asynchrones Routing'': <br>Wird von einem Gerät eine solche Verbindung initiiert, wird das SYN-Paket des TCP-Dreiwege- Handshakes zunächst zur UTM und dann über den Router des Drittanbieters geroutet. Das SYN/ACK-Paket des Responders aus dem Netz des Drittanbieters wird hingegen vom Router direkt an den Initiator zugestellt und nicht über die UTM. Das dritte Paket des Dreiwege-Handshakes (ACK) geht wieder über die UTM und wird dort vom Paketfilter aufgrund eines unplausiblen Status verworfen (Stateful Inspection). | ||
| | | If the router is simply included in the internal network, then initially a routing problem arises: <br>Connections to the third-party network must go through this router. Local routing on the network devices is not an option. Routing via the firewall is also problematic. | ||
When establishing a TCP connection, this results in ''asynchronous routing'': <br>If such a connection is initiated by a device, the SYN packet of the TCP three-way handshake is first routed to the UTM and then via the third-party router. The SYN/ACK packet of the responder from the third-party network, on the other hand, is delivered by the router directly to the initiator and not via the UTM. The third packet of the three-way handshake (ACK) goes via the UTM again and is discarded there by the packet filter due to an implausible status (stateful inspection). }} | |||
{{var | Probleme--Bild | {{var | Probleme--Bild | ||
| Fremdrouter-08.png <!-- Drittanbieter-Router Asynchron.png --> | | Fremdrouter-08.png <!-- Drittanbieter-Router Asynchron.png --> | ||
| Zeile 31: | Zeile 33: | ||
{{var | Probleme--cap | {{var | Probleme--cap | ||
| Asynchrones Routing | | Asynchrones Routing | ||
| | | Asynchronous routing }} | ||
{{var | Weitere Probleme | {{var | Weitere Probleme | ||
| Zero-Trust Problem | | Zero-Trust Problem | ||
| | | Zero trust issue }} | ||
{{var | Weitere Probleme--desc | {{var | Weitere Probleme--desc | ||
| Selbst wenn die zuvor beschriebenen Routingprobleme gelöst bzw. umgangen werden konnten, entziehen sich die Verbindungen in das Netz des Drittanbieters der Kontrolle der UTM (Virenscanner, Webfilter, Portfilter, …) was bei einem nicht vertrauenswürdigen Netz nicht akzeptabel ist. Eine Integration in bestehende Kundennetzwerke sollte daher nicht in Betracht gezogen werden. | | Selbst wenn die zuvor beschriebenen Routingprobleme gelöst bzw. umgangen werden konnten, entziehen sich die Verbindungen in das Netz des Drittanbieters der Kontrolle der UTM (Virenscanner, Webfilter, Portfilter, …) was bei einem nicht vertrauenswürdigen Netz nicht akzeptabel ist. Eine Integration in bestehende Kundennetzwerke sollte daher nicht in Betracht gezogen werden. | ||
| }} | | Even if the routing problems described above could be solved or circumvented, the connections to the third-party network are beyond the control of the UTM (virus scanner, web filter, port filter, ...), which is not acceptable in an untrusted network. Therefore, integration into existing customer networks should not be considered. }} | ||
{{var | Lösungen | {{var | Lösungen | ||
| Lösungen | | Lösungen | ||
| | | Solutions }} | ||
{{var | Lösungen--desc | {{var | Lösungen--desc | ||
| Alle beschriebenen Probleme können gelöst werden, indem der Router in ein separates Subnetz an der UTM gestellt wird und ein Transfernetzwerk etabliert wird. Das ist prinzipiell mit jeder UTM-Appliance von Securepoint möglich. Es wird lediglich eine weitere freie Ethernet-Schnittstelle oder VLAN-Schnittstelle benötigt. | | Alle beschriebenen Probleme können gelöst werden, indem der Router in ein separates Subnetz an der UTM gestellt wird und ein Transfernetzwerk etabliert wird. Das ist prinzipiell mit jeder UTM-Appliance von Securepoint möglich. Es wird lediglich eine weitere freie Ethernet-Schnittstelle oder VLAN-Schnittstelle benötigt. | ||
| | | All the problems described can be solved by placing the router in a separate subnet at the UTM and establishing a transfer network. In principle, this is possible with any UTM appliance from Securepoint. All that is needed is another free Ethernet interface or VLAN interface. }} | ||
{{var | Lösungen--Bild | {{var | Lösungen--Bild | ||
| Fremdrouter-09.png <!-- Drittanbieter-Router.png --> | | Fremdrouter-09.png <!-- Drittanbieter-Router.png --> | ||
| Zeile 52: | Zeile 54: | ||
{{var | Vorgehensweise | {{var | Vorgehensweise | ||
| Vorgehensweise | | Vorgehensweise | ||
| | | Approach }} | ||
{{var | Vorgehensweise--desc | {{var | Vorgehensweise--desc | ||
| * Voraussetzungen: | | * Voraussetzungen: | ||
| Zeile 65: | Zeile 67: | ||
** Der Router des Dienstanbieters erhält die IP 10.0.1.100 | ** Der Router des Dienstanbieters erhält die IP 10.0.1.100 | ||
** Um die Einbindung des Routers zu vereinfachen soll die UTM in diesem Subnetz als DHCP-Server dienen. <br>Hierzu soll ein fester Lease für das Router-Interface mit der IP 10.0.1.100 konfiguriert werden. | ** Um die Einbindung des Routers zu vereinfachen soll die UTM in diesem Subnetz als DHCP-Server dienen. <br>Hierzu soll ein fester Lease für das Router-Interface mit der IP 10.0.1.100 konfiguriert werden. | ||
| | | * Prerequisites: | ||
** Specify an internal network 10.0.0.0/24 on LAN2. | |||
** There is another interface available on the UTM that has not been used yet (LAN3) | |||
* Objective: | |||
** A service provider's router is to be used to connect to a private subnet 172.16.0.0/16 | |||
* Approach: | |||
** The unused interface (LAN3) should get the subnet 10.0.1.0/24 with the IP 10.0.1.1 | |||
** The router of the service provider receives the IP 10.0.1.100 | |||
** To simplify the integration of the router, the UTM should serve as a DHCP server in this subnet. <br>For this purpose, a fixed lease is to be configured for the router interface with the IP 10.0.1.100 }} | |||
{{var | Netzwerkkonfiguration | {{var | Netzwerkkonfiguration | ||
| Netzwerkkonfiguration | | Netzwerkkonfiguration | ||
| | | Network configuration }} | ||
{{var | Netzwerkkonfiguration--desc | {{var | Netzwerkkonfiguration--desc | ||
| Zur Konfiguration von LAN3 wird unter {{Menu|Netzwerk|Netzwerkkonfiguration}} die Netzwerkkonfiguration und dann das Interface LAN3 zur Bearbeitung {{Button||w}} geöffnet. Unter „IP- Adressen“ wird nun die IP 10.0.1.1/24 eingetragen und gespeichert. | | Zur Konfiguration von LAN3 wird unter {{Menu-UTM|Netzwerk|Netzwerkkonfiguration}} die Netzwerkkonfiguration und dann das Interface LAN3 zur Bearbeitung {{Button||w}} geöffnet. Unter „IP- Adressen“ wird nun die IP 10.0.1.1/24 eingetragen und gespeichert. | ||
| | | For the configuration of LAN3 the network configuration is opened under {{Menu-UTM|Network|Network configuration}} and then the interface LAN3 for editing {{Button||w}}. Under "IP addresses" the IP 10.0.1.1/24 is now entered and saved. }} | ||
{{var | Netzwerkkonfiguration--Bild | {{var | Netzwerkkonfiguration--Bild | ||
| | | UTM v12.6 Szenario Drittanbieter-Router Schnittstelle LAN3 bearbeiten.png | ||
| | | UTM v12.6 Szenario Drittanbieter-Router Schnittstelle LAN3 bearbeiten-en.png }} | ||
{{var | Netzwerkkonfiguration--cap | {{var | Netzwerkkonfiguration--cap | ||
| Konfiguration der DMZ-Schnittstelle | | Konfiguration der DMZ-Schnittstelle | ||
| Configuration of DMZ interface }} | |||
{{var | Ethernet-Schnittstelle bearbeiten | |||
| Ethernet-Schnittstelle bearbeiten | |||
| }} | |||
{{var | Netzwerk | |||
| Netzwerk | |||
| }} | | }} | ||
{{var | IP- Adressen | {{var | IP- Adressen | ||
| IP-Adressen: | | IP-Adressen: | ||
| | | IP addresses: }} | ||
{{var | DHCP-Pool | {{var | DHCP-Pool | ||
| DHCP-Pool anlegen | | DHCP-Pool anlegen | ||
| | | Create DHCP pool }} | ||
{{var | DHCP-Pool--desc | {{var | DHCP-Pool--desc | ||
| Es wird ein DHCP-Pool für dynamische Adressen vergeben. <br> | | Es wird ein DHCP-Pool für dynamische Adressen vergeben. <br>Dies ist unter {{Menu-UTM|Netzwerk|Netzwerkkonfiguration|DHCP- Pools|Pool hinzufügen|+}} möglich. Die Konfigurationen sollten wie folgt getroffen werden: | ||
| }} | | }} | ||
{{var | DHCP-Pool--Bild | {{var | DHCP-Pool--Bild | ||
| UTM v12. | | UTM v12.6 Szenario Drittanbieter-Router DHCP-Pool.png | ||
| UTM v12. | | UTM v12.6 Szenario Drittanbieter-Router DHCP-Pool-en.png }} | ||
{{var | DHCP-Pool--cap | {{var | DHCP-Pool--cap | ||
| Konfigurierter DHCP-Pool | | Konfigurierter DHCP-Pool | ||
| | | Configured DHCP pool }} | ||
{{var | Schritt | {{var | Schritt | ||
| Schritt | | Schritt | ||
| Zeile 98: | Zeile 116: | ||
{{var | Pool Startadresse | {{var | Pool Startadresse | ||
| Pool Startadresse: | | Pool Startadresse: | ||
| | | Pool starting address: }} | ||
{{var | Pool Startadresse--desc | {{var | Pool Startadresse--desc | ||
| Erste IP-Adresse, die per DHCP vergeben werden kann | | Erste IP-Adresse, die per DHCP vergeben werden kann | ||
| | | First IP address that can be assigned via DHCP }} | ||
{{var | Pool Endadresse | {{var | Pool Endadresse | ||
| Pool Endadresse: | | Pool Endadresse: | ||
| | | Pool ending address: }} | ||
{{var | Pool Endadresse--desc | {{var | Pool Endadresse--desc | ||
| Letzte IP-Adresse, die per DHCP vergeben werden kann | | Letzte IP-Adresse, die per DHCP vergeben werden kann | ||
| | | Last IP address that can be assigned via DHCP }} | ||
{{var | Name | {{var | Name | ||
| Name: | | Name: | ||
| Name }} | | Name: }} | ||
{{var | Name--desc | {{var | Name--desc | ||
| Pool Name | | Pool Name | ||
| | | Pool name }} | ||
{{var | Nameserver | {{var | Nameserver | ||
| Nameserver: | | Nameserver: | ||
| | | Nameserver: }} | ||
{{var | Nameserver--desc | {{var | Nameserver--desc | ||
| Als Nameserver dient die UTM selbst, also die IP der zugehörigen Schnittstelle | | Als Nameserver dient die UTM selbst, also die IP der zugehörigen Schnittstelle | ||
| | | The UTM itself serves as the name server, i.e. the IP of the associated interface }} | ||
{{var | Router | {{var | Router | ||
| Router | | Router | ||
| | | Router }} | ||
{{var | Router--desc | {{var | Router--desc | ||
| Als Router dient die UTM selbst, also die IP der zugehörigen Schnittstelle | | Als Router dient die UTM selbst, also die IP der zugehörigen Schnittstelle | ||
| The UTM itself serves as the router, i.e. the IP of the associated interface }} | |||
{{var | Schritt1--Bild | |||
| UTM v12.6 Szenario Drittanbieter-Router DHCP-Pool hinzufuegen Schritt 1.png | |||
| UTM v12.6 Szenario Drittanbieter-Router DHCP-Pool hinzufuegen Schritt 1-en.png }} | |||
{{var | Pool hinzufügen | |||
| Pool hinzufügen | |||
| }} | | }} | ||
{{var | Schritt2--Bild | {{var | Schritt2--Bild | ||
| UTM v12. | | UTM v12.6 Szenario Drittanbieter-Router DHCP-Pool hinzufuegen Schritt 2.png | ||
| UTM v12. | | UTM v12.6 Szenario Drittanbieter-Router DHCP-Pool hinzufuegen Schritt 2-en.png}} | ||
{{var | Schritt3--Bild | {{var | Schritt3--Bild | ||
| UTM v12. | | UTM v12.6 Szenario Drittanbieter-Router DHCP-Pool hinzufuegen Schritt 3.png | ||
| UTM v12. | | UTM v12.6 Szenario Drittanbieter-Router DHCP-Pool hinzufuegen Schritt 3-en.png }} | ||
{{var | Lease hinzufügen | {{var | Lease hinzufügen | ||
| Lease hinzufügen | | Lease hinzufügen | ||
| | | Add lease }} | ||
{{var | Lease hinzufügen--desc | {{var | Lease hinzufügen--desc | ||
| Im Reiter {{Reiter|Statisches DHCP}} wird mit der Schaltfläche {{Button|Lease hinzufügen|+}} ein fester Lease für den Router hinzugefügt. | | Im Reiter {{Reiter|Statisches DHCP}} wird mit der Schaltfläche {{Button|Lease hinzufügen|+}} ein fester Lease für den Router hinzugefügt. | ||
| | | In the {{Reiter|Static DHCP}} tab, the {{Button|Add Lease|+}} button adds a fixed lease for the router. }} | ||
{{var | Lease hinzufügen--Bild | {{var | Lease hinzufügen--Bild | ||
| UTM v12. | | UTM v12.6 Szenario Drittanbieter-Router Lease hinzufuegen.png | ||
| UTM v12. | | UTM v12.6 Szenario Drittanbieter-Router Lease hinzufuegen-en.png }} | ||
{{var | Lease hinzufügen--cap | {{var | Lease hinzufügen--cap | ||
| Statische IP-Adresse für den Router des Diensteanbieters | | Statische IP-Adresse für den Router des Diensteanbieters | ||
| | | Static IP address for the service provider's router }} | ||
{{var | Host--desc | {{var | Host--desc | ||
| Name für den Host (zur eindeutigen Zuordnung) | | Name für den Host (zur eindeutigen Zuordnung) | ||
| | | Name for the host (for clear classification) }} | ||
{{var | Ethernet--desc | {{var | Ethernet--desc | ||
| MAC-Adresse des Routers des Diensteanbieters | | MAC-Adresse des Routers des Diensteanbieters | ||
| | | MAC address of the service provider router }} | ||
{{var | IP--desc | {{var | IP--desc | ||
| Statische IP-Adresse für den Router des Diensteanbieters, die per DHCP zugewiesen werden soll | | Statische IP-Adresse für den Router des Diensteanbieters, die per DHCP zugewiesen werden soll | ||
| | | Static IP address for the service provider's router to be assigned via DHCP. }} | ||
{{var | Route hinzufügen | {{var | Route hinzufügen | ||
| Route hinzufügen | | Route hinzufügen | ||
| | | Add route }} | ||
{{var | Route hinzufügen--desc | {{var | Route hinzufügen--desc | ||
| Die UTM muss eine Route in das Netzwerk des | | Die UTM muss eine Route in das Netzwerk des Diensteanbieters über diesen Router haben. <br>Unter dem Reiter {{Reiter|Routing}} und nach Betätigen der Schaltfläche {{Button|Route hinzufügen|+}} wird folgendes konfiguriert: | ||
| | | The UTM must have a route into the service provider's network through this router. <br>Under the {{Reiter|Routing}} tab and after pressing the {{Button|Add Route|+}} button, the following is configured: }} | ||
{{var | Route hinzufügen--Bild | {{var | Route hinzufügen--Bild | ||
| UTM v12. | | UTM v12.6 Szenario Drittanbieter-Router Route hinzufuegen.png <!-- Fremdrouter-04.png --> | ||
| UTM v12. | | UTM v12.6 Szenario Drittanbieter-Router Route hinzufuegen-en.png }} | ||
{{var | Route hinzufügen--cap | {{var | Route hinzufügen--cap | ||
| | | | ||
| Zeile 170: | Zeile 191: | ||
{{var | Quellnetzwerk | {{var | Quellnetzwerk | ||
| Quellnetzwerk: | | Quellnetzwerk: | ||
| | | Source network: }} | ||
{{var | Quellnetzwerk--desc | {{var | Quellnetzwerk--desc | ||
| Die Angabe eines Quellnetzwerks ist nicht erforderlich. | | Die Angabe eines Quellnetzwerks ist nicht erforderlich. | ||
| | | It is not necessary to specify a source network. }} | ||
{{var | Gateway-IP | {{var | Gateway-IP | ||
| Gateway-IP: | | Gateway-IP: | ||
| | | Gateway-IP: }} | ||
{{var | Gateway-IP--desc | {{var | Gateway-IP--desc | ||
| IP des Routers des Diensteanbieters | | IP des Routers des Diensteanbieters | ||
| | | IP of the service provider's router }} | ||
{{var | Gateway | {{var | Gateway Typ | ||
| Gateway | | Gateway Typ | ||
| | | Gateway Type }} | ||
{{var | Gateway | {{var | Gateway Typ--desc | ||
| | | Der Typ des Gateways | ||
| }} | | }} | ||
{{var | Zielnetzwerk | {{var | Zielnetzwerk | ||
| Zielnetzwerk | | Zielnetzwerk | ||
| | | Target network }} | ||
{{var | Zielnetzwerk--desc | {{var | Zielnetzwerk--desc | ||
| Netz-IP des Dienstanbieters mit Subnetzmaske | | Netz-IP des Dienstanbieters mit Subnetzmaske | ||
| | | Network IP of the service provider with subnet mask }} | ||
{{var | Gewichtung | {{var | Gewichtung | ||
| Gewichtung | | Gewichtung | ||
| | | Weight }} | ||
{{var | Gewichtung--desc | {{var | Gewichtung--desc | ||
| | | | ||
| Zeile 200: | Zeile 221: | ||
{{var | Regelwerk | {{var | Regelwerk | ||
| Regelwerk | | Regelwerk | ||
| | | Rulebook }} | ||
{{var | Regelwerk--desc | {{var | Regelwerk--desc | ||
| Zur Gestaltung des Regelwerks werden zwei Netzwerkobjekte gebraucht.<br>Für den Router: | | Zur Gestaltung des Regelwerks werden zwei Netzwerkobjekte gebraucht. Diese können unter {{Menu-UTM|Firewall|Netzwerkobjekte||Objekt hinzufügen|+}} hinzugefügt werden.<br>Für den Router: | ||
| | | Two network objects are needed to design the rule book.<br>For the router: }} | ||
{{var | Netzwerkobjekt Router--Bild | {{var | Netzwerkobjekt Router--Bild | ||
| UTM v12. | | UTM v12.6 Szenario Drittanbieter-Router Netzwerkobjekt Dienstanbierter-Router hinzufuegen.png <!-- Fremdrouter-05.png --> | ||
| UTM v12. | | UTM v12.6 Szenario Drittanbieter-Router Netzwerkobjekt Dienstanbierter-Router hinzufuegen-en.png }} | ||
{{var | Netzwerkobjekt Router--cap | {{var | Netzwerkobjekt Router--cap | ||
| Netzwerkobjekt für den Router | | Netzwerkobjekt für den Router | ||
| Network object for the router }} | |||
{{var | Netzwerkobjekt hinzufügen | |||
| Netzwerkobjekt hinzufügen | |||
| }} | | }} | ||
{{var | Netzwerkobjekt Netzwerk Diensteanbieter--Bild | {{var | Netzwerkobjekt Netzwerk Diensteanbieter--Bild | ||
| UTM v12. | | UTM v12.6 Szenario Drittanbieter-Router Netzwerkobjekt Dienstanbierter-Netzwerk hinzufuegen.png <!-- Fremdrouter-06.png --> | ||
| UTM v12. | | UTM v12.6 Szenario Drittanbieter-Router Netzwerkobjekt Dienstanbierter-Netzwerk hinzufuegen-en.png }} | ||
{{var | Netzwerkobjekt Netzwerk Diensteanbieter--cap | {{var | Netzwerkobjekt Netzwerk Diensteanbieter--cap | ||
| | | Netzwerkobjekt für das Netzwerk | ||
| | | Network object for the network }} | ||
{{var | Name--Netzwerkobjekt-Router--val | {{var | Name--Netzwerkobjekt-Router--val | ||
| Diensteanbieter Router | | Diensteanbieter Router | ||
| | | Service provider router }} | ||
{{var | Name--Netzwerkobjekt-Router--desc | {{var | Name--Netzwerkobjekt-Router--desc | ||
| Frei wählbarer Name | | Frei wählbarer Name | ||
| | | Freely selectable name }} | ||
{{var | Name--Netzwerk Diensteanbieter--val | {{var | Name--Netzwerk Diensteanbieter--val | ||
| Diensteanbieter Netzwerk | | Diensteanbieter Netzwerk | ||
| | | Service provider network }} | ||
{{var | Name--Netzwerk Diensteanbieter--desc | {{var | Name--Netzwerk Diensteanbieter--desc | ||
| Frei wählbarer Name | | Frei wählbarer Name | ||
| | | Freely selectable name }} | ||
{{var | Typ | {{var | Typ | ||
| Typ: | | Typ: | ||
| | | Type: }} | ||
{{var | Typ--Router--val | {{var | Typ--Router--val | ||
| Host | | Host | ||
| | | Host }} | ||
{{var | Typ--Router--desc | {{var | Typ--Router--desc | ||
| | | | ||
| Zeile 239: | Zeile 263: | ||
{{var | Typ--Netzwerk--val | {{var | Typ--Netzwerk--val | ||
| Netzwerk (Adresse) | | Netzwerk (Adresse) | ||
| | | Network (address) }} | ||
{{var | Typ--Netzwerk----desc | {{var | Typ--Netzwerk----desc | ||
| | | | ||
| Zeile 245: | Zeile 269: | ||
{{var | Adresse | {{var | Adresse | ||
| Adresse | | Adresse | ||
| | | Address }} | ||
{{var | Adresse--Router--desc | {{var | Adresse--Router--desc | ||
| IP-Adresse, die als Static Lease per DHCP an den Router des | | IP-Adresse, die als Static Lease per DHCP an den Router des Diensteanbieters vergeben wurde | ||
| | | IP address assigned as a static lease via DHCP to the service provider's router. }} | ||
{{var | Zone | {{var | Zone | ||
| Zone: | | Zone: | ||
| | | Zone: }} | ||
{{var | Zone--desc | {{var | Zone--desc | ||
| | | | ||
| Zeile 257: | Zeile 281: | ||
{{var | Gruppen | {{var | Gruppen | ||
| Gruppen: | | Gruppen: | ||
| | | Groups: }} | ||
{{var | Gruppen--desc | {{var | Gruppen--desc | ||
| Optional. Ggf. kann das Netzwerkobjekt Gruppen hinzugefügt werden | | Optional. Ggf. kann das Netzwerkobjekt Gruppen hinzugefügt werden | ||
| | | Optional. If necessary, the network object groups can be added }} | ||
{{var | Adresse--Netzwerk--desc | {{var | Adresse--Netzwerk--desc | ||
| Netz-IP des privaten Netzwerkes, zu dem der VPN-Tunnel geht, der durch den Router des Diensteanbieters aufgebaut wird | | Netz-IP des privaten Netzwerkes, zu dem der VPN-Tunnel geht, der durch den Router des Diensteanbieters aufgebaut wird | ||
| | | Network IP of the private network to which the VPN tunnel connects, which is established by the service provider's router. }} | ||
{{var | Für das Netzwerk des Diensteanbieters | {{var | Für das Netzwerk des Diensteanbieters | ||
| Für das Netzwerk des Diensteanbieters: | | Für das Netzwerk des Diensteanbieters: | ||
| | | For the service provider's network: }} | ||
{{var | Quelle | Quelle | Quelle }} | {{var | Quelle | Quelle | Quelle }} | ||
{{var | Ziel | Ziel | Target }} | {{var | Ziel | Ziel | Target }} | ||
| Zeile 274: | Zeile 298: | ||
{{var | Freigabe der IPSec-Verbindung--desc | {{var | Freigabe der IPSec-Verbindung--desc | ||
| Freigabe der IPSec-Verbindung | | Freigabe der IPSec-Verbindung | ||
| | | Enable IPSec connection }} | ||
{{var | VPN-Server über einen Hostnamen--desc | {{var | VPN-Server über einen Hostnamen--desc | ||
| DNS-Freigabe, damit der Router seinen VPN-Server über einen Hostnamen ansprechen kann | | DNS-Freigabe, damit der Router seinen VPN-Server über einen Hostnamen ansprechen kann | ||
| | | DNS release, so the router can address its VPN server via a host name }} | ||
{{var | Netzwerk des Diensteanbieters--desc | {{var | Netzwerk des Diensteanbieters--desc | ||
| Zugriff auf Netzwerk des Diensteanbieters | | Zugriff auf Netzwerk des Diensteanbieters | ||
| | | Access to the service provider's network }} | ||
{{var | Portfilterregeln | {{var | Portfilterregeln | ||
| Portfilterregeln | | Portfilterregeln | ||
| | | Port filter rules }} | ||
{{var | Portfilterregeln--desc | {{var | Portfilterregeln--desc | ||
| Die benötigten Portfilterregeln | | Die benötigten Portfilterregeln hängen davon ab, welches VPN-Verfahren der Router nutzt und welche Dienste innerhalb der gesicherten Verbindung benötigt werden. <br>Annahmen für dieses Beispiel: | ||
* Die Verbindung erfolgt über IPSec | * Die Verbindung erfolgt über IPSec | ||
* Im Netzwerk des Diensteanbieters sollen verschiedene Terminalserver über das RDP-Protokoll erreicht werden | * Im Netzwerk des Diensteanbieters sollen verschiedene Terminalserver über das RDP-Protokoll erreicht werden | ||
| | | The required port filter rules depend on which VPN method the router uses and which services are required within the secured connection. | ||
<br>Assumptions for this example: | |||
* The connection is established via IPSec | |||
* In the service provider's network, various terminal servers are to be reached via the RDP protocol }} | |||
{{var | Zusammenfassung | {{var | Zusammenfassung | ||
| Zusammenfassung | | Zusammenfassung | ||
| | | Summary }} | ||
{{var | Zusammenfassung--desc | {{var | Zusammenfassung--desc | ||
| Durch die Integration des Diensteanbieter-Routers in die DMZ wurden sämtliche beschriebenen Routing-Probleme beseitigt und gleichzeitig die Kontrolle über sämtliche Verbindungen in und aus dem eigenen Netzwerk beibehalten. | | Durch die Integration des Diensteanbieter-Routers in die DMZ wurden sämtliche beschriebenen Routing-Probleme beseitigt und gleichzeitig die Kontrolle über sämtliche Verbindungen in und aus dem eigenen Netzwerk beibehalten. | ||
| | | By integrating the service provider router into the DMZ, all of the routing issues described above were eliminated while maintaining control over all connections into and out of its own network. }} | ||
---- | ---- | ||
UTM/NET/Szenario Drittanbieter-Router.lang: Unterschied zwischen den Versionen
Aus Securepoint Wiki