KKeine Bearbeitungszusammenfassung |
KKeine Bearbeitungszusammenfassung |
||
Zeile 149: | Zeile 149: | ||
| IP address of the IPSec network }} | | IP address of the IPSec network }} | ||
{{var | Zone--desc | {{var | Zone--desc | ||
| Entsprechende VPN IPSec Zone | | Entsprechende VPN IPSec Zone | ||
| | | The corresponding VPN IPSec zone }} | ||
{{var | Gruppen | {{var | Gruppen | ||
| Gruppen | | Gruppen | ||
| Groups }} | | Groups }} | ||
{{var | Gruppen--desc | {{var | Gruppen--desc | ||
| | | Eine entsprechende Gruppe kann eingetragen werden | ||
| | | A corresponding group can be entered }} | ||
{{var | Netzwerkobjekt anlegen Übersicht--Bild | {{var | Netzwerkobjekt anlegen Übersicht--Bild | ||
| UTM v12.6.1 DNS Relay IPSec Netzwerkobjekt Uebersicht.png | | UTM v12.6.1 DNS Relay IPSec Netzwerkobjekt Uebersicht.png | ||
Zeile 167: | Zeile 167: | ||
| Update rules }} | | Update rules }} | ||
{{var | Netzwerkobjekt anlegen Übersicht--desc | {{var | Netzwerkobjekt anlegen Übersicht--desc | ||
| Um das passende Netzwerkobjekt anzulegen, wird unter dem im | | Um das passende Netzwerkobjekt anzulegen, wird unter dem im Abschnitt {{KastenGrau|Netzwerkobjekte}} auf die Schaltfläche {{Button|Objekt hinzufügen|+}} geklickt. | ||
| In order to create the appropriate network object, click on | | In order to create the appropriate network object, click on the {{Button|Add object|+}} button in the {{KastenGrau|Network objects}} area. }} | ||
{{var | Netzwerkobjekt anlegen Übersicht--cap | {{var | Netzwerkobjekt anlegen Übersicht--cap | ||
| Übersicht der Netzwerkobjekte | | Übersicht der Netzwerkobjekte | ||
Zeile 188: | Zeile 185: | ||
| Create a rule }} | | Create a rule }} | ||
{{var | Regel erstellen--desc | {{var | Regel erstellen--desc | ||
| | | Im letzten Schritt muss eine Firewallregel mit einem Hide-NAT angelegt werden.<br>Diese bewirkt, dass die DNS-Weiterleitung auch in den Tunnel und nicht direkt in das Internet geht. | ||
| | | The last step is to create a firewall rule with a Hide NAT.<br>This causes DNS forwarding to also go to the tunnel and not directly to the Internet. }} | ||
{{var | Regel erstellen--list | {{var | Regel erstellen--list | ||
| | | | ||
Zeile 249: | Zeile 246: | ||
| DNS Relay for an OpenVPN Site-to-Site Tunnel }} | | DNS Relay for an OpenVPN Site-to-Site Tunnel }} | ||
{{var | DNS Relay für einen OpenVPN Site-to-Site Tunnel--desc | {{var | DNS Relay für einen OpenVPN Site-to-Site Tunnel--desc | ||
| Um interne Domainanfragen an einen entfernten Nameserver weiter zu leiten, der sich in einem OpenVPN-Netz befindet, ist zu beachten, dass standardmäßig alle direkten Anfragen, die sich an externe Nameserver richten, von der Firewall mit der externen IP aus geschickt werden. Eine | | Um interne Domainanfragen an einen entfernten Nameserver weiter zu leiten, der sich in einem OpenVPN-Netz befindet, ist zu beachten, dass standardmäßig alle direkten Anfragen, die sich an externe Nameserver richten, von der Firewall mit der externen IP aus geschickt werden. Eine öffentliche IP wird aber nicht in einen OpenVPN-Tunnel geroutet. | ||
| In order to forward internal domain requests to a remote nameserver located in an OpenVPN network, note that by default all direct requests directed to external nameservers are send from the firewall with the external IP. However, a public IP is not routed into an OpenVPN tunnel. }} | | In order to forward internal domain requests to a remote nameserver located in an OpenVPN network, note that by default all direct requests directed to external nameservers are send from the firewall with the external IP. However, a public IP is not routed into an OpenVPN tunnel. }} | ||
{{var | DNS Relay für einen WireGuard Site-to-Site Tunnel | {{var | DNS Relay für einen WireGuard Site-to-Site Tunnel | ||
Zeile 288: | Zeile 285: | ||
| Create zone }} | | Create zone }} | ||
{{var | Zone anlegen--desc | {{var | Zone anlegen--desc | ||
| | | Um die DNS Anfragen in den OpenVPN Tunnel routen zu können, muss auf der UTM eine neue Interface Zone angelegt werden.<br>Eine neue Zone wird mit der Schaltfläche {{button|Zone hinzufügen|+}} angelegt. | ||
| | | In order to route the DNS requests into the OpenVPN tunnel, a new interface zone must be created on the UTM.<br>A new zone is created with the {{button|Add zone|+}} button. }} | ||
{{var | Name Zone--desc | {{var | Name Zone--desc | ||
| Bezeichnung für die Interface Zone | | Bezeichnung für die Interface Zone | ||
Zeile 318: | Zeile 315: | ||
| Create Open-VPN network objects }} | | Create Open-VPN network objects }} | ||
{{var | Open-VPN Netzwerkobjekt anlegen--desc | {{var | Open-VPN Netzwerkobjekt anlegen--desc | ||
| | | Die Paketfilterregeln in den [[:UTM/RULE/Implizite_Regeln|Impliziten Regeln]] werden automatisch aktiviert. Damit ist noch kein Netzwerkobjekt für das Open-VPN-Netz vorhanden. | ||
Die Paketfilterregeln in den [[:UTM/RULE/Implizite_Regeln|Impliziten Regeln]] werden automatisch aktiviert. Damit ist noch kein Netzwerkobjekt für das Open-VPN-Netz vorhanden. | | The packet filter rules in the [{{#var:host}}UTM/RULE/Implizite_Regeln Implied rules] are automatically activated. This means that no network object is yet available for the Open-VPN network. }} | ||
| | |||
The packet filter rules in the [{{#var:host}}UTM/RULE/Implizite_Regeln Implied rules] are automatically activated. This means that no network object is yet available for the Open-VPN network. }} | |||
{{var | Open-VPN Regel erstellen | {{var | Open-VPN Regel erstellen | ||
| Regel erstellen | | Regel erstellen | ||
| Create rule }} | | Create rule }} | ||
{{var | WireGuard Zone anlegen--desc | {{var | WireGuard Zone anlegen--desc | ||
| | | Um die DNS Anfragen in den WireGuard Tunnel routen zu können, muss auf der UTM eine neue Interface-Zone angelegt werden. | ||
Um die DNS Anfragen in den WireGuard Tunnel routen zu können, muss auf der UTM eine neue Interface-Zone angelegt werden. | | In order to route the DNS requests into the WireGuard tunnel, a new interface zone must be created on the UTM. }} | ||
| | |||
In order to route the DNS requests into the WireGuard tunnel, a new interface zone must be created on the UTM. }} | |||
{{var | WireGuard Zone anlegen--Bild | {{var | WireGuard Zone anlegen--Bild | ||
| UTM v12.6.1 DNS Relay WireGuard Zone.png | | UTM v12.6.1 DNS Relay WireGuard Zone.png | ||
Zeile 343: | Zeile 336: | ||
| Create WireGuard network objects }} | | Create WireGuard network objects }} | ||
{{var | WireGuard Netzwerkobjekt anlegen--desc | {{var | WireGuard Netzwerkobjekt anlegen--desc | ||
| | | Die Paketfilterregeln in den [[:UTM/RULE/Implizite_Regeln|Impliziten Regeln]] werden automatisch aktiviert. Damit ist noch kein Netzwerkobjekt für das WireGuard-Netz vorhanden. | ||
Die Paketfilterregeln in den [[:UTM/RULE/Implizite_Regeln|Impliziten Regeln]] werden automatisch aktiviert. Damit ist noch kein Netzwerkobjekt für das WireGuard-Netz vorhanden. | | The packet filter rules in the [{{#var:host}}UTM/RULE/Implizite_Regeln Implied rules] are automatically activated. This means that no network object is yet available for the WireGuard network. }} | ||
| | |||
The packet filter rules in the [{{#var:host}}UTM/RULE/Implizite_Regeln Implied rules] are automatically activated. This means that no network object is yet available for the WireGuard network. }} | |||
{{var | Netzwerkobjekt anlegen WireGuard--Bild | {{var | Netzwerkobjekt anlegen WireGuard--Bild | ||
| UTM v12.6.1 DNS Relay WireGuard S2S Netzwerkobjekt hinzufuegen WireGuard Interface.png | | UTM v12.6.1 DNS Relay WireGuard S2S Netzwerkobjekt hinzufuegen WireGuard Interface.png | ||
Zeile 365: | Zeile 356: | ||
| Paketfilter | | Paketfilter | ||
| Packetfilter }} | | Packetfilter }} | ||
{{var | Vereinfachte Lösung | |||
| Zentrale Konfiguration im Netzwerk des DNS-Servers | |||
| }} | |||
{{var | Vereinfachte Lösung--desc | |||
| Vereinfachte Lösung mit Paketfilter Regel '''im Netzwerk des DNS-Servers'''<br>Bei mehreren Außenstellen ist es oft die einfachste Variante, das komplette Transfernetz auf der Serverseite freizugeben. Hierzu ist eine Paketfilter Regel auf der UTM im Netzwerk des DNS-Servers erforderlich. | |||
| }} | |||
{{var | Quelle | Quelle | Quelle }} | |||
{{var | Ziel | Ziel | Target }} | |||
{{var | Dienst | Dienst | Service }} | |||
{{var | Aktion | Aktion | Action }} | |||
{{var | Aktiv | Aktiv | Active }} | |||
{{var | Typ | Typ | Type }} | |||
{{var | Netzwerkobjekt | Netzwerkobjekt | Networkobject }} | |||
{{var | Allgemein | Allgemein | General }}{{var | | |||
| | |||
| }} | |||
{{var | Transfer Netz | |||
| Transfer Netzwerk | |||
| }} | |||
{{var | Anlegen Netzwerkobjekt Transfernetz | |||
| Anlegen des Netzwerkobjektes für das Transfernetz | |||
| }} | |||
{{var | Objekt hinzufügen | |||
| Objekt hinzufügen | |||
| }} | |||
{{var | Kasten | |||
| Kasten | |||
| }} | |||
{{var | Schaltfläche | |||
| Schaltfläche | |||
| }} | |||
{{var | Netzwerkobjekt Transfernetz | |||
| Netzwerkobjekt Transfernetz | |||
| }} | |||
{{var | Netzwerkobjekt Transfernetz--Bild | |||
| UTM v12.7 Netzwerkobjekt Transfernetz.png | |||
| }} | |||
{{var | Netzwerkobjekt Transfernetz--cap | |||
| Netzwerkobjekt für das Transfernetz | |||
| }} | |||
{{var | Transfer Netz--desc | |||
| Bezeichnung für das Transfernetzwerk | |||
| }} | |||
{{var | SSL-VPN Transfer Netz--Typ--val | |||
| VPN-Netzwerk | |||
| }} | |||
{{var | SSL-VPN Transfer Netz--Typ--desc | |||
| Typ des Netzwerkobjektes | |||
| }} | |||
{{var | SSL-VPN Adresse-Transfernetz--desc | |||
| Netz-IP, so wie unter {{Menu-UTM|VPN|SSL-VPN}} unter {{b|Transfer Netzwerk}} angezeigt | |||
| }} | |||
{{var | 1=SSL-VPN Zone-Transfernetz--desc | |||
| 2=Zone wird automatisch vorgeschlagen. <br><small>Per Default der Name der SSL-Verbindung mit dem Präfix ''vpn-ssl-''</small> | |||
| 3= }} | |||
{{var | Netzwerkobjekt DNS-Server | |||
| Netzwerkobjekt DNS-Server | |||
| }} | |||
{{var | Netzwerkobjekt DNS-Server--desc | |||
| Ein Netzwerkobjekt für den DNS-Server (Typ: Host) sollte bereits existieren.<br>Andernfalls muss es ebenfalls angelegt werden. | |||
| }} | |||
{{var | Anlegen Netzwerkobjekt DNS-Server zeigen | |||
| Anlegen Netzwerkobjekt DNS-Server zeigen | |||
| }} | |||
{{var | Netzwerkobjekt DNS-Server--Bild | |||
| UTM v12.7 Netzwerkobjekt DNS-Server.png | |||
| }} | |||
{{var | Netzwerkobjekt DNS-Server--cap | |||
| Netzwerkobjekt für den DNS-Server | |||
| }} | |||
{{var | DNS-Server--desc | |||
| Bezeichnung für den DNS-Server | |||
| }} | |||
{{var | DNS-Server--Typ--desc | |||
| Typ des Netzwerkobjektes | |||
| }} | |||
{{var | DNS-Server Adresse--desc | |||
| Feste IP-Adresse, unter der der DNS-Server erreichbar ist | |||
| }} | |||
{{var | DNS-Server Zone--desc | |||
| Zone wird automatisch vorgeschlagen | |||
| }} | |||
{{var | Netzwerkobjekt speichern und schließen | |||
| Netzwerkobjekt und Dialog {{Button-dialog||fa-floppy-disk-circle-xmark|hover=Speichern und Schließen}} | |||
| }} | |||
{{var | Regel erstellen | |||
| Regel erstellen | |||
| }} | |||
{{var | Regel erstellen DNS-Netzwerk--desc | |||
| Diese Paketfilter Regel erlaubt dem SSL-VPN-Transfernetz und damit sämtlichen S2S-Clients auf diesem SSL-VPN-Tunnel den Zugriff auf den DNS-Server | |||
| }} | |||
{{var | Regel aktualisieren | |||
| Anschließend {{Button-dialog|Regeln aktualisieren|fa-play}} | |||
| }} | |||
{{var | Kein NAT | |||
| Diese Regel benötigt kein NAT | |||
| }} | |||
{{var | Klassische Lösung | |||
| Dezentrale Konfiguration auf jedem S2S Client | |||
| }} | |||
{{var | Klassische Lösung--desc | |||
| Wenn eine Zentrale Konfiguration im Netzwerk des DNS-Servers nicht gewünscht oder möglich ist, kann eine NAT-Regel auf jedem S2S-Client erstellt werden. | |||
| }} | |||
{{var | Klassische Lösung--Hinweis | |||
| Diese Schritte müssen '''auf jedem S2S-Client''' ausgeführt werden! | |||
| }} | |||
{{var | Alternative | |||
| Alternative | |||
| }} | |||
{{var | UTM im DNS-Server Netzwerk | |||
| UTM im DNS-Server Netzwerk | |||
| }} | |||
{{var | UTM im S2S Client Netzwerk | |||
| UTM im S2S Client Netzwerk | |||
| }} | |||
{{var | WG Transfer Netz--Typ--val | |||
| VPN Netzwerk | |||
| }} | |||
{{var | WG Transfer Netz--Typ--desc | |||
| Typ des Netzwerkobjektes | |||
| }} | |||
{{var | 1=WireGuard Adresse-Transfernetz--desc | |||
| 2=Netz-IP des Transfernetzes. <br>Unter {{Menu-UTM|VPN|WireGuard}} <i class="fas fa-folder"></i> WireGuard Verbindung {{Button||w}} <span class=Hover>bearbeiten</span> findet sich unter {{b|IPv4Adresse}} bzw. {{b|IPv6 Adresse}} die IP-Adresse und Subnetzmaske der Schnittstelle. Daraus kann entsprechend die Netz-IP abegeleitet werden. {{info| Aus 10.0.1.2/24 → wird z.B. 10.0.1.0/24<br>Aus fd00::2/64 → wird z.B. fd00::0/64}} | |||
| 3= }} | |||
{{var | 1=WireGuard Zone-Transfernetz--desc | |||
| 2=Zone wird automatisch vorgeschlagen.<br><small>Per Default der Name des WireGuard Tunnels mit dem Präfix ''wireguard'' | |||
| 3= }} | |||
{{var | Netzwerkobjekt WG Transfernetz--Bild | |||
| UTM v12.7 Netzwerkobjekt WG Transfernetz.png | |||
| }} | |||
{{var | Netzwerkobjekt WGH Transfernetz--cap | |||
| Netzwerkobjekt für das WireGuard Transfernetz | |||
| }} | |||
{{var | WireGuard Zone--Bild | |||
| UTM v12.7 Zone WireGuard.png | |||
| }} | |||
{{var | WireGuard Zone--cap | |||
| Zone für die WireGuard Schnittstelle | |||
| }} | |||
{{var | WireGuard Zone Name--desc | |||
| Name für die Zone | |||
| }} | |||
{{var | Name | |||
| Name | |||
| }} | |||
{{var | Netzwerkobjekt anlegen Regel aktualisieren | |||
| Netzwerkobjekt in Regelwerk übernehmen mit {{Button-dialog|Regel aktualisieren|fa-play}} | |||
| }} | |||
{{var | Dialog Speichern und Schließen | |||
| Dialog {{Button-dialog||fa-floppy-disk-circle-xmark|hover=Speichern und Schließen}} | |||
| }} | |||
{{var | | |||
| | |||
| }} | |||
{{var | | |||
| | |||
| }} | |||
{{var | | |||
| | |||
| }} | |||
---- | ---- |
UTM/VPN/DNS Relay.lang: Unterschied zwischen den Versionen
Aus Securepoint Wiki