Wechseln zu:Navigation, Suche
Wiki
KKeine Bearbeitungszusammenfassung
 
(8 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
{{Archivhinweis|UTM/VPN/Netmap}}
{{Set_lang}}
{{Set_lang}}
{{#vardefine:headerIcon| spicon-utm }}


{{var|display|NETMAP
{{var|display|NETMAP
Zeile 15: Zeile 18:
{{var|4|Vorherige Versionen:
{{var|4|Vorherige Versionen:
| Previous versions:}}
| Previous versions:}}
{{var|5|Sollten auf beiden Seiten einer VPN Verbindung die gleichen Subnetze eingesetzt werden,  ist es normalerweise nicht möglich diese Verbindung einzurichten.<br>Weiterhin kann es passieren, dass hinter verschiedenen Gegenstellen die gleichen Netzwerke eingerichtet sind.<br> Mit dem NAT-Typ NETMAP und Hilfsnetzwerken (Mapnetz) die auf keinen der zu verbindenden Gegenstellen eingerichtet sind, können diese Verbindungen trotzdem erstellt werden, ohne auf eine der Seiten das Subnetz komplett zu ändern.
{{var|5|Sollten auf beiden Seiten einer VPN Verbindung die gleichen Subnetze eingesetzt werden,  ist es normalerweise nicht möglich diese Verbindung einzurichten.<br>Weiterhin kann es passieren, dass hinter verschiedenen Gegenstellen die gleichen Netzwerke eingerichtet sind.<br> Mit dem NAT-Typ NETMAP und Hilfsnetzwerken (Mapnetz) die auf keiner der zu verbindenden Gegenstellen eingerichtet sind, können diese Verbindungen trotzdem erstellt werden, ohne auf einer der Seiten das Subnetz komplett zu ändern.
| If the same subnets are used on both sides of a VPN connection, it is normally not possible to set up this connection.<br>In addition, it can happen that the same networks are set up behind different remote peers.<br> With the NAT type NETMAP and auxiliary networks (map network) that are not set up on any of the remote peers to be connected, these connections can still be set up without completely changing the subnet on one of the sides.}}
| If the same subnets are used on both sides of a VPN connection, it is normally not possible to set up this connection.<br>In addition, it can happen that the same networks are set up behind different remote peers.<br> With the NAT type NETMAP and auxiliary networks (map network) that are not set up on any of the remote peers to be connected, these connections can still be set up without completely changing the subnet on one of the sides.}}
{{var|6|NATen von kompletten Subnetzen mit NETMAP
{{var|6|NATen von kompletten Subnetzen mit NETMAP
Zeile 72: Zeile 75:
{{var|33| Bei '''IPSec-'''Verbindungen, muss sich das Netzwerkobjekt in der {{b|Zone}} {{Button|external|dr}} befinden.
{{var|33| Bei '''IPSec-'''Verbindungen, muss sich das Netzwerkobjekt in der {{b|Zone}} {{Button|external|dr}} befinden.
| For '''IPSec-'''connections, the network object must be in the {{b|Zone}} {{Button|external|dr}}.}}
| For '''IPSec-'''connections, the network object must be in the {{b|Zone}} {{Button|external|dr}}.}}
{{var|34| Bei SSL-VPN-Verbindungen muss '''zuerst''' eine Verbindung angelegt werden. <br>Dabei wird ein Zone '''VPN-SSL-'''''Verbindungsname'' angelegt. <br>Das Netzwerkobjekt muss dann mit dieser Zone angelegt werden.
{{var|34| Bei SSL-VPN-Verbindungen muss '''zuerst''' eine Verbindung angelegt werden. <br>Dabei wird eine Zone '''VPN-SSL-'''''Verbindungsname'' angelegt. <br>Das Netzwerkobjekt muss dann mit dieser Zone angelegt werden.
| For SSL VPN connections, a connection must be created '''first'''. <br>This creates a zone '''VPN-SSL-'''''Connection name''. <br>The network object must then be created with this zone. }}
| For SSL VPN connections, a connection must be created '''first'''. <br>This creates a zone '''VPN-SSL-'''''Connection name''. <br>The network object must then be created with this zone. }}
{{var|35| Das Netzwerkobjekt erhält in unserem Beispiel die Netzwerkadresse 10.0.2.0/24
{{var|35| Das Netzwerkobjekt erhält in unserem Beispiel die Netzwerkadresse 10.0.2.0/24
Zeile 93: Zeile 96:
| Creating a NETMAP Rule}}
| Creating a NETMAP Rule}}
{{var|44| UTM_v11.8.7_Firewall_Portfilter_Regel_Netmap-Zentrale.png
{{var|44| UTM_v11.8.7_Firewall_Portfilter_Regel_Netmap-Zentrale.png
| UTM_v11.8.7_Firewall_Portfilter_Regel_Netmap-Zentrale-en.png }}
| UTM_v11.8.7_Firewall_Portfilter_Regel_Netmap-Zentrale-en.png }}
{{var|45| NETMAP Portfilterregel
{{var|45| NETMAP Portfilterregel<br>{{Hinweis|!|r}}Das Mapnetz kann als {{Kasten|Netzwerkobjekt}} nicht ausgewählt werden, wenn es noch mit einer Schnittstelle anstatt mit einer [[#Vorbereitungen | IP-Adresse verknüpft ist.]]
| NETMAP Port Filter Rule }}
| NETMAP Port Filter Rule }}
{{var|46| Es muss auf jeder Seite eine Portfilterregel anhand der Netzwerkobjekte erstellt werden.
{{var|46| Es müssen auf jeder Seite, je nach Nutzungsszenario, Portfilterregeln erstellt werden.
| A port filter rule must be created on each side based on the network objects.}}
| Port filter rules must be created on each page, depending on the usage scenario. }}
{{var|47| Auf der Seite der
{{var|47| Auf der Seite der
| On the side of the }}
| On the side of the }}
{{var|ausg| für ausgehenden Netzwerkverkehr
  | for outgoing network traffic }}
{{var|eing| für Netzwerkverkehr, der von der Gegenstelle initiiert wird
  | for network traffic initiated by the remote peer }}
{{var|48| Quelle
{{var|48| Quelle
| Source }}
| Source }}
Zeile 106: Zeile 113:
{{var|50| Mapnetz der Filiale
{{var|50| Mapnetz der Filiale
| Map network of the branch }}
| Map network of the branch }}
{{var|50b| Lokales Mapnetz der Filiale
| Local map network of the branch }}
{{var|51| Dienst
{{var|51| Dienst
| Service }}
| Service }}
Zeile 164: Zeile 173:
{{var|78| nicht erforderlich
{{var|78| nicht erforderlich
| not required }}
| not required }}
{{var|79| Hierbei wird das Mapping nur auf den Filialen eingerichtet, die das gleiche Netzwerk nutzen wie auf einer schon eingerichteten VPN-Verbindung. In der Zentrale wird kein Mapping benötigt, sofern sich das interne Netz der Zentrale von denen der Filiale unterscheidet. Ebenfalls kann in einer Filiale das vorhandene Netz ohne Mapping verwendet werden.
{{var|79| Hierbei wird das Mapping nur auf den Filialen eingerichtet, die das gleiche Netzwerk nutzen wie auf einer schon eingerichteten VPN-Verbindung. In der Zentrale wird kein Mapping benötigt, sofern sich das interne Netz der Zentrale von denen der Filialen unterscheidet. Ebenfalls kann in einer Filiale das vorhandene Netz ohne Mapping verwendet werden.
| Mapping is only set up on branches that use the same network as already has been set up on a VPN connection. No mapping is required in the head office if the internal network of the head office differs from that of the branches. One existing network can also be used without mapping in a branch. }}
| Mapping is only set up on branches that use the same network as already has been set up on a VPN connection. No mapping is required in the head office if the internal network of the head office differs from that of the branches. One existing network can also be used without mapping in a branch. }}
{{var|80| UTM_v11.8.7_Firewall_Portfilter_Netzwerkobjekte_localnet-zentrale.png
{{var|80| UTM_v11.8.7_Firewall_Portfilter_Netzwerkobjekte_localnet-zentrale.png
Zeile 170: Zeile 179:
{{var|81| Netzwerkobjekt in den Filialen für das Netz der Zentrale. Es kann direkt das Subnetz der Zentrale verwendet werden.
{{var|81| Netzwerkobjekt in den Filialen für das Netz der Zentrale. Es kann direkt das Subnetz der Zentrale verwendet werden.
| Network object in the branches for the network of the head office. The subnet of the head office can be used directly. }}
| Network object in the branches for the network of the head office. The subnet of the head office can be used directly. }}
{{var|82| (und in jeder weiteren Filiale) wird ein IPSec-Netzwerkobjekt für die Zentrale eingerichtet.<br>Das Netzwerkobjekt für das Netz der Gegenstelle muss sich in der Zone vpn-ipsec befinden und hat in unserem Beispiel die Netzwerkadresse 172.16.0.0/24.
{{var|82| (und in jeder anderen Filiale, die ein ansonsten ''ungenutzes Subnetz'' verwendet) wird ein IPSec-Netzwerkobjekt für die Zentrale eingerichtet.<br>Das Netzwerkobjekt für das Netz der Gegenstelle muss sich in der Zone vpn-ipsec befinden und hat in unserem Beispiel die Netzwerkadresse 172.16.0.0/24.
| (and in each additional branch) an IPSec network object is set up for the head office.<br>The network object for the network of the remote terminal must be located in the zone vpn-ipsec. In our example, it has the network address 172.16.0.0/24. }}
| (and in any other branch that uses an otherwise ''unused subnet'') an IPSec network object is set up for the head office.<br>The network object for the network of the remote terminal must be located in the zone vpn-ipsec. In our example, it has the network address 172.16.0.0/24. }}
{{var|83| UTM_v11.8.7_Firewall_Portfilter_Netzwerkobjekte_localnet-filiale2.png
{{var|83| UTM_v11.8.7_Firewall_Portfilter_Netzwerkobjekte_localnet-filiale2.png
| UTM_v11.8.7_Firewall_Portfilter_Netzwerkobjekte_localnet-filiale2-en.png }}
| UTM_v11.8.7_Firewall_Portfilter_Netzwerkobjekte_localnet-filiale2-en.png }}
{{var|84| Netzwerkobjekt in der Filiale 2 für das eigene Mapnetz (Lokal). So wird die '''Filiale 2''' für die Zentrale gemapt.
{{var|84| Netzwerkobjekt in der Filiale 2 für das eigene Mapnetz (Lokal). So wird die '''Filiale 2''' für die Zentrale gemapt.
| Network object in branch 2 for your own map network (local). '''Branch 2''' is mapped like this for the head office. }}
| Network object in branch 2 for your own map network (local). '''Branch 2''' is mapped like this for the head office. }}
{{var|85| In der {{spc|utm|s|'''Filiale 2'''|c={{Farbe|grün}} }} (und in jeder weiteren Filiale, die ein bereits genutztes Subnetz verwendet) wird ein zweites Netzwerkobjekt für das eigene Subnetz erstellt, das gemapt wird.</p><p>Das Mapnet darf weder in der Filiale, noch in der Zentrale, noch auf einer der anderen Filialen die per VPN Verbindungen an die Zentrale angebunden sind, genutzt werden.<br>Das Netzwerkobjekt für das Mapnetz in der Filiale muss sich in der Zone des internen Netzwerkes befinden und bekommt in unserem Beispiel die Netzwerkadresse 10.0.1.0/24. (weitere Filialen erhalten an dieser Stelle '''ein anderes''' Mapnet!)
{{var|83b| UTM_v11.8.7_Netzwerk_Portfilter_Netzwerkobjekte_f2z.png
| In the {{spc|utm|s|'''Branch office 2'''|c={{Farbe|grün}}} }} (and in each additional branch that uses an already used subnet), a second network object is created for its own subnet, which is mapped.</p><p>The Mapnet must not be used in the branch, in the head office, or in any of the other branches that are connected to the head office via VPN connections.<br>The network object for the map network in the branch office must be located in the zone of the internal network and in our example is given the network address 10.0.1.0/24. (Other branches get a '''different''' Mapnet at this point!)}}
| }}
{{var|84b| Netzwerkobjekt in der Filiale 2 für das Netz der Zentrale
| Network object in Branch 2 for the network of the head office}}
 
{{var|85| In der {{spc|utm|s|'''Filiale 2'''|c=grün }} (und in jeder weiteren Filiale, die ein bereits genutztes Subnetz verwendet) erhält das Netzwerk der Zentrale die Zone {{Button|external|dr}} {{info|Das ermöglicht den Paketen, vor dem Verlassen der Schnittstelle gemapt zu werden!}}. Zusätzlich wird ein zweites Netzwerkobjekt für das eigene Subnetz erstellt, das gemapt wird.</p><p>Das Mapnet darf weder in der Filiale, noch in der Zentrale, noch auf einer der anderen Filialen die per VPN Verbindungen an die Zentrale angebunden sind, genutzt werden.<br>Das Netzwerkobjekt für das Mapnetz in der Filiale muss sich in der Zone des internen Netzwerkes befinden und bekommt in unserem Beispiel die Netzwerkadresse 10.0.1.0/24. (weitere Filialen erhalten an dieser Stelle '''ein anderes''' Mapnet!)
| In the {{spc|utm|s|'''Branch office 2'''|c=grün} }} (and in each additional branch that uses an already used subnet), a second network object is created for its own subnet, which is mapped.</p><p>The Mapnet must not be used in the branch, in the head office, or in any of the other branches that are connected to the head office via VPN connections.<br>The network object for the map network in the branch office must be located in the zone of the internal network and in our example is given the network address 10.0.1.0/24. (Other branches get a '''different''' Mapnet at this point!)}}
{{var|86| NETMAP Regel anlegen
{{var|86| NETMAP Regel anlegen
| Creating a NETMAP Rule}}
| Creating a NETMAP Rule}}
{{var|87| UTM_v11.8.7_Firewall_Portfilter_Regel_Netmap-Filiale.png
{{var|87| UTM_v11.8.7_Firewall_Portfilter_Regel_Netmap-Filiale3.png
| UTM_v11.8.7_Firewall_Portfilter_Regel_Netmap-Filiale-en.png }}
| UTM_v11.8.7_Firewall_Portfilter_Regel_Netmap-Filiale3-en.png }}
{{var|88| NETMAP Portfilterregel
{{var|88| NETMAP Portfilterregel
| NETMAP Port Filter Rule }}
| NETMAP Port Filter Rule }}
Zeile 194: Zeile 208:
{{var|93| UTM_v11.8.7_VPN_IPSEC-Verbindung_Schritt4b.png
{{var|93| UTM_v11.8.7_VPN_IPSEC-Verbindung_Schritt4b.png
| UTM_v11.8.7_VPN_IPSEC-Verbindung_Schritt4b-en.png }}
| UTM_v11.8.7_VPN_IPSEC-Verbindung_Schritt4b-en.png }}
{{var|94| Schritt 4 mit Remotenetz
{{var|93b| Schritt 4 mit Remotenetz
| Step 4 with Remote Net }}
| Step 4 with Remote Net }}
{{var|94| UTM_v11.8.7_VPN_IPSEC-Verbindung_Schritt3.png
{{var|94| UTM_v11.8.7_VPN_IPSEC-Verbindung_Schritt3.png
| UTM_v11.8.7_VPN_IPSEC-Verbindung_Schritt3-en.png }}
| UTM_v11.8.7_VPN_IPSEC-Verbindung_Schritt3-en.png }}
{{var|95| Schritt 3  in {{spc|utm|s|'''Filiale 2'''|c={{Farbe|grün}} }} mit lokalem '''Map'''netz
{{var|95| Schritt 3  in {{spc|utm|s|'''Filiale 2'''|c=grün }} mit lokalem '''Map'''netz
| Step 3 in {{spc|utm|s|'''Branch 2'''|c={{Color|green}} }} with local '''Map'''net }}
| Step 3 in {{spc|utm|s|'''Branch 2'''|c={{Color|green}} }} with local '''Map'''net }}
{{var|96| In Schritt 3 muss das lokale Netz (ohne mapping) freigegeben werden.<br>Im Beispiel:  
{{var|96| In Schritt 3 muss das lokale Netz (ohne mapping) freigegeben werden.<br>Im Beispiel:  
Zeile 242: Zeile 256:




</div>{{DISPLAYTITLE:{{#var:display|NETMAP}}::spicon-utm }}{{Select_lang}}{{TOC2}}
</div>{{DISPLAYTITLE:{{#var:display|NETMAP}} }}{{Select_lang}}{{TOC2}}
<p>'''{{#var:1|Verbinden von VPN-Netzen mit den gleichen Broadcast-Domains (IP-Bereiche)}} '''</p><br>
<p>'''{{#var:1|Verbinden von VPN-Netzen mit den gleichen Broadcast-Domains (IP-Bereiche)}} '''</p><br>


Zeile 266: Zeile 280:


{{pt3|{{#var:8|UTM_v11.8.7_Firewall_Portfilter_Netzwerkobjekte_bearbeiten.png}} |hochkant=1| {{#var:9|Netzwerkobjekt auf Adresse umstellen}} }}
{{pt3|{{#var:8|UTM_v11.8.7_Firewall_Portfilter_Netzwerkobjekte_bearbeiten.png}} |hochkant=1| {{#var:9|Netzwerkobjekt auf Adresse umstellen}} }}
{{spc|utm|s|'''{{#var:10|Zentrale}}'''|c={{Farbe|grün}} }} & {{spc|utm|s|'''{{#var:11|Filiale}}'''|c={{Farbe|grün}} }}<br>  
{{spc|utm|s|'''{{#var:10|Zentrale}}'''|c=grün }} & {{spc|utm|s|'''{{#var:11|Filiale}}'''|c=grün }}<br>  
{{#var:12|Zur Nutzung der NETMAP Funktion sind folgende Bedingungen zu beachten:}}
{{#var:12|Zur Nutzung der NETMAP Funktion sind folgende Bedingungen zu beachten:}}
* {{#var:13|Die Subnetze der am NETMAP beteiligten Objekte müssen alle die '''gleiche Größe''' haben, zum Beispiel alle /24.}}
* {{Hinweis|!}} {{#var:13|Die Subnetze der am NETMAP beteiligten Objekte müssen alle die '''gleiche Größe''' haben, zum Beispiel alle /24.}}
* {{#var:14|Alle beteiligten Objekte müssen eine '''definierte Netzwerk IP-Adresse''' eingetragen haben. Es dürfen also '''keine Schnittstellen ausgewählt''' werden.}}<br>
 
* {{Hinweis|!}} {{#var:14|Alle beteiligten Objekte müssen eine '''definierte Netzwerk IP-Adresse''' eingetragen haben. Es dürfen also '''keine Schnittstellen ausgewählt''' werden.}}<br>


{{#var:15|Überprüfung des Netzwerkobjektes des internen Netzwerkes und gegebenenfalls Umstellung auf {{b| Adresse}}, indem der Radio-Button vor ''Adresse'' aktiviert und die Netzwerk-Adresse mit der entsprechenden Subnetzmaske in das Feld eintragen wird. In diesem Beispiel haben wir auf beiden Seiten das Netzwerk 172.16.3.0/24.}}
{{#var:15|Überprüfung des Netzwerkobjektes des internen Netzwerkes und gegebenenfalls Umstellung auf {{b| Adresse}}, indem der Radio-Button vor ''Adresse'' aktiviert und die Netzwerk-Adresse mit der entsprechenden Subnetzmaske in das Feld eintragen wird. In diesem Beispiel haben wir auf beiden Seiten das Netzwerk 172.16.3.0/24.}}
Zeile 303: Zeile 318:
{{pt3| {{#var:29|UTM_v11.8.7_Firewall_Portfilter_Netzwerkobjekte_Rmotvpn.png}} | hochkant=1| {{#var:29b|Netzwerkobjekt '''in der Zentrale für das Filial-Netz''' (Mapnetz Remote)}} }}
{{pt3| {{#var:29|UTM_v11.8.7_Firewall_Portfilter_Netzwerkobjekte_Rmotvpn.png}} | hochkant=1| {{#var:29b|Netzwerkobjekt '''in der Zentrale für das Filial-Netz''' (Mapnetz Remote)}} }}
<p>{{#var:30|Es müssen in der Zentrale zwei Netzwerkobjekte mit Netzwerken erstellt werden, die weder in der Zentrale  noch in der Filiale eingerichtet sind.}}<br>
<p>{{#var:30|Es müssen in der Zentrale zwei Netzwerkobjekte mit Netzwerken erstellt werden, die weder in der Zentrale  noch in der Filiale eingerichtet sind.}}<br>
{{spc|utm|s|'''{{#var:10|Zentrale}}'''|c={{Farbe|grün}} }} <br>{{#var:31|{{Menu|Firewall|Portfilter}} → {{Reiter|Netzwerkobjekte}} → {{Button|Objekt hinzufügen|+}} }}</p>
{{spc|utm|s|'''{{#var:10|Zentrale}}'''|c=grün }} <br>{{#var:31|{{Menu|Firewall|Portfilter}} → {{Reiter|Netzwerkobjekte}} → {{Button|Objekt hinzufügen|+}} }}</p>


<p>{{#var:32|Das Netzwerkobjekt für das ''(entfernte)'' '''Mapnetz der Filiale''' muss vom {{b|Typ}} {{Button|Netzwerk (Adresse)|dr}} sein.}}</p>
<p>{{#var:32|Das Netzwerkobjekt für das ''(entfernte)'' '''Mapnetz der Filiale''' muss vom {{b|Typ}} {{Button|Netzwerk (Adresse)|dr}} sein.}}</p>
<p>{{td|{{Hinweis|!|r}}| {{#var:33|Bei '''IPSec-'''Verbindungen, muss sich das Netzwerkobjekt in der {{b|Zone}} {{Button|external|dr}} befinden.}} |w=20px}}
<p>{{td|{{Hinweis|!|r}}| {{#var:33|Bei '''IPSec-'''Verbindungen, muss sich das Netzwerkobjekt in der {{b|Zone}} {{Button|external|dr}} befinden.}} |w=20px}}
{{td| {{Hinweis|!|r}}| {{#var:34|Bei SSL-VPN-Verbindungen muss '''zuerst''' eine Verbindung angelegt werden.  
{{td| {{Hinweis|!|r}}| {{#var:34|Bei SSL-VPN-Verbindungen muss '''zuerst''' eine Verbindung angelegt werden.  
<br>Dabei wird ein Zone '''VPN-SSL-'''''Verbindungsname'' angelegt.  
<br>Dabei wird eine Zone '''VPN-SSL-'''''Verbindungsname'' angelegt.  
<br>Das Netzwerkobjekt muss dann mit dieser Zone angelegt werden.}} |w=20px}}</p>
<br>Das Netzwerkobjekt muss dann mit dieser Zone angelegt werden.}} |w=20px}}</p>
<p>{{#var:35|Das Netzwerkobjekt erhält in unserem Beispiel die Netzwerkadresse 10.0.2.0/24}}</p>
<p>{{#var:35|Das Netzwerkobjekt erhält in unserem Beispiel die Netzwerkadresse 10.0.2.0/24}}</p>
Zeile 317: Zeile 332:
{{pt3|{{#var:37|UTM_v11.8.7_Firewall_Portfilter_Netzwerkobjekte_localvpn2.png}} | hochkant=1 | {{#var:38|Netzwerkobjekt '''in der Filiale für das eigene Netz'''}}}}
{{pt3|{{#var:37|UTM_v11.8.7_Firewall_Portfilter_Netzwerkobjekte_localvpn2.png}} | hochkant=1 | {{#var:38|Netzwerkobjekt '''in der Filiale für das eigene Netz'''}}}}
{{pt3| {{#var:39|UTM_v11.8.7_Firewall_Portfilter_Netzwerkobjekte_Remotevpn2.png}} | hochkant=1 | {{#var:40|Netzwerkobjekt '''in der Filiale für das Netz der Zentrale'''}} }}
{{pt3| {{#var:39|UTM_v11.8.7_Firewall_Portfilter_Netzwerkobjekte_Remotevpn2.png}} | hochkant=1 | {{#var:40|Netzwerkobjekt '''in der Filiale für das Netz der Zentrale'''}} }}
<p>{{spc|utm|s|'''{{#var:11|Filiale}}'''|c={{Farbe|grün}}}}<br>
<p>{{spc|utm|s|'''{{#var:11|Filiale}}'''|c=grün}}<br>
{{#var:41|Auf der Seite der Filiale werden ebenfalls zwei Netzwerkobjekte erstellt.}} <br>
{{#var:41|Auf der Seite der Filiale werden ebenfalls zwei Netzwerkobjekte erstellt.}} <br>
{{#var:42|Dort ist das Netzwerk 10.0.1.0/24, das Mapnetz der Zentrale, das sich in der {{b|Zone}} {{Button|external|dr}} befindet und das Netzwerk 10.0.2.0/24 das, Mapnetz der Filiale, das mit der Zone des internen Netzwerkes {{Button|internal|dr}} angelegt wird.}}
{{#var:42|Dort ist das Netzwerk 10.0.1.0/24, das Mapnetz der Zentrale, das sich in der {{b|Zone}} {{Button|external|dr}} befindet und das Netzwerk 10.0.2.0/24 das, Mapnetz der Filiale, das mit der Zone des internen Netzwerkes {{Button|internal|dr}} angelegt wird.}}
Zeile 325: Zeile 340:


==== {{#var:43|NETMAP Regel anlegen}} ====
==== {{#var:43|NETMAP Regel anlegen}} ====
{{pt3| {{#var:44|UTM_v11.8.7_Firewall_Portfilter_Regel_Netmap-Zentrale.png}} |hochkant=1.75| {{#var:45|NETMAP Portfilterregel}} }}
{{pt3| {{#var:44|UTM_v11.8.7_Firewall_Portfilter_Regel_Netmap-Zentrale.png}} |hochkant=2| {{#var:45|NETMAP Portfilterregel}} }}
{{#var:46|Es muss auf jeder Seite eine Portfilterregel anhand der Netzwerkobjekte erstellt werden.}} <br>
{{#var:46|Es muss auf jeder Seite eine Portfilterregel anhand der Netzwerkobjekte erstellt werden.}} <br>


{| class="sptable pd5"
{| class="sptable pd5"
! colspan="2" | {{#var:47|Auf der Seite der}} {{spc|utm|s|'''{{#var:10|Zentrale}}'''|c={{Farbe|grün}}}}  
! colspan="2" | {{#var:47|Auf der Seite der}} {{spc|utm|s|'''{{#var:10|Zentrale}}'''|c=grün }} {{#var:ausg | für ausgehenden NEtzwerkverkehr}}
|-
|-
| {{Kasten| {{#var:48|Quelle}} }} || {{Button| internal network|blau}}
| {{Kasten| {{#var:48|Quelle}} }} || {{Button| internal network|blau}}
Zeile 337: Zeile 352:
| {{Kasten| {{#var:51|Dienst}} }} || {{Button| {{#var:52|Dienst der gemapt werden soll}} |blau}}
| {{Kasten| {{#var:51|Dienst}} }} || {{Button| {{#var:52|Dienst der gemapt werden soll}} |blau}}
|-
|-
| {{Kasten| <nowiki>[–]</nowiki> NAT}} {{Kasten|{{#var:53|Typ:: }} || {{Button| NETMAP|dr}}
| {{Kasten| <nowiki>[–]</nowiki> NAT}} {{Kasten|{{#var:53|Typ}} }} || {{Button| NETMAP|dr}}
|-
|-
| {{Kasten| {{#var:54|Netzwerkobjekt}} }} || {{Button| {{#var:55|Mapnetz der Zentrale}} |dr}}
| {{Kasten| {{#var:54|Netzwerkobjekt}} }} || {{Button| {{#var:55|Mapnetz der Zentrale}} |dr}}
|-
! colspan="2" | {{#var:47|Auf der Seite der}} {{spc|utm|s|'''{{#var:10|Zentrale}}'''|c=grün }} {{#var:eing|von der Gegenstelle inititiert}}
|-
| {{Kasten| {{#var:48|Quelle}} }} || {{Button| {{#var:50|Mapnetz der Filiale}} |blau}}
|-
| {{Kasten| {{#var:49|Ziel}} }} || {{Button| internal network|blau}}
|-
| {{Kasten| {{#var:51|Dienst}} }} || {{Button| {{#var:91|benötigter Dienst}} |blau}}
|-
| {{Kasten| <nowiki>[–]</nowiki> NAT}} {{Kasten|{{#var:53|Typ}} }} || {{Hinweis| {{#var:112|! Hierfür wird kein NAT vom Typ NETMAP mehr benötigt}} |gelb}}
|-
|-
| class="Leerzeile" |
| class="Leerzeile" |
|-
|-
! colspan="2" | {{#var:47|Auf der Seite der}} {{spc|utm|s|'''{{#var:11|Filiale}} '''|c={{Farbe|grün}} }}
! colspan="2" | {{#var:47|Auf der Seite der}} {{spc|utm|s|'''{{#var:11|Filiale}} '''|c=grün }} {{#var:ausg | für ausgehenden NEtzwerkverkehr}}
|-
|-
| {{Kasten|  {{#var:48|Quelle}} }} || {{Button| {{#var:56|Internes Netzwerk}} |blau}}
| {{Kasten|  {{#var:48|Quelle}} }} || {{Button| {{#var:56|Internes Netzwerk}} |blau}}
Zeile 354: Zeile 379:
|-
|-
| {{Kasten| {{#var:54|Netzwerkobjekt}} }} || {{Button| {{#var:59|Mapnetz der Filiale}} |dr}}
| {{Kasten| {{#var:54|Netzwerkobjekt}} }} || {{Button| {{#var:59|Mapnetz der Filiale}} |dr}}
|-
! colspan="2" | {{#var:47|Auf der Seite der}} {{spc|utm|s|'''{{#var:11|Filiale}} '''|c=grün }}  {{#var:eing|von der Gegenstelle inititiert}}
|-
| {{Kasten|  {{#var:48|Quelle}} }} || {{Button| {{#var:57|Mapnetz der Zentrale}} |blau}}
|-
| {{Kasten| {{#var:49|Ziel}} }} || {{Button| {{#var:56|Internes Netzwerk}} |blau}}
|-
| {{Kasten| {{#var:51|Dienst}} }} || {{Button| {{#var:58|Dienst der gemapt werden soll}} |blau}}
|-
| {{Kasten| <nowiki>[–]</nowiki> NAT}} {{Kasten|{{#var:53|Typ}} }} ||  {{Hinweis| {{#var:112|! Hierfür wird kein NAT vom Typ NETMAP mehr benötigt}} |gelb}}
|}
|}


Zeile 359: Zeile 394:


==== {{#var:60|VPN-Verbindung anlegen}} ====
==== {{#var:60|VPN-Verbindung anlegen}} ====
{{spc|utm|s|'''{{#var:10|Zentrale}} '''|c={{Farbe|grün}} }}
{{spc|utm|s|'''{{#var:10|Zentrale}} '''|c=grün }}
{{pt3 | {{#var:61|UTM_v11.8.7_VPN_IPSEC-Verbindung_Schritt4.png}} |hochkant=1|{{spc|utm|s|'''{{#var:10|Zentrale}}'''}} {{#var:62|Schritt 4 mit remote Mapnetz der Filiale}} }}
{{pt3 | {{#var:61|UTM_v11.8.7_VPN_IPSEC-Verbindung_Schritt4.png}} |hochkant=1|{{spc|utm|s|'''{{#var:10|Zentrale}}'''}} {{#var:62|Schritt 4 mit remote Mapnetz der Filiale}} }}
{{pt3 | {{#var:63|UTM_v11.8.7_VPN_IPSEC-Verbindung_Schritt3.png}} |hochkant=1|{{spc|utm|s|'''{{#var:10|Zentrale}}'''}} {{#var:64|Schritt 3 mit lokalem Mapnetz der Zentrale}} }}
{{pt3 | {{#var:63|UTM_v11.8.7_VPN_IPSEC-Verbindung_Schritt3.png}} |hochkant=1|{{spc|utm|s|'''{{#var:10|Zentrale}}'''}} {{#var:64|Schritt 3 mit lokalem Mapnetz der Zentrale}} }}
Zeile 369: Zeile 404:
<br clear=all>
<br clear=all>
<div style="width: 30%;"><hr></div>
<div style="width: 30%;"><hr></div>
{{spc|utm|s|'''{{#var:11|Filiale}}'''|c={{Farbe|grün}} }}
{{spc|utm|s|'''{{#var:11|Filiale}}'''|c=grün }}
{{pt3 | {{#var:68|UTM_v11.8.7_Firewall_Portfilter_Netzwerkobjekte_remote3.png}} |hochkant=1|{{spc|utm|s|'''{{#var:11|Filiale}}'''}} {{#var:69|Schritt 4 mit remote Mapnetz der Zentrale}} }}
{{pt3 | {{#var:68|UTM_v11.8.7_Firewall_Portfilter_Netzwerkobjekte_remote3.png}} |hochkant=1|{{spc|utm|s|'''{{#var:11|Filiale}}'''}} {{#var:69|Schritt 4 mit remote Mapnetz der Zentrale}} }}
{{pt3 | {{#var:70|UTM_v11.8.7_Firewall_Portfilter_Netzwerkobjekte_localvpn3.png}} |hochkant=1|{{spc|utm|s|'''{{#var:11|Filiale}}'''}} {{#var:71|Schritt 3 mit lokalem Mapnetz der Filiale}} }}
{{pt3 | {{#var:70|UTM_v11.8.7_Firewall_Portfilter_Netzwerkobjekte_localvpn3.png}} |hochkant=1|{{spc|utm|s|'''{{#var:11|Filiale}}'''}} {{#var:71|Schritt 3 mit lokalem Mapnetz der Filiale}} }}
Zeile 406: Zeile 441:
==== {{#var:26|Netzwerkobjekte erstellen}} ====
==== {{#var:26|Netzwerkobjekte erstellen}} ====
{{pt3| {{#var:80|UTM_v11.8.7_Firewall_Portfilter_Netzwerkobjekte_localnet-zentrale.png}} |hochkant=1| {{#var:81|Netzwerkobjekt in den Filialen für das Netz der Zentrale. Es kann direkt das Subnetz der Zentrale verwendet werden.}} }}
{{pt3| {{#var:80|UTM_v11.8.7_Firewall_Portfilter_Netzwerkobjekte_localnet-zentrale.png}} |hochkant=1| {{#var:81|Netzwerkobjekt in den Filialen für das Netz der Zentrale. Es kann direkt das Subnetz der Zentrale verwendet werden.}} }}
In {{spc|utm|s|'''{{#var:11|Filiale}} 1'''|c={{Farbe|grün}} }} & {{spc|utm|s|'''{{#var:11|Filiale}} 2'''|c={{Farbe|grün}} }} {{#var:82|(und in jeder weiteren Filiale) wird ein IPSec-Netzwerkobjekt für die Zentrale eingerichtet.<br>
In {{spc|utm|s|'''{{#var:11|Filiale}} 1'''|c=grün }} {{#var:82|(und in jeder weiteren Filiale) wird ein IPSec-Netzwerkobjekt für die Zentrale eingerichtet.<br>
Das Netzwerkobjekt für das Netz der Gegenstelle muss sich in der Zone vpn-ipsec befinden und hat in unserem Beispiel die Netzwerkadresse 172.16.0.0/24.}}
Das Netzwerkobjekt für das Netz der Gegenstelle muss sich in der Zone vpn-ipsec befinden und hat in unserem Beispiel die Netzwerkadresse 172.16.0.0/24.}}


Zeile 413: Zeile 448:


{{pt3| {{#var:83|UTM_v11.8.7_Firewall_Portfilter_Netzwerkobjekte_localnet-filiale2.png}} | hochkant=1| {{#var:84|Netzwerkobjekt in der Filiale 2 für das eigene Mapnetz (Lokal). So wird die '''Filiale 2''' für die Zentrale gemapt.}} }}
{{pt3| {{#var:83|UTM_v11.8.7_Firewall_Portfilter_Netzwerkobjekte_localnet-filiale2.png}} | hochkant=1| {{#var:84|Netzwerkobjekt in der Filiale 2 für das eigene Mapnetz (Lokal). So wird die '''Filiale 2''' für die Zentrale gemapt.}} }}
<p>{{#var:85|In der {{spc|utm|s|'''Filiale 2'''|c={{Farbe|grün}} }} (und in jeder weiteren Filiale, die ein bereits genutztes Subnetz verwendet) wird ein zweites Netzwerkobjekt für das eigene Subnetz erstellt, das gemapt wird.</p>
{{pt3 | {{#var:83b| UTM_v11.8.7_Netzwerk_Portfilter_Netzwerkobjekte_f2z.png }} | hochkant=1 | {{#var:84b| Netzwerkobjekt in der Filiale 2 für das Netz der Zentrale }} }}
<p>{{#var:85|In der {{spc|utm|s|'''Filiale 2'''|c=grün }} (und in jeder weiteren Filiale, die ein bereits genutztes Subnetz verwendet) wird ein zweites Netzwerkobjekt für das eigene Subnetz erstellt, das gemapt wird.</p>
<p>Das Mapnet darf weder in der Filiale, noch in der Zentrale, noch auf einer der anderen Filialen die per VPN Verbindungen an die Zentrale angebunden sind, genutzt werden.<br>
<p>Das Mapnet darf weder in der Filiale, noch in der Zentrale, noch auf einer der anderen Filialen die per VPN Verbindungen an die Zentrale angebunden sind, genutzt werden.<br>
Das Netzwerkobjekt für das Mapnetz in der Filiale muss sich in der Zone des internen Netzwerkes befinden und bekommt in unserem Beispiel die Netzwerkadresse 10.0.1.0/24. (weitere Filialen erhalten an dieser Stelle '''ein anderes''' Mapnet!)}} </p>
Das Netzwerkobjekt für das Mapnetz in der Filiale muss sich in der Zone des internen Netzwerkes befinden und bekommt in unserem Beispiel die Netzwerkadresse 10.0.1.0/24. (weitere Filialen erhalten an dieser Stelle '''ein anderes''' Mapnet!)}} </p>
Zeile 421: Zeile 457:


==== {{#var:86|NETMAP Regel anlegen}} ====
==== {{#var:86|NETMAP Regel anlegen}} ====
<!-- XXXXXXXXXXXXXXXXXXXXXXXXX -->
{{pt3| {{#var:87|UTM_v11.8.7_Firewall_Portfilter_Regel_Netmap-Filiale.png}} |{{#var:88|NETMAP Portfilterregel}} }}
{{pt3| {{#var:87|UTM_v11.8.7_Firewall_Portfilter_Regel_Netmap-Filiale.png}} |{{#var:88|NETMAP Portfilterregel}} }}
{{#var:89|Portfilterregeln in der '''Filiale 2''' (und in jeder weiteren Filiale, die ein bereits genutztes Subnetz verwendet)}}  
{{#var:89|Portfilterregeln in der '''Filiale 2''' (und in jeder weiteren Filiale, die ein bereits genutztes Subnetz verwendet)}}  


{| class="sptable pt5"
{| class="sptable pt5"
! colspan="2" | {{#var:47|Auf der Seite der}} {{spc|utm|s|'''{{#var:11|Filiale}} 2'''|c={{Farbe|grün}} }}
! colspan="2" | {{#var:47|Auf der Seite der}} {{spc|utm|s|'''{{#var:11|Filiale}} 2'''|c=grün }}
|-
|-
| {{Kasten| {{#var:48|Quelle}} }} || {{Button| {{#var:56|Internes Netzwerk}} |blau}}
| {{Kasten| {{#var:48|Quelle}} }} || {{Button| {{#var:56|Internes Netzwerk}} |blau}}
Zeile 435: Zeile 472:
| {{Kasten| <nowiki>[–]</nowiki> NAT}} {{Kasten|{{#var:53|Typ}} }} || {{Button| NETMAP|dr}}
| {{Kasten| <nowiki>[–]</nowiki> NAT}} {{Kasten|{{#var:53|Typ}} }} || {{Button| NETMAP|dr}}
|-
|-
| {{Kasten| {{#var:92|Netzwerkobjekt}} }} || {{Button| {{#var:50|Mapnetz der Filiale}} 2 | dr}}
| {{Kasten| {{#var:92|Netzwerkobjekt}} }} || {{Button| {{#var:50b| Lokales Mapnetz der Filiale}} 2 | dr}}
|}
|}
<br clear=All>
<br clear=All>
Zeile 444: Zeile 481:
<div class="nop">
<div class="nop">
{{pt3| {{#var:93|UTM_v11.8.7_VPN_IPSEC-Verbindung_Schritt4b.png}} | hochkant=1| {{#var:93b|Schritt 4 mit Remotenetz}} }}
{{pt3| {{#var:93|UTM_v11.8.7_VPN_IPSEC-Verbindung_Schritt4b.png}} | hochkant=1| {{#var:93b|Schritt 4 mit Remotenetz}} }}
{{pt3 | {{#var:94|UTM_v11.8.7_VPN_IPSEC-Verbindung_Schritt3.png}} |hochkant=1| {{#var:95|Schritt 3  in {{spc|utm|s|'''Filiale 2'''|c={{Farbe|grün}} }} mit lokalem '''Map'''netz}} }}
{{pt3 | {{#var:94|UTM_v11.8.7_VPN_IPSEC-Verbindung_Schritt3.png}} |hochkant=1| {{#var:95|Schritt 3  in {{spc|utm|s|'''Filiale 2'''|c=grün }} mit lokalem '''Map'''netz}} }}
<p>{{#var:65|Anlegen einer IPSec-Site-to-Site VPN-Verbindung, [http://wiki.securepoint.de/index.php/IPSec_Site_to_Site_v11#VPN-Verbindung_anlegen wie im Wiki beschrieben].}}<br></p><br>
<p>{{#var:65|Anlegen einer IPSec-Site-to-Site VPN-Verbindung, [http://wiki.securepoint.de/index.php/IPSec_Site_to_Site_v11#VPN-Verbindung_anlegen wie im Wiki beschrieben].}}<br></p><br>
<p>{{spc|utm|s|'''{{#var:11|Filiale}} 1'''|c={{Farbe|grün}} }}
<p>{{spc|utm|s|'''{{#var:11|Filiale}} 1'''|c=grün }}
* {{Hinweis|!|r}} {{#var:96|In Schritt 3 muss das lokale Netz (ohne mapping) freigegeben werden.<br>Im Beispiel: }}{{cb|172.16.3.0/24}}</p><br>
* {{Hinweis|!|r}} {{#var:96|In Schritt 3 muss das lokale Netz (ohne mapping) freigegeben werden.<br>Im Beispiel: }}{{cb|172.16.3.0/24}}</p><br>


<p>{{spc|utm|s|'''{{#var:11|Filiale}} 2'''|c={{Farbe|grün}} }} <small>{{#var:97|(und ggf. weitere Filialen)}}</small>
<p>{{spc|utm|s|'''{{#var:11|Filiale}} 2'''|c=grün }} <small>{{#var:97|(und ggf. weitere Filialen)}}</small>
* {{Hinweis|!|r}} {{#var:98|In Schritt 3 muss das lokale '''Map'''netz freigegeben werden.<br>Im Beispiel:}} {{cb|10.0.1.0/24}} </p><br>
* {{Hinweis|!|r}} {{#var:98|In Schritt 3 muss das lokale '''Map'''netz freigegeben werden.<br>Im Beispiel:}} {{cb|10.0.1.0/24}} </p><br>


<p>{{spc|utm|s|'''{{#var:99|jede Filiale}} '''|c={{Farbe|grün}} }}
<p>{{spc|utm|s|'''{{#var:99|jede Filiale}} '''|c=grün }}
* {{#var:100|in Schritt 4 wird das direkte Remote-Netz der Zentrale (ohne mapping) freigegeben.<br>Im Beispiel:}} {{cb|172.16.0.0/24}}</p><br>
* {{#var:100|in Schritt 4 wird das direkte Remote-Netz der Zentrale (ohne mapping) freigegeben.<br>Im Beispiel:}} {{cb|172.16.0.0/24}}</p><br>


<p>{{spc|utm|s|'''{{#var:10|Zentrale}}'''|c={{Farbe|grün}} }}
<p>{{spc|utm|s|'''{{#var:10|Zentrale}}'''|c=grün }}
* {{Hinweis|!|r}} {{#var:101|Es wird für '''jede Filiale''' eine Verbindung benötigt.}}
* {{Hinweis|!|r}} {{#var:101|Es wird für '''jede Filiale''' eine Verbindung benötigt.}}
* {{#var:102|In Schritt 3 muss das lokale Netz freigegeben werden.<br>Im Beispiel:}} {{cb|172.16.0.0/24}}
* {{#var:102|In Schritt 3 muss das lokale Netz freigegeben werden.<br>Im Beispiel:}} {{cb|172.16.0.0/24}}
Zeile 468: Zeile 505:
{{#var:105|Zwei Möglichkeiten stehen zur Verfügung:}}
{{#var:105|Zwei Möglichkeiten stehen zur Verfügung:}}


* {{spc|utm|s|'''{{#var:10|Zentrale}}'''|c={{Farbe|grün}} }} & {{spc|utm|s|'''{{#var:99|jede Filiale}}'''|c={{Farbe|grün}} }}<br>
* {{spc|utm|s|'''{{#var:10|Zentrale}}'''|c=grün }} & {{spc|utm|s|'''{{#var:99|jede Filiale}}'''|c=grün }}<br>
{{#var:106|Menü {{Menu | Firewall|Implizite Regeln}} → Gruppe {{ic|IpsecTraffic}} → Regel {{ic|Acceppt}} {{ButtonAn|Ein}}<br>
{{#var:106|Menü {{Menu | Firewall|Implizite Regeln}} → Gruppe {{ic|IpsecTraffic}} → Regel {{ic|Acceppt}} {{ButtonAn|Ein}}<br>
<br>
<br>
Zeile 477: Zeile 514:


{| class="sptable pt5 einrücken"
{| class="sptable pt5 einrücken"
! colspan="2" | {{#var:47|Auf der Seite der}} {{spc|utm|s|'''{{#var:10|Zentrale}}'''|c={{Farbe|grün}} }}
! colspan="2" | {{#var:47|Auf der Seite der}} {{spc|utm|s|'''{{#var:10|Zentrale}}'''|c=grün }}
|-
|-
| {{Kasten| {{#var:48|Quelle}} }} || {{Button| {{#var:110|mapnet_remotenet_Filiale''1''}} |blau}} {{#var:111|(Mapnetz der VPN Gegenstelle)}}
| {{Kasten| {{#var:48|Quelle}} }} || {{Button| {{#var:110|mapnet_remotenet_Filiale''1''}} |blau}} {{#var:111|(Mapnetz der VPN Gegenstelle)}}
Zeile 490: Zeile 527:
| class="Leerzeile" |
| class="Leerzeile" |
|-
|-
! colspan="2" | {{#var:47|Auf der Seite der}} {{spc|utm|s|'''{{#var:11|Filialen}}'''|c={{Farbe|grün}} }}
! colspan="2" | {{#var:47|Auf der Seite der}} {{spc|utm|s|'''{{#var:11|Filialen}}'''|c=grün }}
|-
|-
| {{Kasten| {{#var:48|Quelle}} }} || {{Button| ipsec_remotenet |blau}} {{#var:113|(Netz der Zentrale)}}
| {{Kasten| {{#var:48|Quelle}} }} || {{Button| ipsec_remotenet |blau}} {{#var:113|(Netz der Zentrale)}}

Aktuelle Version vom 8. September 2022, 13:17 Uhr





notempty
Dieser Artikel bezieht sich auf eine nicht mehr aktuelle Version!

notempty
Der Artikel für die neueste Version steht hier

notempty
Zu diesem Artikel gibt es bereits eine neuere Version, die sich allerdings auf eine Reseller-Preview bezieht





























































































De.png
En.png
Fr.png

Verbinden von VPN-Netzen mit den gleichen Broadcast-Domains (IP-Bereiche)


Letzte Anpassung zur Version: 11.8.7


Änderungen:

  • Zone des Remote-Netzes korrigiert
  • Layoutanpassung


Vorherige Versionen: 11.7




Sollten auf beiden Seiten einer VPN Verbindung die gleichen Subnetze eingesetzt werden, ist es normalerweise nicht möglich diese Verbindung einzurichten.
Weiterhin kann es passieren, dass hinter verschiedenen Gegenstellen die gleichen Netzwerke eingerichtet sind.
Mit dem NAT-Typ NETMAP und Hilfsnetzwerken (Mapnetz) die auf keiner der zu verbindenden Gegenstellen eingerichtet sind, können diese Verbindungen trotzdem erstellt werden, ohne auf einer der Seiten das Subnetz komplett zu ändern.


NATen von kompletten Subnetzen mit NETMAP

Vorbereitungen

Netzwerkobjekt auf Adresse umstellen

 Zentrale &  Filiale
Zur Nutzung der NETMAP Funktion sind folgende Bedingungen zu beachten:

  • Die Subnetze der am NETMAP beteiligten Objekte müssen alle die gleiche Größe haben, zum Beispiel alle /24.
  • Alle beteiligten Objekte müssen eine definierte Netzwerk IP-Adresse eingetragen haben. Es dürfen also keine Schnittstellen ausgewählt werden.

Überprüfung des Netzwerkobjektes des internen Netzwerkes und gegebenenfalls Umstellung auf Adresse, indem der Radio-Button vor Adresse aktiviert und die Netzwerk-Adresse mit der entsprechenden Subnetzmaske in das Feld eintragen wird. In diesem Beispiel haben wir das Netzwerk 172.16.3.0/24 auf beiden Seiten.



Ausgangslage:

Zentrale und Filiale haben das gleiche Subnetz

Netmap sz1.png

In diesem Fall muss das Mapping auf beiden Seiten der Verbindung eingerichtet werden.

Lokales Netz Öffentliche IP Netmap
Zentrale 172.16.3.0/24 192.0.2.192 10.0.1.0/24
Filiale 172.16.3.0/24 192.0.2.193 10.0.2.0/24


Die Verbindung soll über IPSec hergestellt werden.



Netzwerkobjekte erstellen

Netzwerkobjekt in der Zentrale für das eigene Netz (Mapnetz Lokal)

Netzwerkobjekt in der Zentrale für das Filial-Netz (Mapnetz Remote)

Es müssen in der Zentrale zwei Netzwerkobjekte mit Netzwerken erstellt werden, die weder in der Zentrale noch in der Filiale eingerichtet sind.
 Zentrale
→ Firewall →PortfilterNetzwerkobjekteObjekt hinzufügen

Das Netzwerkobjekt für das (entfernte) Mapnetz der Filiale muss vom Typ Netzwerk (Adresse) sein.

Bei IPSec-Verbindungen, muss sich das Netzwerkobjekt in der Zone external befinden.
Bei SSL-VPN-Verbindungen muss zuerst eine Verbindung angelegt werden.
Dabei wird eine Zone VPN-SSL-Verbindungsname angelegt.
Das Netzwerkobjekt muss dann mit dieser Zone angelegt werden.

Das Netzwerkobjekt erhält in unserem Beispiel die Netzwerkadresse 10.0.2.0/24

Das Netzwerkobjekt für das (eigene) Mapnetz der Zentrale muss sich in der Zone des internen Netzwerkes befinden und bekommt in unserem Beispiel die Netzwerkadresse 10.0.1.0/24



Netzwerkobjekt in der Filiale für das eigene Netz

Netzwerkobjekt in der Filiale für das Netz der Zentrale

 Filiale
Auf der Seite der Filiale werden ebenfalls zwei Netzwerkobjekte erstellt.
Dort ist das Netzwerk 10.0.1.0/24, das Mapnetz der Zentrale, das sich in der Zone external befindet und das Netzwerk 10.0.2.0/24, das Mapnetz der Filiale, das mit der Zone des internen Netzwerkes internal angelegt wird.


NETMAP Regel anlegen

NETMAP Portfilterregel
Das Mapnetz kann als
Netzwerkobjekt
nicht ausgewählt werden, wenn es noch mit einer Schnittstelle anstatt mit einer IP-Adresse verknüpft ist.

Es müssen auf jeder Seite, je nach Nutzungsszenario, Portfilterregeln erstellt werden.

Auf der Seite der  Zentrale für ausgehenden Netzwerkverkehr
Quelle
internal network
Ziel
Mapnetz der Filiale
Dienst
Dienst der gemappt werden soll
[–] NAT
Typ
NETMAP
Netzwerkobjekt
Mapnetz der Zentrale
Auf der Seite der  Zentrale für Netzwerkverkehr, der von der Gegenstelle initiiert wird
Quelle
Mapnetz der Filiale
Ziel
internal network
Dienst
benötigter Dienst
[–] NAT
Typ
Hierfür wird kein NAT vom Typ NETMAP mehr benötigt
Auf der Seite der  Filiale für ausgehenden Netzwerkverkehr
Quelle
Internes Netzwerk
Ziel
Mapnetz der Zentrale
Dienst
Dienst der gemappt werden soll
[–] NAT
Typ
NETMAP
Netzwerkobjekt
Mapnetz der Filiale
Auf der Seite der  Filiale für Netzwerkverkehr, der von der Gegenstelle initiiert wird
Quelle
Mapnetz der Zentrale
Ziel
Internes Netzwerk
Dienst
Dienst der gemappt werden soll
[–] NAT
Typ
Hierfür wird kein NAT vom Typ NETMAP mehr benötigt

VPN-Verbindung anlegen

 Zentrale

 Zentrale Schritt 4 mit remote Mapnetz der Filiale

 Zentrale Schritt 3 mit lokalem Mapnetz der Zentrale

Anlegen einer IPSec-Site-to-Site VPN-Verbindung, wie im Wiki beschrieben im Menü → VPN →IPSec mit der Schaltfläche + IPSec-Verbindung hinzugügen.

  • In Schritt 3 muss das lokale Mapnetz freigegeben werden
  • in Schritt 4 das remote Mapnetz.



 Filiale

 Filiale Schritt 4 mit remote Mapnetz der Zentrale

 Filiale Erreichbarkeit von Hosts der Gegenstelle

Anlegen einer IPSec-Site-to-Site VPN-Verbindung, wie im Wiki beschrieben im Menü → VPN →IPSec mit der Schaltfläche + IPSec-Verbindung hinzugügen.

  • In Schritt 3 muss das lokale Mapnetz freigegeben werden
  • in Schritt 4 das remote Mapnetz.



Erreichbarkeit von Hosts der Gegenstelle

Ein Rechner mit der IP-Adresse 172.16.3.10 in der Filiale wird von der Zentrale aus mit der IP-Adresse 10.0.2.10 angesprochen.
Einen Rechner mit der IP-Adresse 172.16.3.120 in der Zentrale wird von der Filiale aus mit der IP-Adresse 10.0.1.120 angesprochen.

Mehrere Filialen haben das gleiche Subnetz

Ausgangslage:

Netmap sz2.png
Lokales Netz Öffentliche IP Netmap
Zentrale 172.16.0.0/24 192.0.2.192 nicht erforderlich
Filiale 1: 172.16.3.0/24 192.0.2.193 nicht erforderlich
Filiale 2: 172.16.3.0/24 192.0.2.194 10.0.1.0/24


Hierbei wird das Mapping nur auf den Filialen eingerichtet, die das gleiche Netzwerk nutzen wie auf einer schon eingerichteten VPN-Verbindung. In der Zentrale wird kein Mapping benötigt, sofern sich das interne Netz der Zentrale von denen der Filialen unterscheidet. Ebenfalls kann in einer Filiale das vorhandene Netz ohne Mapping verwendet werden.


Netzwerkobjekte erstellen

Netzwerkobjekt in den Filialen für das Netz der Zentrale. Es kann direkt das Subnetz der Zentrale verwendet werden.

In  Filiale 1 (und in jeder anderen Filiale, die ein ansonsten ungenutzes Subnetz verwendet) wird ein IPSec-Netzwerkobjekt für die Zentrale eingerichtet.
Das Netzwerkobjekt für das Netz der Gegenstelle muss sich in der Zone vpn-ipsec befinden und hat in unserem Beispiel die Netzwerkadresse 172.16.0.0/24.



Netzwerkobjekt in der Filiale 2 für das eigene Mapnetz (Lokal). So wird die Filiale 2 für die Zentrale gemapt.

Netzwerkobjekt in der Filiale 2 für das Netz der Zentrale

In der  Filiale 2 (und in jeder weiteren Filiale, die ein bereits genutztes Subnetz verwendet) erhält das Netzwerk der Zentrale die Zone external

Das ermöglicht den Paketen, vor dem Verlassen der Schnittstelle gemapt zu werden!

. Zusätzlich wird ein zweites Netzwerkobjekt für das eigene Subnetz erstellt, das gemapt wird.

Das Mapnet darf weder in der Filiale, noch in der Zentrale, noch auf einer der anderen Filialen die per VPN Verbindungen an die Zentrale angebunden sind, genutzt werden.
Das Netzwerkobjekt für das Mapnetz in der Filiale muss sich in der Zone des internen Netzwerkes befinden und bekommt in unserem Beispiel die Netzwerkadresse 10.0.1.0/24. (weitere Filialen erhalten an dieser Stelle ein anderes Mapnet!)




NETMAP Regel anlegen

NETMAP Portfilterregel

Portfilterregeln in der Filiale 2 (und in jeder weiteren Filiale, die ein bereits genutztes Subnetz verwendet)

Auf der Seite der  Filiale 2
Quelle
Internes Netzwerk
Ziel IPSec-Netz der Zentrale
Dienst
benötigter Dienst
[–] NAT
Typ
NETMAP
Netzwerkobjekt
Lokales Mapnetz der Filiale 2



VPN-Verbindung anlegen

Schritt 4 mit Remotenetz
Schritt 3 in  Filiale 2 mit lokalem Mapnetz

Anlegen einer IPSec-Site-to-Site VPN-Verbindung, wie im Wiki beschrieben im Menü → VPN →IPSec mit der Schaltfläche + IPSec-Verbindung hinzugügen.


 Filiale 1

  • In Schritt 3 muss das lokale Netz (ohne mapping) freigegeben werden.
    Im Beispiel:»172.16.3.0/24


 Filiale 2 (und ggf. weitere Filialen)

  • In Schritt 3 muss das lokale Mapnetz freigegeben werden.
    Im Beispiel: »10.0.1.0/24


 jede Filiale

  • in Schritt 4 wird das direkte Remote-Netz der Zentrale (ohne mapping) freigegeben.
    Im Beispiel: »172.16.0.0/24


 Zentrale

  • Es wird für jede Filiale eine Verbindung benötigt.
  • In Schritt 3 muss das lokale Netz freigegeben werden.
    Im Beispiel: »172.16.0.0/24
  • in Schritt 4 wird das gemapte Remote-Netz der entsprechenden Filiale freigegeben.
    Im Beispiel: »10.0.1.0/24



Portfilterregeln

Zwei Möglichkeiten stehen zur Verfügung:

  •  Zentrale &  jede Filiale

Menü → Firewall →Implizite Regeln → Gruppe IpsecTraffic → Regel Acceppt Ein

In diesem Falle werden Regeln im Hintergrund angelegt, die alle Dienste für alle Rechner auf beiden Seiten zulassen. (Default)

UTM v11.8.7 Firewall Portfilter Regel Netmap-Filiale2.png
  • Besser: Eigene Portfilterregeln, die nur die Dienste zuzulassen, die auch benötigt werden.
    Dazu wird im Menü → Firewall →Implizite Regeln im Abschnitt IpsecTraffic die Option Accept deaktiviert Aus und Portfilterregeln manuell angelegt.
    Beispiel:
Auf der Seite der  Zentrale
Quelle
mapnet_remotenet_Filiale1 (Mapnetz der VPN Gegenstelle)
Ziel
internal network
Dienst
benötigter Dienst
Es wird für jede Filiale eine Verbindung benötigt.

Hierfür wird kein NAT vom Typ NETMAP mehr benötigt .

Auf der Seite der  Filiale
Quelle
ipsec_remotenet (Netz der Zentrale)
Ziel
internal network
Dienst
benötigter Dienst


Erreichbarkeit von Hosts der Gegenstelle

Ein Rechner mit der IP-Adresse 172.16.3.10 in der Filiale 1 wird von der Zentrale aus mit eben dieser IP-Adresse (172.1.6.3.10) angesprochen.
Ein Rechner mit der IP-Adresse 172.16.3.10 in der Filiale 2 wird von der Zentrale aus mit der gemapten IP-Adresse 10.0.1.10 angesprochen.
Einen Rechner mit der IP-Adresse 172.16.0.120 in der Zentrale wird von der Filiale aus mit der IP-Adresse 172.16.0.120 angesprochen.