KKeine Bearbeitungszusammenfassung |
|||
(8 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
Zeile 1: | Zeile 1: | ||
{{Archivhinweis|UTM/VPN/Netmap}} | |||
{{Set_lang}} | {{Set_lang}} | ||
{{#vardefine:headerIcon| spicon-utm }} | |||
{{var|display|NETMAP | {{var|display|NETMAP | ||
Zeile 15: | Zeile 18: | ||
{{var|4|Vorherige Versionen: | {{var|4|Vorherige Versionen: | ||
| Previous versions:}} | | Previous versions:}} | ||
{{var|5|Sollten auf beiden Seiten einer VPN Verbindung die gleichen Subnetze eingesetzt werden, ist es normalerweise nicht möglich diese Verbindung einzurichten.<br>Weiterhin kann es passieren, dass hinter verschiedenen Gegenstellen die gleichen Netzwerke eingerichtet sind.<br> Mit dem NAT-Typ NETMAP und Hilfsnetzwerken (Mapnetz) die auf | {{var|5|Sollten auf beiden Seiten einer VPN Verbindung die gleichen Subnetze eingesetzt werden, ist es normalerweise nicht möglich diese Verbindung einzurichten.<br>Weiterhin kann es passieren, dass hinter verschiedenen Gegenstellen die gleichen Netzwerke eingerichtet sind.<br> Mit dem NAT-Typ NETMAP und Hilfsnetzwerken (Mapnetz) die auf keiner der zu verbindenden Gegenstellen eingerichtet sind, können diese Verbindungen trotzdem erstellt werden, ohne auf einer der Seiten das Subnetz komplett zu ändern. | ||
| If the same subnets are used on both sides of a VPN connection, it is normally not possible to set up this connection.<br>In addition, it can happen that the same networks are set up behind different remote peers.<br> With the NAT type NETMAP and auxiliary networks (map network) that are not set up on any of the remote peers to be connected, these connections can still be set up without completely changing the subnet on one of the sides.}} | | If the same subnets are used on both sides of a VPN connection, it is normally not possible to set up this connection.<br>In addition, it can happen that the same networks are set up behind different remote peers.<br> With the NAT type NETMAP and auxiliary networks (map network) that are not set up on any of the remote peers to be connected, these connections can still be set up without completely changing the subnet on one of the sides.}} | ||
{{var|6|NATen von kompletten Subnetzen mit NETMAP | {{var|6|NATen von kompletten Subnetzen mit NETMAP | ||
Zeile 72: | Zeile 75: | ||
{{var|33| Bei '''IPSec-'''Verbindungen, muss sich das Netzwerkobjekt in der {{b|Zone}} {{Button|external|dr}} befinden. | {{var|33| Bei '''IPSec-'''Verbindungen, muss sich das Netzwerkobjekt in der {{b|Zone}} {{Button|external|dr}} befinden. | ||
| For '''IPSec-'''connections, the network object must be in the {{b|Zone}} {{Button|external|dr}}.}} | | For '''IPSec-'''connections, the network object must be in the {{b|Zone}} {{Button|external|dr}}.}} | ||
{{var|34| Bei SSL-VPN-Verbindungen muss '''zuerst''' eine Verbindung angelegt werden. <br>Dabei wird | {{var|34| Bei SSL-VPN-Verbindungen muss '''zuerst''' eine Verbindung angelegt werden. <br>Dabei wird eine Zone '''VPN-SSL-'''''Verbindungsname'' angelegt. <br>Das Netzwerkobjekt muss dann mit dieser Zone angelegt werden. | ||
| For SSL VPN connections, a connection must be created '''first'''. <br>This creates a zone '''VPN-SSL-'''''Connection name''. <br>The network object must then be created with this zone. }} | | For SSL VPN connections, a connection must be created '''first'''. <br>This creates a zone '''VPN-SSL-'''''Connection name''. <br>The network object must then be created with this zone. }} | ||
{{var|35| Das Netzwerkobjekt erhält in unserem Beispiel die Netzwerkadresse 10.0.2.0/24 | {{var|35| Das Netzwerkobjekt erhält in unserem Beispiel die Netzwerkadresse 10.0.2.0/24 | ||
Zeile 93: | Zeile 96: | ||
| Creating a NETMAP Rule}} | | Creating a NETMAP Rule}} | ||
{{var|44| UTM_v11.8.7_Firewall_Portfilter_Regel_Netmap-Zentrale.png | {{var|44| UTM_v11.8.7_Firewall_Portfilter_Regel_Netmap-Zentrale.png | ||
| | | UTM_v11.8.7_Firewall_Portfilter_Regel_Netmap-Zentrale-en.png }} | ||
{{var|45| NETMAP Portfilterregel | {{var|45| NETMAP Portfilterregel<br>{{Hinweis|!|r}}Das Mapnetz kann als {{Kasten|Netzwerkobjekt}} nicht ausgewählt werden, wenn es noch mit einer Schnittstelle anstatt mit einer [[#Vorbereitungen | IP-Adresse verknüpft ist.]] | ||
| NETMAP Port Filter Rule }} | | NETMAP Port Filter Rule }} | ||
{{var|46| Es | {{var|46| Es müssen auf jeder Seite, je nach Nutzungsszenario, Portfilterregeln erstellt werden. | ||
| | | Port filter rules must be created on each page, depending on the usage scenario. }} | ||
{{var|47| Auf der Seite der | {{var|47| Auf der Seite der | ||
| On the side of the }} | | On the side of the }} | ||
{{var|ausg| für ausgehenden Netzwerkverkehr | |||
| for outgoing network traffic }} | |||
{{var|eing| für Netzwerkverkehr, der von der Gegenstelle initiiert wird | |||
| for network traffic initiated by the remote peer }} | |||
{{var|48| Quelle | {{var|48| Quelle | ||
| Source }} | | Source }} | ||
Zeile 106: | Zeile 113: | ||
{{var|50| Mapnetz der Filiale | {{var|50| Mapnetz der Filiale | ||
| Map network of the branch }} | | Map network of the branch }} | ||
{{var|50b| Lokales Mapnetz der Filiale | |||
| Local map network of the branch }} | |||
{{var|51| Dienst | {{var|51| Dienst | ||
| Service }} | | Service }} | ||
Zeile 164: | Zeile 173: | ||
{{var|78| nicht erforderlich | {{var|78| nicht erforderlich | ||
| not required }} | | not required }} | ||
{{var|79| Hierbei wird das Mapping nur auf den Filialen eingerichtet, die das gleiche Netzwerk nutzen wie auf einer schon eingerichteten VPN-Verbindung. In der Zentrale wird kein Mapping benötigt, sofern sich das interne Netz der Zentrale von denen der | {{var|79| Hierbei wird das Mapping nur auf den Filialen eingerichtet, die das gleiche Netzwerk nutzen wie auf einer schon eingerichteten VPN-Verbindung. In der Zentrale wird kein Mapping benötigt, sofern sich das interne Netz der Zentrale von denen der Filialen unterscheidet. Ebenfalls kann in einer Filiale das vorhandene Netz ohne Mapping verwendet werden. | ||
| Mapping is only set up on branches that use the same network as already has been set up on a VPN connection. No mapping is required in the head office if the internal network of the head office differs from that of the branches. One existing network can also be used without mapping in a branch. }} | | Mapping is only set up on branches that use the same network as already has been set up on a VPN connection. No mapping is required in the head office if the internal network of the head office differs from that of the branches. One existing network can also be used without mapping in a branch. }} | ||
{{var|80| UTM_v11.8.7_Firewall_Portfilter_Netzwerkobjekte_localnet-zentrale.png | {{var|80| UTM_v11.8.7_Firewall_Portfilter_Netzwerkobjekte_localnet-zentrale.png | ||
Zeile 170: | Zeile 179: | ||
{{var|81| Netzwerkobjekt in den Filialen für das Netz der Zentrale. Es kann direkt das Subnetz der Zentrale verwendet werden. | {{var|81| Netzwerkobjekt in den Filialen für das Netz der Zentrale. Es kann direkt das Subnetz der Zentrale verwendet werden. | ||
| Network object in the branches for the network of the head office. The subnet of the head office can be used directly. }} | | Network object in the branches for the network of the head office. The subnet of the head office can be used directly. }} | ||
{{var|82| (und in jeder | {{var|82| (und in jeder anderen Filiale, die ein ansonsten ''ungenutzes Subnetz'' verwendet) wird ein IPSec-Netzwerkobjekt für die Zentrale eingerichtet.<br>Das Netzwerkobjekt für das Netz der Gegenstelle muss sich in der Zone vpn-ipsec befinden und hat in unserem Beispiel die Netzwerkadresse 172.16.0.0/24. | ||
| (and in | | (and in any other branch that uses an otherwise ''unused subnet'') an IPSec network object is set up for the head office.<br>The network object for the network of the remote terminal must be located in the zone vpn-ipsec. In our example, it has the network address 172.16.0.0/24. }} | ||
{{var|83| UTM_v11.8.7_Firewall_Portfilter_Netzwerkobjekte_localnet-filiale2.png | {{var|83| UTM_v11.8.7_Firewall_Portfilter_Netzwerkobjekte_localnet-filiale2.png | ||
| UTM_v11.8.7_Firewall_Portfilter_Netzwerkobjekte_localnet-filiale2-en.png }} | | UTM_v11.8.7_Firewall_Portfilter_Netzwerkobjekte_localnet-filiale2-en.png }} | ||
{{var|84| Netzwerkobjekt in der Filiale 2 für das eigene Mapnetz (Lokal). So wird die '''Filiale 2''' für die Zentrale gemapt. | {{var|84| Netzwerkobjekt in der Filiale 2 für das eigene Mapnetz (Lokal). So wird die '''Filiale 2''' für die Zentrale gemapt. | ||
| Network object in branch 2 for your own map network (local). '''Branch 2''' is mapped like this for the head office. }} | | Network object in branch 2 for your own map network (local). '''Branch 2''' is mapped like this for the head office. }} | ||
{{var|85| In der {{spc|utm|s|'''Filiale 2'''|c= | {{var|83b| UTM_v11.8.7_Netzwerk_Portfilter_Netzwerkobjekte_f2z.png | ||
| In the {{spc|utm|s|'''Branch office 2'''|c= | | }} | ||
{{var|84b| Netzwerkobjekt in der Filiale 2 für das Netz der Zentrale | |||
| Network object in Branch 2 for the network of the head office}} | |||
{{var|85| In der {{spc|utm|s|'''Filiale 2'''|c=grün }} (und in jeder weiteren Filiale, die ein bereits genutztes Subnetz verwendet) erhält das Netzwerk der Zentrale die Zone {{Button|external|dr}} {{info|Das ermöglicht den Paketen, vor dem Verlassen der Schnittstelle gemapt zu werden!}}. Zusätzlich wird ein zweites Netzwerkobjekt für das eigene Subnetz erstellt, das gemapt wird.</p><p>Das Mapnet darf weder in der Filiale, noch in der Zentrale, noch auf einer der anderen Filialen die per VPN Verbindungen an die Zentrale angebunden sind, genutzt werden.<br>Das Netzwerkobjekt für das Mapnetz in der Filiale muss sich in der Zone des internen Netzwerkes befinden und bekommt in unserem Beispiel die Netzwerkadresse 10.0.1.0/24. (weitere Filialen erhalten an dieser Stelle '''ein anderes''' Mapnet!) | |||
| In the {{spc|utm|s|'''Branch office 2'''|c=grün} }} (and in each additional branch that uses an already used subnet), a second network object is created for its own subnet, which is mapped.</p><p>The Mapnet must not be used in the branch, in the head office, or in any of the other branches that are connected to the head office via VPN connections.<br>The network object for the map network in the branch office must be located in the zone of the internal network and in our example is given the network address 10.0.1.0/24. (Other branches get a '''different''' Mapnet at this point!)}} | |||
{{var|86| NETMAP Regel anlegen | {{var|86| NETMAP Regel anlegen | ||
| Creating a NETMAP Rule}} | | Creating a NETMAP Rule}} | ||
{{var|87| UTM_v11.8.7_Firewall_Portfilter_Regel_Netmap- | {{var|87| UTM_v11.8.7_Firewall_Portfilter_Regel_Netmap-Filiale3.png | ||
| UTM_v11.8.7_Firewall_Portfilter_Regel_Netmap- | | UTM_v11.8.7_Firewall_Portfilter_Regel_Netmap-Filiale3-en.png }} | ||
{{var|88| NETMAP Portfilterregel | {{var|88| NETMAP Portfilterregel | ||
| NETMAP Port Filter Rule }} | | NETMAP Port Filter Rule }} | ||
Zeile 194: | Zeile 208: | ||
{{var|93| UTM_v11.8.7_VPN_IPSEC-Verbindung_Schritt4b.png | {{var|93| UTM_v11.8.7_VPN_IPSEC-Verbindung_Schritt4b.png | ||
| UTM_v11.8.7_VPN_IPSEC-Verbindung_Schritt4b-en.png }} | | UTM_v11.8.7_VPN_IPSEC-Verbindung_Schritt4b-en.png }} | ||
{{var| | {{var|93b| Schritt 4 mit Remotenetz | ||
| Step 4 with Remote Net }} | | Step 4 with Remote Net }} | ||
{{var|94| UTM_v11.8.7_VPN_IPSEC-Verbindung_Schritt3.png | {{var|94| UTM_v11.8.7_VPN_IPSEC-Verbindung_Schritt3.png | ||
| UTM_v11.8.7_VPN_IPSEC-Verbindung_Schritt3-en.png }} | | UTM_v11.8.7_VPN_IPSEC-Verbindung_Schritt3-en.png }} | ||
{{var|95| Schritt 3 in {{spc|utm|s|'''Filiale 2'''|c= | {{var|95| Schritt 3 in {{spc|utm|s|'''Filiale 2'''|c=grün }} mit lokalem '''Map'''netz | ||
| Step 3 in {{spc|utm|s|'''Branch 2'''|c={{Color|green}} }} with local '''Map'''net }} | | Step 3 in {{spc|utm|s|'''Branch 2'''|c={{Color|green}} }} with local '''Map'''net }} | ||
{{var|96| In Schritt 3 muss das lokale Netz (ohne mapping) freigegeben werden.<br>Im Beispiel: | {{var|96| In Schritt 3 muss das lokale Netz (ohne mapping) freigegeben werden.<br>Im Beispiel: | ||
Zeile 242: | Zeile 256: | ||
</div>{{DISPLAYTITLE:{{#var:display|NETMAP}} | </div>{{DISPLAYTITLE:{{#var:display|NETMAP}} }}{{Select_lang}}{{TOC2}} | ||
<p>'''{{#var:1|Verbinden von VPN-Netzen mit den gleichen Broadcast-Domains (IP-Bereiche)}} '''</p><br> | <p>'''{{#var:1|Verbinden von VPN-Netzen mit den gleichen Broadcast-Domains (IP-Bereiche)}} '''</p><br> | ||
Zeile 266: | Zeile 280: | ||
{{pt3|{{#var:8|UTM_v11.8.7_Firewall_Portfilter_Netzwerkobjekte_bearbeiten.png}} |hochkant=1| {{#var:9|Netzwerkobjekt auf Adresse umstellen}} }} | {{pt3|{{#var:8|UTM_v11.8.7_Firewall_Portfilter_Netzwerkobjekte_bearbeiten.png}} |hochkant=1| {{#var:9|Netzwerkobjekt auf Adresse umstellen}} }} | ||
{{spc|utm|s|'''{{#var:10|Zentrale}}'''|c= | {{spc|utm|s|'''{{#var:10|Zentrale}}'''|c=grün }} & {{spc|utm|s|'''{{#var:11|Filiale}}'''|c=grün }}<br> | ||
{{#var:12|Zur Nutzung der NETMAP Funktion sind folgende Bedingungen zu beachten:}} | {{#var:12|Zur Nutzung der NETMAP Funktion sind folgende Bedingungen zu beachten:}} | ||
* {{#var:13|Die Subnetze der am NETMAP beteiligten Objekte müssen alle die '''gleiche Größe''' haben, zum Beispiel alle /24.}} | * {{Hinweis|!}} {{#var:13|Die Subnetze der am NETMAP beteiligten Objekte müssen alle die '''gleiche Größe''' haben, zum Beispiel alle /24.}} | ||
* {{#var:14|Alle beteiligten Objekte müssen eine '''definierte Netzwerk IP-Adresse''' eingetragen haben. Es dürfen also '''keine Schnittstellen ausgewählt''' werden.}}<br> | |||
* {{Hinweis|!}} {{#var:14|Alle beteiligten Objekte müssen eine '''definierte Netzwerk IP-Adresse''' eingetragen haben. Es dürfen also '''keine Schnittstellen ausgewählt''' werden.}}<br> | |||
{{#var:15|Überprüfung des Netzwerkobjektes des internen Netzwerkes und gegebenenfalls Umstellung auf {{b| Adresse}}, indem der Radio-Button vor ''Adresse'' aktiviert und die Netzwerk-Adresse mit der entsprechenden Subnetzmaske in das Feld eintragen wird. In diesem Beispiel haben wir auf beiden Seiten das Netzwerk 172.16.3.0/24.}} | {{#var:15|Überprüfung des Netzwerkobjektes des internen Netzwerkes und gegebenenfalls Umstellung auf {{b| Adresse}}, indem der Radio-Button vor ''Adresse'' aktiviert und die Netzwerk-Adresse mit der entsprechenden Subnetzmaske in das Feld eintragen wird. In diesem Beispiel haben wir auf beiden Seiten das Netzwerk 172.16.3.0/24.}} | ||
Zeile 303: | Zeile 318: | ||
{{pt3| {{#var:29|UTM_v11.8.7_Firewall_Portfilter_Netzwerkobjekte_Rmotvpn.png}} | hochkant=1| {{#var:29b|Netzwerkobjekt '''in der Zentrale für das Filial-Netz''' (Mapnetz Remote)}} }} | {{pt3| {{#var:29|UTM_v11.8.7_Firewall_Portfilter_Netzwerkobjekte_Rmotvpn.png}} | hochkant=1| {{#var:29b|Netzwerkobjekt '''in der Zentrale für das Filial-Netz''' (Mapnetz Remote)}} }} | ||
<p>{{#var:30|Es müssen in der Zentrale zwei Netzwerkobjekte mit Netzwerken erstellt werden, die weder in der Zentrale noch in der Filiale eingerichtet sind.}}<br> | <p>{{#var:30|Es müssen in der Zentrale zwei Netzwerkobjekte mit Netzwerken erstellt werden, die weder in der Zentrale noch in der Filiale eingerichtet sind.}}<br> | ||
{{spc|utm|s|'''{{#var:10|Zentrale}}'''|c= | {{spc|utm|s|'''{{#var:10|Zentrale}}'''|c=grün }} <br>{{#var:31|{{Menu|Firewall|Portfilter}} → {{Reiter|Netzwerkobjekte}} → {{Button|Objekt hinzufügen|+}} }}</p> | ||
<p>{{#var:32|Das Netzwerkobjekt für das ''(entfernte)'' '''Mapnetz der Filiale''' muss vom {{b|Typ}} {{Button|Netzwerk (Adresse)|dr}} sein.}}</p> | <p>{{#var:32|Das Netzwerkobjekt für das ''(entfernte)'' '''Mapnetz der Filiale''' muss vom {{b|Typ}} {{Button|Netzwerk (Adresse)|dr}} sein.}}</p> | ||
<p>{{td|{{Hinweis|!|r}}| {{#var:33|Bei '''IPSec-'''Verbindungen, muss sich das Netzwerkobjekt in der {{b|Zone}} {{Button|external|dr}} befinden.}} |w=20px}} | <p>{{td|{{Hinweis|!|r}}| {{#var:33|Bei '''IPSec-'''Verbindungen, muss sich das Netzwerkobjekt in der {{b|Zone}} {{Button|external|dr}} befinden.}} |w=20px}} | ||
{{td| {{Hinweis|!|r}}| {{#var:34|Bei SSL-VPN-Verbindungen muss '''zuerst''' eine Verbindung angelegt werden. | {{td| {{Hinweis|!|r}}| {{#var:34|Bei SSL-VPN-Verbindungen muss '''zuerst''' eine Verbindung angelegt werden. | ||
<br>Dabei wird | <br>Dabei wird eine Zone '''VPN-SSL-'''''Verbindungsname'' angelegt. | ||
<br>Das Netzwerkobjekt muss dann mit dieser Zone angelegt werden.}} |w=20px}}</p> | <br>Das Netzwerkobjekt muss dann mit dieser Zone angelegt werden.}} |w=20px}}</p> | ||
<p>{{#var:35|Das Netzwerkobjekt erhält in unserem Beispiel die Netzwerkadresse 10.0.2.0/24}}</p> | <p>{{#var:35|Das Netzwerkobjekt erhält in unserem Beispiel die Netzwerkadresse 10.0.2.0/24}}</p> | ||
Zeile 317: | Zeile 332: | ||
{{pt3|{{#var:37|UTM_v11.8.7_Firewall_Portfilter_Netzwerkobjekte_localvpn2.png}} | hochkant=1 | {{#var:38|Netzwerkobjekt '''in der Filiale für das eigene Netz'''}}}} | {{pt3|{{#var:37|UTM_v11.8.7_Firewall_Portfilter_Netzwerkobjekte_localvpn2.png}} | hochkant=1 | {{#var:38|Netzwerkobjekt '''in der Filiale für das eigene Netz'''}}}} | ||
{{pt3| {{#var:39|UTM_v11.8.7_Firewall_Portfilter_Netzwerkobjekte_Remotevpn2.png}} | hochkant=1 | {{#var:40|Netzwerkobjekt '''in der Filiale für das Netz der Zentrale'''}} }} | {{pt3| {{#var:39|UTM_v11.8.7_Firewall_Portfilter_Netzwerkobjekte_Remotevpn2.png}} | hochkant=1 | {{#var:40|Netzwerkobjekt '''in der Filiale für das Netz der Zentrale'''}} }} | ||
<p>{{spc|utm|s|'''{{#var:11|Filiale}}'''|c= | <p>{{spc|utm|s|'''{{#var:11|Filiale}}'''|c=grün}}<br> | ||
{{#var:41|Auf der Seite der Filiale werden ebenfalls zwei Netzwerkobjekte erstellt.}} <br> | {{#var:41|Auf der Seite der Filiale werden ebenfalls zwei Netzwerkobjekte erstellt.}} <br> | ||
{{#var:42|Dort ist das Netzwerk 10.0.1.0/24, das Mapnetz der Zentrale, das sich in der {{b|Zone}} {{Button|external|dr}} befindet und das Netzwerk 10.0.2.0/24 das, Mapnetz der Filiale, das mit der Zone des internen Netzwerkes {{Button|internal|dr}} angelegt wird.}} | {{#var:42|Dort ist das Netzwerk 10.0.1.0/24, das Mapnetz der Zentrale, das sich in der {{b|Zone}} {{Button|external|dr}} befindet und das Netzwerk 10.0.2.0/24 das, Mapnetz der Filiale, das mit der Zone des internen Netzwerkes {{Button|internal|dr}} angelegt wird.}} | ||
Zeile 325: | Zeile 340: | ||
==== {{#var:43|NETMAP Regel anlegen}} ==== | ==== {{#var:43|NETMAP Regel anlegen}} ==== | ||
{{pt3| {{#var:44|UTM_v11.8.7_Firewall_Portfilter_Regel_Netmap-Zentrale.png}} |hochkant= | {{pt3| {{#var:44|UTM_v11.8.7_Firewall_Portfilter_Regel_Netmap-Zentrale.png}} |hochkant=2| {{#var:45|NETMAP Portfilterregel}} }} | ||
{{#var:46|Es muss auf jeder Seite eine Portfilterregel anhand der Netzwerkobjekte erstellt werden.}} <br> | {{#var:46|Es muss auf jeder Seite eine Portfilterregel anhand der Netzwerkobjekte erstellt werden.}} <br> | ||
{| class="sptable pd5" | {| class="sptable pd5" | ||
! colspan="2" | {{#var:47|Auf der Seite der}} {{spc|utm|s|'''{{#var:10|Zentrale}}'''|c={{ | ! colspan="2" | {{#var:47|Auf der Seite der}} {{spc|utm|s|'''{{#var:10|Zentrale}}'''|c=grün }} {{#var:ausg | für ausgehenden NEtzwerkverkehr}} | ||
|- | |- | ||
| {{Kasten| {{#var:48|Quelle}} }} || {{Button| internal network|blau}} | | {{Kasten| {{#var:48|Quelle}} }} || {{Button| internal network|blau}} | ||
Zeile 337: | Zeile 352: | ||
| {{Kasten| {{#var:51|Dienst}} }} || {{Button| {{#var:52|Dienst der gemapt werden soll}} |blau}} | | {{Kasten| {{#var:51|Dienst}} }} || {{Button| {{#var:52|Dienst der gemapt werden soll}} |blau}} | ||
|- | |- | ||
| {{Kasten| <nowiki>[–]</nowiki> NAT}} {{Kasten|{{#var:53|Typ | | {{Kasten| <nowiki>[–]</nowiki> NAT}} {{Kasten|{{#var:53|Typ}} }} || {{Button| NETMAP|dr}} | ||
|- | |- | ||
| {{Kasten| {{#var:54|Netzwerkobjekt}} }} || {{Button| {{#var:55|Mapnetz der Zentrale}} |dr}} | | {{Kasten| {{#var:54|Netzwerkobjekt}} }} || {{Button| {{#var:55|Mapnetz der Zentrale}} |dr}} | ||
|- | |||
! colspan="2" | {{#var:47|Auf der Seite der}} {{spc|utm|s|'''{{#var:10|Zentrale}}'''|c=grün }} {{#var:eing|von der Gegenstelle inititiert}} | |||
|- | |||
| {{Kasten| {{#var:48|Quelle}} }} || {{Button| {{#var:50|Mapnetz der Filiale}} |blau}} | |||
|- | |||
| {{Kasten| {{#var:49|Ziel}} }} || {{Button| internal network|blau}} | |||
|- | |||
| {{Kasten| {{#var:51|Dienst}} }} || {{Button| {{#var:91|benötigter Dienst}} |blau}} | |||
|- | |||
| {{Kasten| <nowiki>[–]</nowiki> NAT}} {{Kasten|{{#var:53|Typ}} }} || {{Hinweis| {{#var:112|! Hierfür wird kein NAT vom Typ NETMAP mehr benötigt}} |gelb}} | |||
|- | |- | ||
| class="Leerzeile" | | | class="Leerzeile" | | ||
|- | |- | ||
! colspan="2" | {{#var:47|Auf der Seite der}} {{spc|utm|s|'''{{#var:11|Filiale}} '''|c={{ | ! colspan="2" | {{#var:47|Auf der Seite der}} {{spc|utm|s|'''{{#var:11|Filiale}} '''|c=grün }} {{#var:ausg | für ausgehenden NEtzwerkverkehr}} | ||
|- | |- | ||
| {{Kasten| {{#var:48|Quelle}} }} || {{Button| {{#var:56|Internes Netzwerk}} |blau}} | | {{Kasten| {{#var:48|Quelle}} }} || {{Button| {{#var:56|Internes Netzwerk}} |blau}} | ||
Zeile 354: | Zeile 379: | ||
|- | |- | ||
| {{Kasten| {{#var:54|Netzwerkobjekt}} }} || {{Button| {{#var:59|Mapnetz der Filiale}} |dr}} | | {{Kasten| {{#var:54|Netzwerkobjekt}} }} || {{Button| {{#var:59|Mapnetz der Filiale}} |dr}} | ||
|- | |||
! colspan="2" | {{#var:47|Auf der Seite der}} {{spc|utm|s|'''{{#var:11|Filiale}} '''|c=grün }} {{#var:eing|von der Gegenstelle inititiert}} | |||
|- | |||
| {{Kasten| {{#var:48|Quelle}} }} || {{Button| {{#var:57|Mapnetz der Zentrale}} |blau}} | |||
|- | |||
| {{Kasten| {{#var:49|Ziel}} }} || {{Button| {{#var:56|Internes Netzwerk}} |blau}} | |||
|- | |||
| {{Kasten| {{#var:51|Dienst}} }} || {{Button| {{#var:58|Dienst der gemapt werden soll}} |blau}} | |||
|- | |||
| {{Kasten| <nowiki>[–]</nowiki> NAT}} {{Kasten|{{#var:53|Typ}} }} || {{Hinweis| {{#var:112|! Hierfür wird kein NAT vom Typ NETMAP mehr benötigt}} |gelb}} | |||
|} | |} | ||
Zeile 359: | Zeile 394: | ||
==== {{#var:60|VPN-Verbindung anlegen}} ==== | ==== {{#var:60|VPN-Verbindung anlegen}} ==== | ||
{{spc|utm|s|'''{{#var:10|Zentrale}} '''|c= | {{spc|utm|s|'''{{#var:10|Zentrale}} '''|c=grün }} | ||
{{pt3 | {{#var:61|UTM_v11.8.7_VPN_IPSEC-Verbindung_Schritt4.png}} |hochkant=1|{{spc|utm|s|'''{{#var:10|Zentrale}}'''}} {{#var:62|Schritt 4 mit remote Mapnetz der Filiale}} }} | {{pt3 | {{#var:61|UTM_v11.8.7_VPN_IPSEC-Verbindung_Schritt4.png}} |hochkant=1|{{spc|utm|s|'''{{#var:10|Zentrale}}'''}} {{#var:62|Schritt 4 mit remote Mapnetz der Filiale}} }} | ||
{{pt3 | {{#var:63|UTM_v11.8.7_VPN_IPSEC-Verbindung_Schritt3.png}} |hochkant=1|{{spc|utm|s|'''{{#var:10|Zentrale}}'''}} {{#var:64|Schritt 3 mit lokalem Mapnetz der Zentrale}} }} | {{pt3 | {{#var:63|UTM_v11.8.7_VPN_IPSEC-Verbindung_Schritt3.png}} |hochkant=1|{{spc|utm|s|'''{{#var:10|Zentrale}}'''}} {{#var:64|Schritt 3 mit lokalem Mapnetz der Zentrale}} }} | ||
Zeile 369: | Zeile 404: | ||
<br clear=all> | <br clear=all> | ||
<div style="width: 30%;"><hr></div> | <div style="width: 30%;"><hr></div> | ||
{{spc|utm|s|'''{{#var:11|Filiale}}'''|c= | {{spc|utm|s|'''{{#var:11|Filiale}}'''|c=grün }} | ||
{{pt3 | {{#var:68|UTM_v11.8.7_Firewall_Portfilter_Netzwerkobjekte_remote3.png}} |hochkant=1|{{spc|utm|s|'''{{#var:11|Filiale}}'''}} {{#var:69|Schritt 4 mit remote Mapnetz der Zentrale}} }} | {{pt3 | {{#var:68|UTM_v11.8.7_Firewall_Portfilter_Netzwerkobjekte_remote3.png}} |hochkant=1|{{spc|utm|s|'''{{#var:11|Filiale}}'''}} {{#var:69|Schritt 4 mit remote Mapnetz der Zentrale}} }} | ||
{{pt3 | {{#var:70|UTM_v11.8.7_Firewall_Portfilter_Netzwerkobjekte_localvpn3.png}} |hochkant=1|{{spc|utm|s|'''{{#var:11|Filiale}}'''}} {{#var:71|Schritt 3 mit lokalem Mapnetz der Filiale}} }} | {{pt3 | {{#var:70|UTM_v11.8.7_Firewall_Portfilter_Netzwerkobjekte_localvpn3.png}} |hochkant=1|{{spc|utm|s|'''{{#var:11|Filiale}}'''}} {{#var:71|Schritt 3 mit lokalem Mapnetz der Filiale}} }} | ||
Zeile 406: | Zeile 441: | ||
==== {{#var:26|Netzwerkobjekte erstellen}} ==== | ==== {{#var:26|Netzwerkobjekte erstellen}} ==== | ||
{{pt3| {{#var:80|UTM_v11.8.7_Firewall_Portfilter_Netzwerkobjekte_localnet-zentrale.png}} |hochkant=1| {{#var:81|Netzwerkobjekt in den Filialen für das Netz der Zentrale. Es kann direkt das Subnetz der Zentrale verwendet werden.}} }} | {{pt3| {{#var:80|UTM_v11.8.7_Firewall_Portfilter_Netzwerkobjekte_localnet-zentrale.png}} |hochkant=1| {{#var:81|Netzwerkobjekt in den Filialen für das Netz der Zentrale. Es kann direkt das Subnetz der Zentrale verwendet werden.}} }} | ||
In {{spc|utm|s|'''{{#var:11|Filiale}} 1'''|c= | In {{spc|utm|s|'''{{#var:11|Filiale}} 1'''|c=grün }} {{#var:82|(und in jeder weiteren Filiale) wird ein IPSec-Netzwerkobjekt für die Zentrale eingerichtet.<br> | ||
Das Netzwerkobjekt für das Netz der Gegenstelle muss sich in der Zone vpn-ipsec befinden und hat in unserem Beispiel die Netzwerkadresse 172.16.0.0/24.}} | Das Netzwerkobjekt für das Netz der Gegenstelle muss sich in der Zone vpn-ipsec befinden und hat in unserem Beispiel die Netzwerkadresse 172.16.0.0/24.}} | ||
Zeile 413: | Zeile 448: | ||
{{pt3| {{#var:83|UTM_v11.8.7_Firewall_Portfilter_Netzwerkobjekte_localnet-filiale2.png}} | hochkant=1| {{#var:84|Netzwerkobjekt in der Filiale 2 für das eigene Mapnetz (Lokal). So wird die '''Filiale 2''' für die Zentrale gemapt.}} }} | {{pt3| {{#var:83|UTM_v11.8.7_Firewall_Portfilter_Netzwerkobjekte_localnet-filiale2.png}} | hochkant=1| {{#var:84|Netzwerkobjekt in der Filiale 2 für das eigene Mapnetz (Lokal). So wird die '''Filiale 2''' für die Zentrale gemapt.}} }} | ||
<p>{{#var:85|In der {{spc|utm|s|'''Filiale 2'''|c= | {{pt3 | {{#var:83b| UTM_v11.8.7_Netzwerk_Portfilter_Netzwerkobjekte_f2z.png }} | hochkant=1 | {{#var:84b| Netzwerkobjekt in der Filiale 2 für das Netz der Zentrale }} }} | ||
<p>{{#var:85|In der {{spc|utm|s|'''Filiale 2'''|c=grün }} (und in jeder weiteren Filiale, die ein bereits genutztes Subnetz verwendet) wird ein zweites Netzwerkobjekt für das eigene Subnetz erstellt, das gemapt wird.</p> | |||
<p>Das Mapnet darf weder in der Filiale, noch in der Zentrale, noch auf einer der anderen Filialen die per VPN Verbindungen an die Zentrale angebunden sind, genutzt werden.<br> | <p>Das Mapnet darf weder in der Filiale, noch in der Zentrale, noch auf einer der anderen Filialen die per VPN Verbindungen an die Zentrale angebunden sind, genutzt werden.<br> | ||
Das Netzwerkobjekt für das Mapnetz in der Filiale muss sich in der Zone des internen Netzwerkes befinden und bekommt in unserem Beispiel die Netzwerkadresse 10.0.1.0/24. (weitere Filialen erhalten an dieser Stelle '''ein anderes''' Mapnet!)}} </p> | Das Netzwerkobjekt für das Mapnetz in der Filiale muss sich in der Zone des internen Netzwerkes befinden und bekommt in unserem Beispiel die Netzwerkadresse 10.0.1.0/24. (weitere Filialen erhalten an dieser Stelle '''ein anderes''' Mapnet!)}} </p> | ||
Zeile 421: | Zeile 457: | ||
==== {{#var:86|NETMAP Regel anlegen}} ==== | ==== {{#var:86|NETMAP Regel anlegen}} ==== | ||
<!-- XXXXXXXXXXXXXXXXXXXXXXXXX --> | |||
{{pt3| {{#var:87|UTM_v11.8.7_Firewall_Portfilter_Regel_Netmap-Filiale.png}} |{{#var:88|NETMAP Portfilterregel}} }} | {{pt3| {{#var:87|UTM_v11.8.7_Firewall_Portfilter_Regel_Netmap-Filiale.png}} |{{#var:88|NETMAP Portfilterregel}} }} | ||
{{#var:89|Portfilterregeln in der '''Filiale 2''' (und in jeder weiteren Filiale, die ein bereits genutztes Subnetz verwendet)}} | {{#var:89|Portfilterregeln in der '''Filiale 2''' (und in jeder weiteren Filiale, die ein bereits genutztes Subnetz verwendet)}} | ||
{| class="sptable pt5" | {| class="sptable pt5" | ||
! colspan="2" | {{#var:47|Auf der Seite der}} {{spc|utm|s|'''{{#var:11|Filiale}} 2'''|c= | ! colspan="2" | {{#var:47|Auf der Seite der}} {{spc|utm|s|'''{{#var:11|Filiale}} 2'''|c=grün }} | ||
|- | |- | ||
| {{Kasten| {{#var:48|Quelle}} }} || {{Button| {{#var:56|Internes Netzwerk}} |blau}} | | {{Kasten| {{#var:48|Quelle}} }} || {{Button| {{#var:56|Internes Netzwerk}} |blau}} | ||
Zeile 435: | Zeile 472: | ||
| {{Kasten| <nowiki>[–]</nowiki> NAT}} {{Kasten|{{#var:53|Typ}} }} || {{Button| NETMAP|dr}} | | {{Kasten| <nowiki>[–]</nowiki> NAT}} {{Kasten|{{#var:53|Typ}} }} || {{Button| NETMAP|dr}} | ||
|- | |- | ||
| {{Kasten| {{#var:92|Netzwerkobjekt}} }} || {{Button| {{#var: | | {{Kasten| {{#var:92|Netzwerkobjekt}} }} || {{Button| {{#var:50b| Lokales Mapnetz der Filiale}} 2 | dr}} | ||
|} | |} | ||
<br clear=All> | <br clear=All> | ||
Zeile 444: | Zeile 481: | ||
<div class="nop"> | <div class="nop"> | ||
{{pt3| {{#var:93|UTM_v11.8.7_VPN_IPSEC-Verbindung_Schritt4b.png}} | hochkant=1| {{#var:93b|Schritt 4 mit Remotenetz}} }} | {{pt3| {{#var:93|UTM_v11.8.7_VPN_IPSEC-Verbindung_Schritt4b.png}} | hochkant=1| {{#var:93b|Schritt 4 mit Remotenetz}} }} | ||
{{pt3 | {{#var:94|UTM_v11.8.7_VPN_IPSEC-Verbindung_Schritt3.png}} |hochkant=1| {{#var:95|Schritt 3 in {{spc|utm|s|'''Filiale 2'''|c= | {{pt3 | {{#var:94|UTM_v11.8.7_VPN_IPSEC-Verbindung_Schritt3.png}} |hochkant=1| {{#var:95|Schritt 3 in {{spc|utm|s|'''Filiale 2'''|c=grün }} mit lokalem '''Map'''netz}} }} | ||
<p>{{#var:65|Anlegen einer IPSec-Site-to-Site VPN-Verbindung, [http://wiki.securepoint.de/index.php/IPSec_Site_to_Site_v11#VPN-Verbindung_anlegen wie im Wiki beschrieben].}}<br></p><br> | <p>{{#var:65|Anlegen einer IPSec-Site-to-Site VPN-Verbindung, [http://wiki.securepoint.de/index.php/IPSec_Site_to_Site_v11#VPN-Verbindung_anlegen wie im Wiki beschrieben].}}<br></p><br> | ||
<p>{{spc|utm|s|'''{{#var:11|Filiale}} 1'''|c= | <p>{{spc|utm|s|'''{{#var:11|Filiale}} 1'''|c=grün }} | ||
* {{Hinweis|!|r}} {{#var:96|In Schritt 3 muss das lokale Netz (ohne mapping) freigegeben werden.<br>Im Beispiel: }}{{cb|172.16.3.0/24}}</p><br> | * {{Hinweis|!|r}} {{#var:96|In Schritt 3 muss das lokale Netz (ohne mapping) freigegeben werden.<br>Im Beispiel: }}{{cb|172.16.3.0/24}}</p><br> | ||
<p>{{spc|utm|s|'''{{#var:11|Filiale}} 2'''|c= | <p>{{spc|utm|s|'''{{#var:11|Filiale}} 2'''|c=grün }} <small>{{#var:97|(und ggf. weitere Filialen)}}</small> | ||
* {{Hinweis|!|r}} {{#var:98|In Schritt 3 muss das lokale '''Map'''netz freigegeben werden.<br>Im Beispiel:}} {{cb|10.0.1.0/24}} </p><br> | * {{Hinweis|!|r}} {{#var:98|In Schritt 3 muss das lokale '''Map'''netz freigegeben werden.<br>Im Beispiel:}} {{cb|10.0.1.0/24}} </p><br> | ||
<p>{{spc|utm|s|'''{{#var:99|jede Filiale}} '''|c= | <p>{{spc|utm|s|'''{{#var:99|jede Filiale}} '''|c=grün }} | ||
* {{#var:100|in Schritt 4 wird das direkte Remote-Netz der Zentrale (ohne mapping) freigegeben.<br>Im Beispiel:}} {{cb|172.16.0.0/24}}</p><br> | * {{#var:100|in Schritt 4 wird das direkte Remote-Netz der Zentrale (ohne mapping) freigegeben.<br>Im Beispiel:}} {{cb|172.16.0.0/24}}</p><br> | ||
<p>{{spc|utm|s|'''{{#var:10|Zentrale}}'''|c= | <p>{{spc|utm|s|'''{{#var:10|Zentrale}}'''|c=grün }} | ||
* {{Hinweis|!|r}} {{#var:101|Es wird für '''jede Filiale''' eine Verbindung benötigt.}} | * {{Hinweis|!|r}} {{#var:101|Es wird für '''jede Filiale''' eine Verbindung benötigt.}} | ||
* {{#var:102|In Schritt 3 muss das lokale Netz freigegeben werden.<br>Im Beispiel:}} {{cb|172.16.0.0/24}} | * {{#var:102|In Schritt 3 muss das lokale Netz freigegeben werden.<br>Im Beispiel:}} {{cb|172.16.0.0/24}} | ||
Zeile 468: | Zeile 505: | ||
{{#var:105|Zwei Möglichkeiten stehen zur Verfügung:}} | {{#var:105|Zwei Möglichkeiten stehen zur Verfügung:}} | ||
* {{spc|utm|s|'''{{#var:10|Zentrale}}'''|c= | * {{spc|utm|s|'''{{#var:10|Zentrale}}'''|c=grün }} & {{spc|utm|s|'''{{#var:99|jede Filiale}}'''|c=grün }}<br> | ||
{{#var:106|Menü {{Menu | Firewall|Implizite Regeln}} → Gruppe {{ic|IpsecTraffic}} → Regel {{ic|Acceppt}} {{ButtonAn|Ein}}<br> | {{#var:106|Menü {{Menu | Firewall|Implizite Regeln}} → Gruppe {{ic|IpsecTraffic}} → Regel {{ic|Acceppt}} {{ButtonAn|Ein}}<br> | ||
<br> | <br> | ||
Zeile 477: | Zeile 514: | ||
{| class="sptable pt5 einrücken" | {| class="sptable pt5 einrücken" | ||
! colspan="2" | {{#var:47|Auf der Seite der}} {{spc|utm|s|'''{{#var:10|Zentrale}}'''|c= | ! colspan="2" | {{#var:47|Auf der Seite der}} {{spc|utm|s|'''{{#var:10|Zentrale}}'''|c=grün }} | ||
|- | |- | ||
| {{Kasten| {{#var:48|Quelle}} }} || {{Button| {{#var:110|mapnet_remotenet_Filiale''1''}} |blau}} {{#var:111|(Mapnetz der VPN Gegenstelle)}} | | {{Kasten| {{#var:48|Quelle}} }} || {{Button| {{#var:110|mapnet_remotenet_Filiale''1''}} |blau}} {{#var:111|(Mapnetz der VPN Gegenstelle)}} | ||
Zeile 490: | Zeile 527: | ||
| class="Leerzeile" | | | class="Leerzeile" | | ||
|- | |- | ||
! colspan="2" | {{#var:47|Auf der Seite der}} {{spc|utm|s|'''{{#var:11|Filialen}}'''|c= | ! colspan="2" | {{#var:47|Auf der Seite der}} {{spc|utm|s|'''{{#var:11|Filialen}}'''|c=grün }} | ||
|- | |- | ||
| {{Kasten| {{#var:48|Quelle}} }} || {{Button| ipsec_remotenet |blau}} {{#var:113|(Netz der Zentrale)}} | | {{Kasten| {{#var:48|Quelle}} }} || {{Button| ipsec_remotenet |blau}} {{#var:113|(Netz der Zentrale)}} |
Aktuelle Version vom 8. September 2022, 13:17 Uhr
notempty
Verbinden von VPN-Netzen mit den gleichen Broadcast-Domains (IP-Bereiche)
Letzte Anpassung zur Version: 11.8.7
- Änderungen:
- Zone des Remote-Netzes korrigiert
- Layoutanpassung
Vorherige Versionen: 11.7
Sollten auf beiden Seiten einer VPN Verbindung die gleichen Subnetze eingesetzt werden, ist es normalerweise nicht möglich diese Verbindung einzurichten.
Weiterhin kann es passieren, dass hinter verschiedenen Gegenstellen die gleichen Netzwerke eingerichtet sind.
Mit dem NAT-Typ NETMAP und Hilfsnetzwerken (Mapnetz) die auf keiner der zu verbindenden Gegenstellen eingerichtet sind, können diese Verbindungen trotzdem erstellt werden, ohne auf einer der Seiten das Subnetz komplett zu ändern.
NATen von kompletten Subnetzen mit NETMAP
Vorbereitungen
Zentrale & Filiale
Zur Nutzung der NETMAP Funktion sind folgende Bedingungen zu beachten:
- Die Subnetze der am NETMAP beteiligten Objekte müssen alle die gleiche Größe haben, zum Beispiel alle /24.
- Alle beteiligten Objekte müssen eine definierte Netzwerk IP-Adresse eingetragen haben. Es dürfen also keine Schnittstellen ausgewählt werden.
Überprüfung des Netzwerkobjektes des internen Netzwerkes und gegebenenfalls Umstellung auf Adresse, indem der Radio-Button vor Adresse aktiviert und die Netzwerk-Adresse mit der entsprechenden Subnetzmaske in das Feld eintragen wird. In diesem Beispiel haben wir das Netzwerk 172.16.3.0/24 auf beiden Seiten.
Ausgangslage:
Zentrale und Filiale haben das gleiche Subnetz
In diesem Fall muss das Mapping auf beiden Seiten der Verbindung eingerichtet werden.
Lokales Netz | Öffentliche IP | Netmap | |
Zentrale | 172.16.3.0/24 | 192.0.2.192 | 10.0.1.0/24 |
Filiale | 172.16.3.0/24 | 192.0.2.193 | 10.0.2.0/24 |
Die Verbindung soll über IPSec hergestellt werden.
Netzwerkobjekte erstellen
Es müssen in der Zentrale zwei Netzwerkobjekte mit Netzwerken erstellt werden, die weder in der Zentrale noch in der Filiale eingerichtet sind.
Zentrale
→ Netzwerkobjekte →
Das Netzwerkobjekt für das (entfernte) Mapnetz der Filiale muss vom Typ sein.
- Bei IPSec-Verbindungen, muss sich das Netzwerkobjekt in der Zone befinden.
- Bei SSL-VPN-Verbindungen muss zuerst eine Verbindung angelegt werden.
Dabei wird eine Zone VPN-SSL-Verbindungsname angelegt.
Das Netzwerkobjekt muss dann mit dieser Zone angelegt werden.
Das Netzwerkobjekt erhält in unserem Beispiel die Netzwerkadresse 10.0.2.0/24
Das Netzwerkobjekt für das (eigene) Mapnetz der Zentrale muss sich in der Zone des internen Netzwerkes befinden und bekommt in unserem Beispiel die Netzwerkadresse 10.0.1.0/24
Filiale
Auf der Seite der Filiale werden ebenfalls zwei Netzwerkobjekte erstellt.
Dort ist das Netzwerk 10.0.1.0/24, das Mapnetz der Zentrale, das sich in der Zone befindet und das Netzwerk 10.0.2.0/24, das Mapnetz der Filiale, das mit der Zone des internen Netzwerkes angelegt wird.
NETMAP Regel anlegen
Es müssen auf jeder Seite, je nach Nutzungsszenario, Portfilterregeln erstellt werden.
Auf der Seite der Zentrale für ausgehenden Netzwerkverkehr | |
---|---|
Quelle |
|
Ziel |
|
Dienst |
|
[–] NAT Typ |
|
Netzwerkobjekt |
|
Auf der Seite der Zentrale für Netzwerkverkehr, der von der Gegenstelle initiiert wird | |
Quelle |
|
Ziel |
|
Dienst |
|
[–] NAT Typ |
Hierfür wird kein NAT vom Typ NETMAP mehr benötigt |
Auf der Seite der Filiale für ausgehenden Netzwerkverkehr | |
Quelle |
|
Ziel |
|
Dienst |
|
[–] NAT Typ |
|
Netzwerkobjekt |
|
Auf der Seite der Filiale für Netzwerkverkehr, der von der Gegenstelle initiiert wird | |
Quelle |
|
Ziel |
|
Dienst |
|
[–] NAT Typ |
Hierfür wird kein NAT vom Typ NETMAP mehr benötigt |
VPN-Verbindung anlegen
Zentrale
Anlegen einer IPSec-Site-to-Site VPN-Verbindung, wie im Wiki beschrieben im Menü mit der Schaltfläche .
- In Schritt 3 muss das lokale Mapnetz freigegeben werden
- in Schritt 4 das remote Mapnetz.
Filiale
Anlegen einer IPSec-Site-to-Site VPN-Verbindung, wie im Wiki beschrieben im Menü mit der Schaltfläche .
- In Schritt 3 muss das lokale Mapnetz freigegeben werden
- in Schritt 4 das remote Mapnetz.
Erreichbarkeit von Hosts der Gegenstelle
Ein Rechner mit der IP-Adresse 172.16.3.10 in der Filiale wird von der Zentrale aus mit der IP-Adresse 10.0.2.10 angesprochen.
Einen Rechner mit der IP-Adresse 172.16.3.120 in der Zentrale wird von der Filiale aus mit der IP-Adresse 10.0.1.120 angesprochen.
Mehrere Filialen haben das gleiche Subnetz
Ausgangslage:
Lokales Netz | Öffentliche IP | Netmap | |
Zentrale | 172.16.0.0/24 | 192.0.2.192 | nicht erforderlich |
Filiale 1: | 172.16.3.0/24 | 192.0.2.193 | nicht erforderlich |
Filiale 2: | 172.16.3.0/24 | 192.0.2.194 | 10.0.1.0/24 |
Hierbei wird das Mapping nur auf den Filialen eingerichtet, die das gleiche Netzwerk nutzen wie auf einer schon eingerichteten VPN-Verbindung. In der Zentrale wird kein Mapping benötigt, sofern sich das interne Netz der Zentrale von denen der Filialen unterscheidet. Ebenfalls kann in einer Filiale das vorhandene Netz ohne Mapping verwendet werden.
Netzwerkobjekte erstellen
In Filiale 1 (und in jeder anderen Filiale, die ein ansonsten ungenutzes Subnetz verwendet) wird ein IPSec-Netzwerkobjekt für die Zentrale eingerichtet.
Das Netzwerkobjekt für das Netz der Gegenstelle muss sich in der Zone vpn-ipsec befinden und hat in unserem Beispiel die Netzwerkadresse 172.16.0.0/24.
In der Filiale 2 (und in jeder weiteren Filiale, die ein bereits genutztes Subnetz verwendet) erhält das Netzwerk der Zentrale die Zone
. Zusätzlich wird ein zweites Netzwerkobjekt für das eigene Subnetz erstellt, das gemapt wird.
Das Mapnet darf weder in der Filiale, noch in der Zentrale, noch auf einer der anderen Filialen die per VPN Verbindungen an die Zentrale angebunden sind, genutzt werden.
Das Netzwerkobjekt für das Mapnetz in der Filiale muss sich in der Zone des internen Netzwerkes befinden und bekommt in unserem Beispiel die Netzwerkadresse 10.0.1.0/24. (weitere Filialen erhalten an dieser Stelle ein anderes Mapnet!)
NETMAP Regel anlegen
Portfilterregeln in der Filiale 2 (und in jeder weiteren Filiale, die ein bereits genutztes Subnetz verwendet)
Auf der Seite der Filiale 2 | |
---|---|
Quelle |
|
Ziel | |
Dienst |
|
[–] NAT Typ |
|
Netzwerkobjekt |
VPN-Verbindung anlegen
Anlegen einer IPSec-Site-to-Site VPN-Verbindung, wie im Wiki beschrieben im Menü mit der Schaltfläche .
Filiale 1
- In Schritt 3 muss das lokale Netz (ohne mapping) freigegeben werden.
Im Beispiel:»172.16.3.0/24
Filiale 2 (und ggf. weitere Filialen)
- In Schritt 3 muss das lokale Mapnetz freigegeben werden.
Im Beispiel: »10.0.1.0/24
jede Filiale
- in Schritt 4 wird das direkte Remote-Netz der Zentrale (ohne mapping) freigegeben.
Im Beispiel: »172.16.0.0/24
Zentrale
- Es wird für jede Filiale eine Verbindung benötigt.
- In Schritt 3 muss das lokale Netz freigegeben werden.
Im Beispiel: »172.16.0.0/24 - in Schritt 4 wird das gemapte Remote-Netz der entsprechenden Filiale freigegeben.
Im Beispiel: »10.0.1.0/24
Portfilterregeln
Zwei Möglichkeiten stehen zur Verfügung:
- Zentrale & jede Filiale
Menü IpsecTraffic → Regel Acceppt Ein
In diesem Falle werden Regeln im Hintergrund angelegt, die alle Dienste für alle Rechner auf beiden Seiten zulassen. (Default)
- Besser: Eigene Portfilterregeln, die nur die Dienste zuzulassen, die auch benötigt werden.
Dazu wird im Menü im Abschnitt IpsecTraffic die Option Accept deaktiviert Aus und Portfilterregeln manuell angelegt.
Beispiel:
Auf der Seite der Zentrale | |
---|---|
Quelle |
(Mapnetz der VPN Gegenstelle) |
Ziel |
|
Dienst |
|
Es wird für jede Filiale eine Verbindung benötigt. Hierfür wird kein NAT vom Typ NETMAP mehr benötigt . | |
Auf der Seite der Filiale | |
Quelle |
(Netz der Zentrale) |
Ziel |
|
Dienst |
Erreichbarkeit von Hosts der Gegenstelle
Ein Rechner mit der IP-Adresse 172.16.3.10 in der Filiale 1 wird von der Zentrale aus mit eben dieser IP-Adresse (172.1.6.3.10) angesprochen.
Ein Rechner mit der IP-Adresse 172.16.3.10 in der Filiale 2 wird von der Zentrale aus mit der gemapten IP-Adresse 10.0.1.10 angesprochen.
Einen Rechner mit der IP-Adresse 172.16.0.120 in der Zentrale wird von der Filiale aus mit der IP-Adresse 172.16.0.120 angesprochen.