Die Seite wurde neu angelegt: „{{Set_lang}} {{#vardefine:headerIcon|spicon-utm}} {{:UTM/VPN/SSL VPN zu IPSec-Ziel.lang}} </div>{{DISPLAYTITLE:{{#var:display}} }}{{TOC2| Bild={{#var:Ausgan…“ |
KKeine Bearbeitungszusammenfassung |
||
| (4 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 4: | Zeile 4: | ||
{{:UTM/VPN/SSL VPN zu IPSec-Ziel.lang}} | {{:UTM/VPN/SSL VPN zu IPSec-Ziel.lang}} | ||
{{var | neu--An BestPractice angeglichen | |||
| Beispiel an [[UTM/VPN/SSL_VPN-RW_an_S2S-BestPractice#SSL-RW_durch_IPSec-S2S|Best Practice]] angeglichen (Grafik, Standorte, IP-Adressen) | |||
| Example adapted to [{{#var:host}}UTM/VPN/SSL_VPN-RW_an_S2S-BestPractice Best Practice] (graphic, locations, IP addresses) }} | |||
</div> | </div><div class="new_design"></div>{{TOC2| Bild={{#var:Ausgangslage3--Bild}} | cap={{#var:Ausgangslage--cap}}|class=noborder blank}}{{Select_lang}} | ||
{{Header| 12.6.0 | | |||
* {{#var:neu--rwi}} | |||
{{ | |[[UTM/VPN/SSL_VPN_zu_IPSec-Ziel_04.2022 | 04.2022]] | ||
|zuletzt=02.2025 | |||
* {{#var:neu--An BestPractice angeglichen}} | |||
}} | |||
* {{#var:neu-- | ---- | ||
}} | |||
=== {{#var:Ausgangslage}} === | === {{#var:Ausgangslage}} === | ||
<div class="Einrücken"> | <div class="Einrücken"> | ||
{{#var:Ausgangslage--desc}} | {{#var:Ausgangslage--desc}} | ||
</div> | |||
==== {{#var:IPSec Verbindung einrichten}} ==== | ==== {{#var:IPSec Verbindung einrichten}} ==== | ||
<div class="Einrücken"> | |||
{{#var:IPSec Verbindung einrichten--desc}} | {{#var:IPSec Verbindung einrichten--desc}} | ||
</div> | |||
==== {{#var:SSL-VPN Verbindung einrichten}} ==== | ==== {{#var:SSL-VPN Verbindung einrichten}} ==== | ||
<div class="Einrücken"> | |||
{{#var:SSL-VPN Verbindung einrichten--desc}} | {{#var:SSL-VPN Verbindung einrichten--desc}} | ||
</div> | </div> | ||
<!-- | |||
{{pt3| {{#var:Ausgangslage2--Bild}}| {{#var:Ausgangslage--cap}}|class=noborder blank}} | {{pt3| {{#var:Ausgangslage2--Bild}} |{{#var:Ausgangslage--cap}}|class=noborder blank}} | ||
{{pt3| {{#var:Ausgangslage--Bild}}| {{#var:Ausgangslage--cap}} }} | {{pt3| {{#var:Ausgangslage--Bild}} |{{#var:Ausgangslage--cap}} }} | ||
--> | |||
=== {{#var:Anpassen der Konfiguration}} === | === {{#var:Anpassen der Konfiguration}} === | ||
| Zeile 41: | Zeile 45: | ||
==== {{#var:SSL-VPN-Verbindung bearbeiten}} ==== | ==== {{#var:SSL-VPN-Verbindung bearbeiten}} ==== | ||
<i class="host utm">{{#var:Standort}} B</i> | <div class="Einrücken"> | ||
<i class="host utm">{{#var:Standort}} B</i> | |||
{{#var:SSL-VPN-Verbindung bearbeiten--desc}} | |||
</div> | |||
{| class="sptable2 pd5 zh1" | {| class="sptable2 pd5 zh1 Einrücken" | ||
|- | |- | ||
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}} | ! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}} | ||
| class="Bild" rowspan="5" | {{Bild| {{#var:SSL-VPN-Verbindung bearbeiten--Bild}} |{{#var:SSL-VPN-Verbindung bearbeiten--cap}} ||{{#var:SSL-VPN-Verbindung bearbeiten}}|VPN|SSL-VPN|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}} | |||
|- | |- | ||
| {{b|{{#var:Servernetzwerke freigeben}} }} || {{ic|{{cb|192.168. | | {{b|{{#var:Servernetzwerke freigeben}} }} || class=mw8 | {{ic|{{cb|192.168.175.0/24}}{{cb|192.168.174.0/24}} |cb}} || {{#var:Servernetzwerke freigeben--desc}} | ||
|- | |- | ||
| colspan="2" | {{Button| {{#var:Speichern}} }} || {{#var:Speichern--desc}} | | colspan="2" | {{Button-dialog||fa-floppy-disk-circle-xmark|hover={{#var:Speichern und schließen}}}} || {{#var:Speichern--desc}} | ||
|- | |- | ||
| colspan="3" | {{#var:SSL-VPN neustarten}}<li class="list--element__alert list--element__hint">{{#var:VPN-Client neustarten}}</li> | | colspan="3" | {{#var:SSL-VPN neustarten}}<li class="list--element__alert list--element__hint">{{#var:VPN-Client neustarten}}</li> | ||
|- class="Leerzeile" | |- class="Leerzeile" | ||
| | | | ||
|} | |||
---- | |||
==== {{#var:Konfiguration ohne HideNat}} ==== | |||
<div class="Einrücken"> | |||
{{#var:Konfiguration ohne HideNat--desc}} | |||
</div> | |||
===== {{#var:Anpassen der IPSec-Verbindung}} ===== | |||
{| class="sptable2 pd5 zh1 Einrücken" | |||
|- class="Leerzeile" | |- class="Leerzeile" | ||
| colspan="3" | | | colspan="3" | <i class="host utm">{{#var:Standort}} A</i> | ||
==== {{#var:Netzwerkobjekt anlegen}} ==== | |- | ||
<i class="host utm">{{#var:Standort}} | ! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}} | ||
| class="Bild th-width-l" rowspan="5" | {{Bild| {{#var:Phase2 Subnetz hinzufügenA--Bild}} |{{#var:Phase2 Subnetz hinzufügenA--cap}}||{{#var:Subnetz hinzufügen}}|VPN|IPSec|{{#var:Phase 2 bearbeiten}}|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}}{{Bild| {{#var:Phase2 SubnetzeA--Bild}}|{{#var:Phase2 SubnetzeA--cap}}||{{#var:Phase 2 bearbeiten}}|VPN|IPsec|icon=fa-floppy-disk-circle-xmark|icon2=fa-close|style="margin-top:0.5em;"}}</p> | |||
|- | |||
| class=mw10 | {{b|{{#var:Lokales Netzwerk}} }} || {{ic|192.168.174.0|rechts|icon=/24 |iconw=x|class=available}} || {{#var:Lokales NetzwerkA--desc}} | |||
|- | |||
| {{b|{{#var:Remote Netzwerk}} }} || {{ic|192.168.192.0|rechts|icon=/24 |iconw=x|class=available}} || {{#var:Remote NetzwerkA--desc}} | |||
|- class="Leerzeile" | |||
| colspan="3" | {{#var:Speichern x2}} | |||
|- class="Leerzeile" | |||
| | |||
|- class="Leerzeile" | |||
| colspan="3" | <i class="host utm">{{#var:Standort}} B</i> | |||
|- | |||
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}} | |||
| class="Bild th-width-l" rowspan="5" | {{Bild| {{#var:Phase2 Subnetz hinzufügenB--Bild}} |{{#var:Phase2 Subnetz hinzufügenB--cap}}||{{#var:Subnetz hinzufügen}}|VPN|IPSec|{{#var:Phase 2 bearbeiten}}|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}}<br>{{Bild| {{#var:Phase2 SubnetzeB--Bild}}|{{#var:Phase2 SubnetzeB--cap}}||{{#var:Phase 2 bearbeiten}}|VPN|IPsec|icon=fa-floppy-disk-circle-xmark|icon2=fa-close|style="margin-top:0.5em;"}} | |||
|- | |||
| {{b|{{#var:Lokales Netzwerk}} }} || {{ic|192.168.192.0|rechts|icon=/24 |iconw=x|class=available}} || {{#var:Lokales NetzwerkB--desc}} | |||
|- | |||
| {{b|{{#var:Remote Netzwerk}} }} || {{ic|192.168.174.0|rechts|icon=/24 |iconw=x|class=available}} || {{#var:Remote NetzwerkB--desc}} | |||
|- class="Leerzeile" | |||
| colspan="3" | {{#var:Speichern x2}} | |||
|- class="Leerzeile" | |||
| | |||
|} | |||
===== {{#var:Netzwerkobjekt anlegen Standort A}} ===== | |||
<div class="Einrücken"> | |||
<i class="host utm">{{#var:Standort}} A</i> | |||
{{#var:Nicht erforderlich bei impliziten Regeln}}<br> | |||
{{#var:Netzwerkobjekt--Menu}} | |||
</div> | |||
{| class="sptable2 pd5 zh1 Einrücken" | |||
|- | |||
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}} | |||
| class="Bild" rowspan="7" | {{Bild| {{#var:Netzwerkobjekt anlegen Standort A--Bild}} |{{#var:Netzwerkobjekt anlegen Standort A--cap}}||{{#var:Netzwerkobjekt hinzufügen}}|Firewall|{{#var:Netzwerkobjekte}}|icon=fa-save|icon2=fa-floppy-disk-circle-xmark|icon3=fa-close}} | |||
|- | |||
| {{b|Name}} || {{ic|SSL-VPN-RW-Network|class=mw10}} || {{#var:Name--desc}} | |||
|- | |||
| {{b|{{#var:Typ}} }} || {{Button| {{#var:Typ Standort A--val}}|dr|class=mw10}} || {{#var:Typ Standort A--desc}} | |||
|- | |||
| {{b|{{#var:Adresse}} }} || {{ic|192.168.192.0|rechts|rechts|icon=/24 |iconw=x|class=mw10}} || {{#var:Adresse Standort A--desc}} | |||
|- | |||
| {{b|Zone:}} || {{Button|vpn-ipsec|dr|class=mw10}} || {{#var:Zone Standort A--desc}} | |||
|- | |||
| {{b|{{#var:Gruppen}} }} || {{ic||cb|class=mw10}} || {{#var:Gruppen--desc}} | |||
|- | |||
| colspan="2" |{{Button-dialog||fa-floppy-disk-circle-xmark|hover={{#var:Speichern und schließen}} }} || {{#var:Speichern und schließen--desc}} | |||
|- class="Leerzeile" | |||
| | |||
|- | |||
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}} | |||
| class="Bild" rowspan="7" | {{Bild| {{#var:Netzwerkobjekt IPSec Ziel anlegen Standort A--Bild}} |||{{#var:Netzwerkobjekt hinzufügen}}|Firewall|{{#var:Netzwerkobjekte}}|icon=fa-save|icon2=fa-floppy-disk-circle-xmark|icon3=fa-close}} | |||
|- | |||
| {{b|Name:}} || {{ic|{{#var:Name--val}}|class=mw10}} || {{#var:Name--desc}} | |||
|- | |- | ||
| {{b|{{#var: | | {{b|{{#var:Typ}} }} || {{Button| {{#var:Typ-ipsec--val}}|dr|class=mw10}} || | ||
| class= | |||
|- | |- | ||
| {{b|{{#var: | | {{b|{{#var:Adresse}} }} || {{ic|192.168.175.0|rechts|icon=/24 |iconw=x|class=mw10}} || {{#var:Adresse--desc}} | ||
|- | |- | ||
| {{b| | | {{b|Zone:}} || {{Button|vpn-ipsec|dr|class=mw10}} || {{#var:Zone Standort A--desc}} | ||
|- | |- | ||
| {{b|{{#var: | | {{b|{{#var:Gruppen}} }} || {{ic||cb|class=mw10}} || {{#var:Gruppen--desc}} | ||
|- | |- | ||
| {{b|{{#var: | | colspan="2" | {{Button-dialog||fa-floppy-disk-circle-xmark|hover={{#var:Speichern und schließen}} }} || {{#var:Speichern und schließen--desc}} | ||
|- class="Leerzeile" | |||
| | |||
|} | |||
===== {{#var:Paketfilter Regel Standort A}} ===== | |||
<div class="Einrücken"> | |||
<i class="host utm">{{#var:Standort}} A</i> | |||
{{#var:Paketfilter Regel--desc}} | |||
</div> | |||
{| class="sptable2 Paketfilter pd5 zh1 Einrücken" | |||
| {{b|{{#var:Quelle}} }} || {{ic| SSL-VPN-RW-Network|dr|class=mw15|icon=vpn-network}} || {{#var: regel--quelle--desc}} | |||
|- | |- | ||
| | | {{b|{{#var:Ziel}} }} || {{ic|internal-network|dr|class=mw15|icon=network}} || {{#var:Zielnetzwerk-StandortA--desc}} | ||
|- | |||
| {{b|{{#var:Dienst}} }} || {{ic| xyz|dr|class=mw15|icon=dienste}} || {{#var: regel--dienst--desc}} | |||
|- class="Leerzeile" | |- class="Leerzeile" | ||
| | | | ||
|} | |} | ||
{{#var:Anzeige Paketfilter Regel}} | |||
{| class="sptable2 Paketfilter pd5 tr--bc__white zh1" | |||
|- class="bold small no1cell" | |||
| class="Leerzeile bc__default" | || || <nowiki>#</nowiki> || style="min-width:12em;"| {{#var:Quelle}} || style="min-width:12em;"| {{#var:Ziel}} || style="min-width:12em;"| {{#var:Dienst}} || style="min-width:6em;"| NAT || {{#var:Aktion}} || {{#var:Aktiv}} ||style="min-width:5em;"| | |||
|- | |||
| class="bc__default" | {{#var:IPSec-Regel-external-interface--desc}}{{Einblenden| |{{#var:hide}}|info}} {{#var:Nicht erforderlich bei impliziten Regeln}} </div></span> | |||
| {{spc|drag|o|-}} || 4 || {{spc|world|o|-}} internet || {{spc|interface|o|-}} external-interface || {{spc|dienste|o|-}} ipsec || || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}} | |||
|- | |||
| class="bc__default" | {{#var:Zugriff auf IPSec-Netzwerk--desc}}{{Einblenden| |{{#var:hide}}|info}} {{#var:Nicht erforderlich bei impliziten Regeln}} </div></span> || {{spc|drag|o|-}} || 5 || {{spc|network|o|-}} internal-network || {{spc|vpn-network|o|-}} IPSec-Network || {{spc|dienste|o|-}} {{#var:regel--dienst--desc}} || {{Kasten|HNE|blau}} || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}} | |||
|- | |||
| class="bc__default" | {{#var:Zugriff auf lokales Netzwerk--desc}}{{Einblenden| |{{#var:hide}}|info}} {{#var:Nicht erforderlich bei impliziten Regeln}} </div></span> || {{spc|drag|o|-}} || 6 || {{spc|vpn-network|o|-}} IPSec Network || {{spc|network|o|-}} internal-network || {{spc|dienste|o|-}} {{#var:regel--dienst--desc}} || || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}} | |||
|- class="redborder" | |||
| class="bc__default" | {{#var:Neue Regel--SSL-VPN--desc}} || {{spc|drag|o|-}} || 7 || {{spc|vpn-network|o|-}} SSL-VPN-RW-Network || {{spc|network|o|-}} internal-network || {{spc|dienste|o|-}} {{#var:regel--dienst--desc}} || || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}} | |||
|} | |||
<div class="Einrücken"> | |||
<li class="list--element__alert list--element__hint">{{#var:Regeln aktualisieren--desc}}</li> | |||
</div> | |||
===== {{#var:Netzwerkobjekt anlegen}} ===== | |||
<div class="Einrücken"> | <div class="Einrücken"> | ||
<i class="host utm">{{#var:Standort}} B</i> | |||
<i class="host utm">{{#var:Standort}} B</i> | {{#var:Netzwerkobjekt anlegen--desc}} | ||
</div> | |||
{| class="sptable2 | {| class="sptable2 pd5 zh1 Einrücken" | ||
| {{ | |- | ||
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}} | |||
| class="Bild" rowspan="7" | {{Bild| {{#var:Netzwerkobjekt anlegen-ipsec--Bild}} |||{{#var:Netzwerkobjekt hinzufügen}}|Firewall|{{#var:Netzwerkobjekte}}|icon=fa-save|icon2=fa-floppy-disk-circle-xmark|icon3=fa-close}} | |||
|- | |||
| {{b|Name:}} || {{ic|{{#var:Name--val}}|class=mw10}} || {{#var:Name--desc}} | |||
|- | |||
| {{b|{{#var:Typ}} }} || {{Button| {{#var:Typ-ipsec--val}}|dr|class=mw10}} || | |||
|- | |- | ||
| {{ | | {{b|{{#var:Adresse}} }} || {{ic|192.168.174.0|rechts|icon=/24 |iconw=x|class=mw10}} || {{#var:Adresse--desc}} | ||
|- | |- | ||
| {{ | | {{b|Zone:}} || {{Button|vpn-ipsec|dr|class=mw10}} || {{#var:Zone Standort A--desc}} | ||
|- | |- | ||
| {{ | | {{b|{{#var:Gruppen}} }} || {{ic||cb|class=mw10}} || {{#var:Gruppen--desc}} | ||
|- | |- | ||
| {{ | | colspan="2" | {{Button-dialog||fa-floppy-disk-circle-xmark|hover={{#var:Speichern und schließen}} }} || {{#var:Speichern und schließen--desc}} | ||
|- class="Leerzeile" | |||
| | |||
|} | |} | ||
===== {{#var:Paketfilter Regel}} ===== | |||
<div class="Einrücken"> | |||
<i class="host utm">{{#var:Standort}} B</i> | |||
{{#var:Paketfilter Regel--desc}} | |||
</div> | |||
{| class="sptable2 Paketfilter pd5 zh1 Einrücken" | |||
| {{b|{{#var:Quelle}} }} || {{ic| SSL-VPN-RW-Network|icon=vpn-network|dr|class=mw15}} || {{#var: regel--quelle--desc}} | |||
|- | |||
| {{b| {{#var:Ziel}} }} || {{ic| {{#var:Name--val}} |icon=vpn-network|dr|class=mw15}} || {{#var: regel--ziel--desc}} | |||
|- | |||
| {{b| {{#var:Dienst}} }} || {{ic| xyz|icon=dienste|dr|class=mw15}} || {{#var: regel--dienst--desc}} | |||
|} | |||
<div class="Einrücken"> | |||
{{#var:Hinzufügen und schließen--desc}} | {{#var:Hinzufügen und schließen--desc}} | ||
{{#var:Anzeige | {{#var:Anzeige Paketfilter Regel}} | ||
{| class="sptable2 | {| class="sptable2 Paketfilter pd5 tr--bc__white zh1" | ||
|- class="bold small no1cell" | |- class="bold small no1cell" | ||
| class="Leerzeile bc__default" | || ||<nowiki>#</nowiki> || style="min-width:12em;"| {{#var:Quelle}} || style="min-width:12em;"| {{#var:Ziel}} || style="min-width:12em;"| {{#var:Dienst}} || style="min-width:6em;"| NAT || {{#var:Aktion}} || {{#var:Aktiv}} ||style="min-width:5em;"| | | class="Leerzeile bc__default" | || || <nowiki>#</nowiki> || style="min-width:12em;"| {{#var:Quelle}} || style="min-width:12em;"| {{#var:Ziel}} || style="min-width:12em;"| {{#var:Dienst}} || style="min-width:6em;"| NAT || {{#var:Aktion}} || {{#var:Aktiv}} ||style="min-width:5em;"| | ||
|- | |||
| class="bc__default" | {{#var:IPSec-Regel-external-interface--desc}}{{Einblenden| |{{#var:hide}}|info}} {{#var:Nicht erforderlich bei impliziten Regeln}} </div></span> || {{spc|drag|o|-}} || 4 || {{spc|world|o|-}} internet || {{spc|interface|o|-}} external-interface || {{spc|dienste|o|-}} ipsec || || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}} | |||
|- | |||
| class="bc__default" | {{#var:Zugriff auf IPSec-Netzwerk--desc}}{{Einblenden| |{{#var:hide}}|info}} {{#var:Nicht erforderlich bei impliziten Regeln}} </div></span> || {{spc|drag|o|-}} || 5 || {{spc|network|o|-}} internal-network || {{spc|vpn-network|o|-}} IPSec-Network || {{spc|dienste|o|-}} {{#var:regel--dienst--desc}} || {{Kasten|HNE|blau}} || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}} | |||
|- | |- | ||
| class="bc__default | | class="bc__default" | {{#var:Zugriff auf lokales Netzwerk--desc}}{{Einblenden| |{{#var:hide}}|info}} {{#var:Nicht erforderlich bei impliziten Regeln}} </div></span> || {{spc|drag|o|-}} || 6 || {{spc|vpn-network|o|-}} IPSec Network || {{spc|network|o|-}} internal-network || {{spc|dienste|o|-}} {{#var:regel--dienst--desc}} || || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}} | ||
|- class="redborder" | |||
| class="bc__default" | {{#var:Neue Regel Standort B--SSL-VPN--desc}} || {{spc|drag|o|-}} || 7 || {{spc|vpn-network|o|-}} SSL-VPN-RW-Network || {{spc|network|o|-}} {{#var:Name--val}} || {{spc|dienste|o|-}} {{#var:regel--dienst--desc}} || || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}} | |||
|} | |} | ||
<li class="list--element__alert list--element__hint">{{#var:Regeln aktualisieren--desc}}</li | <li class="list--element__alert list--element__hint">{{#var:Regeln aktualisieren--desc}}</li> | ||
</div> | </div> | ||
---- | |||
---- | ==== {{#var:Konfiguration mit HideNat-Regel}} ==== | ||
<div class="Einrücken"> | |||
{{#var:Konfiguration mit HideNat-Regel--desc}}<br> | |||
{{Hinweis-box|{{#var:Konfiguration mit HideNat-Regel--Hinweis}} }} | |||
</div> | |||
==== {{#var: | ===== {{#var:Netzwerkobjekt anlegen}} ===== | ||
<div class="Einrücken"> | <div class="Einrücken"> | ||
{{#var: | <i class="host utm">{{#var:Standort}} B</i> | ||
{{#var:Netzwerkobjekt anlegen--desc}} | |||
</div> | |||
{| class="sptable2 pd5 zh1 Einrücken" | {| class="sptable2 pd5 zh1 Einrücken" | ||
|- | |- | ||
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}} | ! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}} | ||
| class="Bild" rowspan="7" | {{Bild| {{#var:Netzwerkobjekt anlegen--Bild}} |||{{#var:Netzwerkobjekt hinzufügen}}|Firewall|{{#var:Netzwerkobjekte}}|icon=fa-save|icon2=fa-floppy-disk-circle-xmark|icon3=fa-close}} | |||
|- | |||
| {{b|Name:}} || {{ic|{{#var:Name--val}}|class=mw10}} || {{#var:Name--desc}} | |||
|- | |- | ||
| {{b|{{#var: | | {{b|{{#var:Typ}} }} || {{Button| {{#var:Typ--val}}|dr|class=mw10}} || {{#var:Typ--desc}} | ||
|- | |- | ||
| {{b|{{#var: | | {{b|{{#var:Adresse}} }} || {{ic|192.168.174.0|rechts|icon=/24 |iconw=x|class=mw10}} || {{#var:Adresse--desc}} | ||
| | |||
|- | |- | ||
| {{b|Zone:}} || {{Button|external|dr|class=mw10}} || external | |||
|- | |- | ||
| {{b|{{#var: | | {{b|{{#var:Gruppen}} }} || {{ic||cb|class=mw10}} || {{#var:Gruppen--desc}} | ||
|- | |- | ||
| {{ | | colspan="2" |{{Button-dialog||fa-floppy-disk-circle-xmark|hover={{#var:Speichern und schließen}} }} || {{#var:Speichern und schließen--desc}} | ||
|- class="Leerzeile" | |- class="Leerzeile" | ||
| | | | ||
|} | |} | ||
===== {{#var: | |||
===== {{#var:Paketfilter Regel}} ===== | |||
<div class="Einrücken"> | <div class="Einrücken"> | ||
<i class="host utm">{{#var:Standort}} B</i> | <i class="host utm">{{#var:Standort}} B</i> | ||
{| class="sptable2 | {{#var:Paketfilter Regel--desc}} | ||
| {{ | </div> | ||
{| class="sptable2 Paketfilter pd5 zh1 Einrücken" | |||
| {{b|{{#var:Quelle}} }} || {{ic| SSL-VPN-RW-Network|icon=vpn-network|dr|class=mw15}} || {{#var:regel--quelle--desc}} | |||
|- | |||
| {{b|{{#var:Ziel}} }} || {{ic|{{#var:Name--val}}|dr|class=mw15 |icon=host}} || {{#var: regel--ziel--desc}} | |||
|- | |||
| {{b|{{#var:Dienst}} }} || {{ic|xyz|dr|class=mw15|icon=dienste}} || {{#var: regel--dienst--desc}} | |||
|- | |- | ||
| {{Kasten| {{#var: | | {{Kasten|NAT}} {{b|{{#var:Typ}} }}|| {{Button|Hidenat|dr|class=mw15}} || {{#var:Typ-Hidenat--desc}} | ||
|- | |- | ||
| {{Kasten| {{#var: | | {{Kasten|NAT}} {{b|{{#var:Netzwerkobjekt}} }}|| {{ic|internal-interface|dr|class=mw15|icon=interface}} || <li class="list--element__alert list--element__warning">{{#var:Netzwerkobjekt--desc}}</li> | ||
|} | |} | ||
<div class="Einrücken"> | |||
{{#var:Hinzufügen und schließen--desc}} | {{#var:Hinzufügen und schließen--desc}} | ||
{{#var:Anzeige | {{#var:Anzeige Paketfilter Regel}} | ||
{| class="sptable2 | {| class="sptable2 Paketfilter pd5 tr--bc__white zh1" | ||
|- class="bold small no1cell" | |- class="bold small no1cell" | ||
| class="Leerzeile bc__default" | || ||<nowiki>#</nowiki> || style="min-width:12em;"| {{#var:Quelle}} || style="min-width:12em;"| {{#var:Ziel}} || style="min-width:12em;"| {{#var:Dienst}} || style="min-width:6em;"| NAT || {{#var:Aktion}} || {{#var:Aktiv}} ||style="min-width:5em;"| | | class="Leerzeile bc__default" | || || <nowiki>#</nowiki> || style="min-width:12em;"| {{#var:Quelle}} || style="min-width:12em;"| {{#var:Ziel}} || style="min-width:12em;"| {{#var:Dienst}} || style="min-width:6em;"| NAT || {{#var:Aktion}} || {{#var:Aktiv}} ||style="min-width:5em;"| | ||
|- | |- | ||
| class="bc__default noborder" | || {{spc|drag|o|-}} || 7 || {{spc|vpn-network|o|-}} SSL-VPN-RW-Network || {{spc|host|o|-}} {{#var:Name--val}} || {{spc|dienste|o|-}} | | class="bc__default noborder" | || {{spc|drag|o|-}} || 7 || {{spc|vpn-network|o|-}} SSL-VPN-RW-Network || {{spc|host|o|-}} {{#var:Name--val}} || {{spc|dienste|o|-}} {{#var:regel--dienst--desc}} || {{Kasten|HN|blau}} || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}} | ||
|} | |} | ||
<li class="list--element__alert list--element__hint">{{#var:Regeln aktualisieren--desc}}</li | <li class="list--element__alert list--element__hint">{{#var:Regeln aktualisieren--desc}}</li> | ||
</div> | </div> | ||
---- | |||
Aktuelle Version vom 4. Februar 2025, 10:23 Uhr
Netzwerkskizze Ausgangslage
Mit einem SSL-VPN Roadwarrior auf ein Netzwerk hinter einer IPSec Site-to-Site Verbindung zugreifen
Letzte Anpassung zur Version: 12.6.0
Neu:
- Aktualisierung zum Redesign des Webinterfaces
Zuletzt aktualisiert:
- 02.2025
- Beispiel an Best Practice angeglichen (Grafik, Standorte, IP-Adressen)
Dieser Artikel bezieht sich auf eine Beta-Version
Ausgangslage
- Ein Netzwerk am Standort A ist über eine IPSec-Site-to-Site-Verbindung mit einem Netzwerk an Standort B verbunden
- Es besteht eine SSL-VPN-Verbindung von einem Roadwarrior zu dem Netzwerk an Standort B
Ziel:
- Das Interne Netzwerk an Standort A soll für den Roadwarrior über die SSL-VPN-Verbindung zu Standort B erreichbar sein.
Konfiguration:
- Standort A:
Internes Netzwerk: 192.168.174.0/24 - Standort B:
Internes Netzwerk: 192.168.175.0/24 - Roadwarrior:
SSL-VPN-Verbindung zu Standort B
Transfernetz-IP: 192.168.192.0/24
IPSec Site-to-Site Verbindung einrichten
Ein Anleitung zur Konfiguration einer IPSec-Site-to-Site Verbindung gibt es in diesem Wiki.
SSL-VPN Verbindung einrichten
Ein Anleitung zur Konfiguration einer SSL-VPN Verbindung für Roadwarrior gibt es in diesem Wiki.
Anpassen der Konfiguration
SSL-VPN-Verbindung bearbeiten
Standort B Anpassen der SSL-VPN-Roadwarrior Verbindung unter Schaltfläche der Verwendeten Verbindung, Reiter Allgemein
| Beschriftung | Wert | Beschreibung | UTMbenutzer@firewall.name.fqdnVPNSSL-VPN  Servernetzwerke hinzufügen
|
|---|---|---|---|
| Servernetzwerke freigeben: | »192.168.175.0/24»192.168.174.0/24 | In diesem Beispiel wurde das interne Netzwerk des Standortes B (192.168.175.0/24) bereits durch die SSL-VPN-Verbindung freigegeben. Zusätzlich muss nun noch das interne Zielnetzwerk an Standort A, auf das der Roadwarrior zugreifen soll freigegeben werden. | |
| Speichern und schließen | Angaben mit der Schaltfläche Speichern übernehmen | ||
| SSL-VPN Verbindung neu starten mit der Schaltfläche | |||
Konfiguration mit Anpassung der IPSec-Verbindung
Das Transfernetz des Roadwarriors muss auf beiden UTMs in der Phase 2 der IPSec Verbindung eingetragen werden.
Konfiguration unter Schaltfläche der verwendeten Verbindung, Bereich Subnetze, Schaltfläche
Anpassen der IPSec-Verbindung
| Standort A | |||
| Beschriftung | Wert | Beschreibung | UTMbenutzer@firewall.name.fqdnVPNIPSecPhase 2 bearbeiten  Subnetz hinzufügen in Phase 2 / Standort A UTMbenutzer@firewall.name.fqdnVPNIPsec  Ergänzte Subnetze in Phase 2 / Standort A
|
|---|---|---|---|
| Lokales Netzwerk: | Das lokale Zielnetzwerk muss am Standort A als Lokales Netzwerk eingetragen werden | ||
| Remote Netzwerk: | Das Transfernetz des Roadwarriors (hier 192.168.192.0/24) muss am Standort A als Remote-Netzwerk eingetragen werden | ||
| Subnetze hinzufügen mit Speichern und schließen Änderungen der Phase 2 übernehmen ebenfalls mit der Schaltfläche IPSec-Verbindung neu starten mit der Schaltfläche | |||
| Standort B | |||
| Beschriftung | Wert | Beschreibung | UTMbenutzer@firewall.name.fqdnVPNIPSecPhase 2 bearbeiten  Subnetz hinzufügen in Phase 2 / Standort B UTMbenutzer@firewall.name.fqdnVPNIPsec  Ergänzte Subnetze in Phase 2 / Standort B
|
| Lokales Netzwerk: | Das Transfernetz des Roadwarriors (hier 192.168.192.0/24) muss am Standort B als Lokales Netzwerk eingetragen werden | ||
| Remote Netzwerk: | Das interne Zielnetzwerk (in Standort A) muss am Standort B als Remote-Netzwerk eingetragen werden | ||
| Subnetze hinzufügen mit Speichern und schließen Änderungen der Phase 2 übernehmen ebenfalls mit der Schaltfläche IPSec-Verbindung neu starten mit der Schaltfläche | |||
Netzwerkobjekt am Standort A anlegen
Standort A
Diese Regel ist nicht erforderlich, wenn die IPSec-Verbindung über implizite Regeln erlaubt wurde.
Davon ist jedoch im Regelfall abzuraten, da implizite Regeln die Ports, die für IPSec Verbindungen genutzt werden, allen Schnittstellen freigeben.
Netzwerkobjekt anlegen im Reiter Schaltfläche
| Beschriftung | Wert | Beschreibung | UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte 
|
|---|---|---|---|
| Name | SSL-VPN-RW-Network | frei wählbarer Name | |
| Typ: | Auch, wenn es sich nur um einen einzigen Roadwarrior handelt, wird für die Anbindung eine Tunnel-Netz-IP verwendet. Daher ist hier der Typ Netzwerk auszuwählen. | ||
| Adresse: | Die Netz-IP des SSL-VPN Transfer Netzes aus Standort B | ||
| Zone: | Die Zone entspricht der IPSec-Verbindung | ||
| Gruppen: | Ggf. kann das Netzwerkobjekt einer Gruppe hinzugefügt werden | ||
| Speichern und schließen | Netzwerkobjekt mit dieser Schaltfläche speichern und hinzufügen | ||
| Beschriftung | Wert | Beschreibung | UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte 
|
| Name: | IPSec Ziel | frei wählbarer Name | |
| Typ: | |||
| Adresse: | Die Netz-IP des internen Zielnetzwerkes, auf das zugegriffen werden soll | ||
| Zone: | Die Zone entspricht der IPSec-Verbindung | ||
| Gruppen: | Ggf. kann das Netzwerkobjekt einer Gruppe hinzugefügt werden | ||
| Speichern und schließen | Netzwerkobjekt mit dieser Schaltfläche speichern und hinzufügen | ||
Paketfilter-Regel Standort A
Standort A
| Quelle |  SSL-VPN-RW-Network |
Netzwerkobjekt des Roadwarrior-Netzwerkes |
| Ziel |  internal-network |
Internes Zielnetzwerk, auf daß der Roadwarrior zugreifen können soll |
| Dienst |  xyz |
Gewünschter Dienst oder Dienstgruppe |
Anzeige der Paketfilter-Regel in der Übersicht
| # | Quelle | Ziel | Dienst | NAT | Aktion | Aktiv | |||
| Bereits existierende Regel, die den Aufbau des IPSec-Tunnels ermöglicht Diese Regel ist nicht erforderlich, wenn die IPSec-Verbindung über implizite Regeln erlaubt wurde.
Davon ist jedoch im Regelfall abzuraten, da implizite Regeln die Ports, die für IPSec Verbindungen genutzt werden, allen Schnittstellen freigeben. |
 |
4 |  internet |
 external-interface |
ipsec |
Accept | Ein | ||
| Existierende Regel, die den Zugriff des lokalen Netzwerkes auf das IPSec-Netzwerk erlaubt Diese Regel ist nicht erforderlich, wenn die IPSec-Verbindung über implizite Regeln erlaubt wurde. Davon ist jedoch im Regelfall abzuraten, da implizite Regeln die Ports, die für IPSec Verbindungen genutzt werden, allen Schnittstellen freigeben. |
|
5 | internal-network |
IPSec-Network |
Gewünschter Dienst oder Dienstgruppe |
HNE | Accept | Ein | |
| Existierende Regel, die den Zugriff des IPSec-Netzwerkes auf das lokale Netzwerk erlaubt Diese Regel ist nicht erforderlich, wenn die IPSec-Verbindung über implizite Regeln erlaubt wurde. Davon ist jedoch im Regelfall abzuraten, da implizite Regeln die Ports, die für IPSec Verbindungen genutzt werden, allen Schnittstellen freigeben. |
|
6 | IPSec Network |
internal-network |
Gewünschter Dienst oder Dienstgruppe |
Accept | Ein | ||
| Neue Regel, die dem Roadwarrior über das SSL-VPN-Netzwerkobjekt den Zugriff auf das interne Netzwerk erlaubt | |
7 | SSL-VPN-RW-Network |
internal-network |
Gewünschter Dienst oder Dienstgruppe |
Accept | Ein |
Netzwerkobjekt am Standort B anlegen
Standort B Anlegen eines Netzwerkobjektes für das Zielnetzwerk unter Schaltfläche
| Beschriftung | Wert | Beschreibung | UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte 
|
|---|---|---|---|
| Name: | IPSec Ziel | frei wählbarer Name | |
| Typ: | |||
| Adresse: | Die Netz-IP des internen Zielnetzwerkes, auf das zugegriffen werden soll | ||
| Zone: | Die Zone entspricht der IPSec-Verbindung | ||
| Gruppen: | Ggf. kann das Netzwerkobjekt einer Gruppe hinzugefügt werden | ||
| Speichern und schließen | Netzwerkobjekt mit dieser Schaltfläche speichern und hinzufügen | ||
Paketfilter-Regel Standort B
Standort B
| Quelle | SSL-VPN-RW-Network |
Netzwerkobjekt des Roadwarrior-Netzwerkes |
| Ziel | IPSec Ziel |
Netzwerk, auf das zugegriffen werden soll |
| Dienst | xyz |
Gewünschter Dienst oder Dienstgruppe |
Speichern der Regel mit der Schaltfläche Speichern und schließen
Anzeige der Paketfilter-Regel in der Übersicht
| # | Quelle | Ziel | Dienst | NAT | Aktion | Aktiv | |||
| Bereits existierende Regel, die den Aufbau des IPSec-Tunnels ermöglicht Diese Regel ist nicht erforderlich, wenn die IPSec-Verbindung über implizite Regeln erlaubt wurde. Davon ist jedoch im Regelfall abzuraten, da implizite Regeln die Ports, die für IPSec Verbindungen genutzt werden, allen Schnittstellen freigeben. |
|
4 | internet |
external-interface |
ipsec |
Accept | Ein | ||
| Existierende Regel, die den Zugriff des lokalen Netzwerkes auf das IPSec-Netzwerk erlaubt Diese Regel ist nicht erforderlich, wenn die IPSec-Verbindung über implizite Regeln erlaubt wurde. Davon ist jedoch im Regelfall abzuraten, da implizite Regeln die Ports, die für IPSec Verbindungen genutzt werden, allen Schnittstellen freigeben. |
|
5 | internal-network |
IPSec-Network |
Gewünschter Dienst oder Dienstgruppe |
HNE | Accept | Ein | |
| Existierende Regel, die den Zugriff des IPSec-Netzwerkes auf das lokale Netzwerk erlaubt Diese Regel ist nicht erforderlich, wenn die IPSec-Verbindung über implizite Regeln erlaubt wurde. Davon ist jedoch im Regelfall abzuraten, da implizite Regeln die Ports, die für IPSec Verbindungen genutzt werden, allen Schnittstellen freigeben. |
|
6 | IPSec Network |
internal-network |
Gewünschter Dienst oder Dienstgruppe |
Accept | Ein | ||
| Neue Regel, die dem Roadwarrior den Zugriff auf das IPSec-Zielnetzwerk erlaubt | |
7 | SSL-VPN-RW-Network |
IPSec Ziel |
Gewünschter Dienst oder Dienstgruppe |
Accept | Ein |
Konfiguration mit HideNat-Regel
Besteht kein Zugriff auf die Konfiguration an Standort A, kann auch eine Regel mit HideNat verwendet werden. Dies ersetzt dann die Übergabe der Netz-IP des SSL-VPN-Transfernetzes in Phase 2 der IPSec-Verbindung.
Da hierbei IP-Adressen ausgetauscht werden, kann dies zu Problemen z.B. mit VoIP oder FTP führen.
Netzwerkobjekt am Standort B anlegen
Standort B Anlegen eines Netzwerkobjektes für das Zielnetzwerk unter Schaltfläche
| Beschriftung | Wert | Beschreibung | UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte 
|
|---|---|---|---|
| Name: | IPSec Ziel | frei wählbarer Name | |
| Typ: | Wichtig: Die SSL-VPN-Verbindung bekommt nicht mit, daß es sich um eine weitere VPN-Verbindung handelt. Daher darf hier kein VPN-Netzwerk ausgewählt werden! | ||
| Adresse: | Die Netz-IP des internen Zielnetzwerkes, auf das zugegriffen werden soll | ||
| Zone: | external | ||
| Gruppen: | Ggf. kann das Netzwerkobjekt einer Gruppe hinzugefügt werden | ||
| Speichern und schließen | Netzwerkobjekt mit dieser Schaltfläche speichern und hinzufügen | ||
Paketfilter-Regel Standort B
Standort B
| Quelle | SSL-VPN-RW-Network |
Netzwerkobjekt des Roadwarrior-Netzwerkes |
| Ziel |  IPSec Ziel |
Netzwerk, auf das zugegriffen werden soll |
| Dienst | xyz |
Gewünschter Dienst oder Dienstgruppe |
NAT Typ: |
Die Adressen müssen vom Roadwarrior-Netz in das Zielnetzwerk übersetzt werden | |
NAT Netzwerkobjekt |
internal-interface |
Speichern der Regel mit der Schaltfläche Speichern und schließen
Anzeige der Paketfilter-Regel in der Übersicht
| # | Quelle | Ziel | Dienst | NAT | Aktion | Aktiv | |||
|
7 | SSL-VPN-RW-Network |
IPSec Ziel |
Gewünschter Dienst oder Dienstgruppe |
HN | Accept | Ein |