UTM/VPN/Netmap.lang: Unterschied zwischen den Versionen

| Sollten auf beiden Seiten einer VPN Verbindung die gleichen Subnetze eingesetzt werden,  ist es normalerweise nicht möglich diese Verbindung einzurichten.<br> Weiterhin kann es passieren, dass hinter verschiedenen Gegenstellen die gleichen Netzwerke eingerichtet sind.<br> Mit dem NAT-Typ NETMAP und Hilfsnetzwerken (Mapnetz), die '''auf keinen der zu verbindenden Gegenstellen eingerichtet sind''', können diese Verbindungen trotzdem erstellt werden, ohne auf eine der Seiten das Subnetz komplett zu ändern.

{{var | Vorbereitungen

{{var | Netzwerkobjekt bearbeiten--Bild

| UTM v12.6.4 Netmap Netzwerkobjekt internal-network.png

| UTM v12.6.4 Netmap Netzwerkobjekt internal-network-en.png}}

{{var | Netzwerkobjekt auf Adresse umstellen

| Es dürfen '''keine Schnittstellen''' für die Festlegung des Netzwerkobjektes ausgewählt werden.<br> Das Netzwerkobjekt des '''internen Netzwerkes''' muss überprüft und gegebenenfalls als {{b| Ziel:}} die Netz-IP des internen Netzes, das gemappt werden soll, eingetragen werden.<br> In diesem Beispiel wird auf beiden Seiten das Netzwerk 172.16.3.0/24 verwendet.

| '''No interfaces''' may be selected to define the network object.<br> The network object of the '''internal network''' must be checked and, if necessary, the network IP of the internal network to be mapped must be entered as {{b|target:}}.<br> In this example, the network 172.16.3.0/24 is used on both sides. }}

{{var | Ausgangslage

{{var | Zentrale und Filiale haben das gleiche Subnetz

{{var | Lokales Netz

{{var | Öffentliche IP

{{var | Zentrale localnet--Bild

| UTM v12.6.4 Netmap Netzwerkobjekt Zentrale localnet.png

| UTM v12.6.4 Netmap Netzwerkobjekt Zentrale localnet-en.png }}

|  }}

{{var | Remotenet Filiale--Bild

| UTM v12.6.4 Netmap Netzwerkobjekt remotenet Filiale.png

| UTM v12.6.4 Netmap Netzwerkobjekt remotenet Filiale-en.png }}

{{var | Filiale localnet--Bild

| UTM v12.6.4 Netmap Netzwerkobjekt Filiale localnet.png

| UTM v12.6.4 Netmap Netzwerkobjekt Filiale localnet-en.png }}

{{var | Remotenet Zentrale--Bild

| UTM v12.6.4 Netmap Netzwerkobjekt remotenet Zentrale.png

| UTM v12.6.4 Netmap Netzwerkobjekt remotenet Zentrale-en.png}}

{{var | 42

        | Dort ist das Netzwerk 10.0.1.0/24, das Mapnetz der Zentrale, das sich in der {{b|Zone}} {{Button|external|dr}} befindet

| There is the network 10.0.1.0/24, the map network of the central office located in the {{b|Zone}} {{Button|external|dr}} }}

| and the network 10.0.2.0/24, the map network of the branch office created with the zone of the internal network {{Button|internal|dr}}. }}

{{var | NETMAP Regel anlegen

{{var | Paketfilterregel Zentrale--Bild

| UTM v12.6.4 Netmap Paketfilterregel Zentrale.png

| UTM v12.6.4 Netmap Paketfilterregel Zentrale-en.png }}

|  }}

| NETMAP Paketfilterregel<br> {{Hinweis-box||r}} Das Mapnetz kann als {{b|Netzwerkobjekt}} nicht ausgewählt werden, wenn es noch mit einer Schnittstelle anstatt mit einer [[#Vorbereitungen | IP-Adresse verknüpft ist.]]

| NETMAP packet filter rule<br> {{Hinweis-box||r}} The mapnet cannot be selected as a {{b|network object}} if it is still associated with an interface instead of an [{{#var:host}}UTM/VPN/Netmap#Preparations IP address]. }}

| Es müssen auf jeder Seite '''zwei''' Paketfilterregeln erstellt werden, die das Mapping ausgehend sowie ausgehend durchführen.

| }}

{{var | Paketfilterregel Filiale--Bild

| Quelle

| Source }}

{{var | Ziel

{{var | Dienst

{{var | Typ

| Type }}

| }}

| Internal network }}

{{var | VPN-Verbindung anlegen

{{var | Zentrale Schritt 4--Bild

| UTM v12.6.4 Netmap IPSec Verbindung Zentrale Schritt 4.png

| UTM v12.6.4 Netmap IPSec Verbindung Zentrale Schritt 4-en.png}}

|  }}

{{var | Zentrale Schritt 3--Bild

| UTM v12.6.4 Netmap IPSec Verbindung Zentrale Schritt 3.png

| UTM v12.6.4 Netmap IPSec Verbindung Zentrale Schritt 3-en.png }}

| Anlegen einer IPSec-Site-to-Site VPN-Verbindung, [[UTM/VPN/IPSec-S2S | wie im Wiki beschrieben]] im Menü {{Menu-UTM|VPN|IPSec}} mit der Schaltfläche {{Button| IPSec-Verbindung hinzufügen|+}}.

| Create an IPSec site to site VPN connection, [{{#var:host}}UTM/VPN/IPSec-S2S as described in the Wiki] in the {{Menu-UTM|VPN|IPSec}} menu with the {{button| Add IPSec connection|+}} button.}}

| In Schritt 3 muss das lokale Mapnetz der Zentrale freigegeben werden.<br> Hier {{ic| {{cb|10.0.1.0/24}} |cb}}

| In step 3, the local map network of the head office must be released.<br> Here {{ic| {{cb|10.0.1.0/24}} |cb}} }}

| In Schritt 4 wird die öffentliche IP der Filiale als {{b|Remote Gateway:}} benötigt<br> und das remote <u>Map</u>netz der Filiale als freigegebenes Netzwerk.<br> Hier {{ic| {{cb|10.0.2.0/24}} |cb}}

| In step 4, the public IP of the branch is required as {{b|Remote Gateway:}}<br> and the remote <u>map</u> network of the branch is required as the shared network.<br>Here{{ic|{{cb|10.0.2.0/24}} |cb}} }}

| In Schritt 3 muss das lokale Mapnetz der Filiale freigegeben werden.<br> Hier {{ic| {{cb|10.0.2.0/24}} |cb}}

| In step 3, the local map network of the head office must be released.<br> Here {{ic| {{cb|10.0.2.0/24}} |cb}} }}

| In Schritt 4 wird die öffentliche IP der Zentrale als {{b|Remote Gateway:}} benötigt<br> und das remote <u>Map</u>netz der Zentrale als freigegebenes Netzwerk.<br >Hier {{ic| {{cb|10.0.1.0/24}} |cb}}

| In step 4, the public IP of the head office is required as {{b|Remote Gateway:}}<br> and the remote <u>map</u>network of the head office is required as the shared network.<br> Here {{ic| {{cb|10.0.1.0/24}} |cb}} }}

| UTM v12.6.4 Netmap IPSec Verbindung Filiale Schritt 4.png

| UTM v12.6.4 Netmap IPSec Verbindung Filiale Schritt 4-en.png }}

| UTM v12.6.4 Netmap IPSec Verbindung Filiale Schritt 3.png

| UTM v12.6.4 Netmap IPSec Verbindung Filiale Schritt 3-en.png}}

| Ein Rechner mit der IP-Adresse 172.16.3.10 in der Filiale wird von der Zentrale aus mit der IP-Adresse 10.0.2.10 angesprochen. <small>(Erforderliche Regel wird im Beispiel nicht gezeigt!)</small> <br>Ein Rechner mit der IP-Adresse 172.16.3.120 in der Zentrale wird von der Filiale aus mit der IP-Adresse 10.0.1.120 angesprochen.

| (und in jeder anderen Filiale, die ein ansonsten ''ungenutztes Subnetz'' verwendet) wird ein IPSec-Netzwerkobjekt für die Zentrale eingerichtet.<br> Das Netzwerkobjekt für das Netz der Gegenstelle muss sich in der Zone vpn-ipsec befinden und hat in unserem Beispiel die Netzwerkadresse 172.16.0.0/24.

| (and in any other branch that uses an otherwise ''unused subnet'') an IPSec network object is set up for the head office.<br> The network object for the network of the remote terminal must be located in the zone vpn-ipsec. In our example, it has the network address 172.16.0.0/24. }}

| UTM v12.6.4 Netmap Netzwerkobjekt remotenet Filiale2.png

| UTM v12.6.4 Netmap Netzwerkobjekt remotenet Filiale2-en.png }}

| UTM v12.6.4 Netmap Netzwerkobjekt remotenet Zentrale2.png

| UTM v12.6.4 Netmap Netzwerkobjekt remotenet Zentrale2-en.png }}

| In der {{spc|utm|s|'''Filiale 2'''|c=grün }} (und in jeder weiteren Filiale, die ein auch an anderer Stelle genutztes lokales Netz verwendet) wird ein Netzwerkobjekt für die Zentrale in der Zone {{Button|external|dr}} {{Hinweis-box||}} benötigt, mit dem das Mapping durchgeführt werden kann.</p><p>Hier kann direkt das genutze lokale Netz der Zentrale verwendet werden. <br>Im Beispiel {{ic|172.16.0.0/24}}

| In {{spc|utm|s|'''Branch 2'''|c=grün}} (and in any other branch that uses a local network also used elsewhere) a network object is needed for the central office in the zone {{Button|external|dr}} {{Hinweis-box||}} is needed, which can be used to perform the mapping. }}

| In addition, a second network object is created for the local network of the respective branch, which is mapped.<br> The network object for the map network in the branch must be located in the zone of the internal network {{button|internal|dr}} and gets the network IP {{ic|10.0.1.0/24}} in this example. <br>(Further branches receive '''another''' Mapnet in this place!) }}

| UTM v12.6.4 Netmap Paketfilter remotenet Filiale2.png

| UTM v12.6.4 Netmap Paketfilter remotenet Filiale2-en.png }}

| NETMAP Paketfilterregel

| NETMAP Packet filter rule }}

| Paketfilterregeln in der '''Filiale 2'''

| Packet filter rules in '''branch 2''' }}

| UTM v12.6.4 Netmap IPSec Verbindung Schritt 4.png

| UTM v12.6.4 Netmap IPSec Verbindung Schritt 4-en.png }}

| UTM v12.6.4 Netmap IPSec Verbindung Schritt 3.png

| UTM v12.6.4 Netmap IPSec Verbindung Schritt 3-en.png }}

{{var | 95

        | Schritt 3  in {{spc|utm|s|'''Filiale 2'''|c=grün}} mit lokalem '''Map'''netz

| In Schritt 3 muss das lokale Netz (ohne mapping) freigegeben werden.<br> Im Beispiel:  

| In step 3, the local network (without mapping) must be released.<br> In the example: }}

| In Schritt 3 muss das lokale '''Map'''netz freigegeben werden.<br> Im Beispiel:

| In step 3 the local '''Map'''net must be released.<br> In the example: }}

| in Schritt 4 wird das direkte Remote-Netz der Zentrale (ohne mapping) freigegeben.<br> Im Beispiel:

| In Schritt 4 wird das gemappte Remote-Netz der entsprechenden Filiale freigegeben.<br> Im Beispiel:

| In step 4, the mapped remote network of the corresponding branch is released.<br> In the example: }}

{{var | Paketfilterregeln

| Paketfilterregeln

| Packet filter rules }}

{{var | Paketfilterregeln--desc

{{var | Dedizierte Paketfilter Regeln

| Dedizierte Paketfilter Regeln

| Dedicated packet filter rules }}

| Menü {{Menu-UTM|Firewall|Implizite Regeln}} → Gruppe {{ic|IpsecTraffic}} → Regel {{ic|Accept}} {{ButtonAn| Ein}} <p>In diesem Falle werden Regeln im Hintergrund angelegt, die  '''alle Dienste für alle Rechner''' auf beiden Seiten zulassen. <small>'''(Default)'''</small></p>

| Menu {{Menu-UTM|Firewall|Implied rules}} → Group {{ic|IpsecTraffic}}} → Rule {{ic|Accept}} {{ButtonAn|On}}<br> In this case rules are created in the background, which allow '''all services for all computers''' on both sides. <small>'''(Default)'''</small><br> }}

{{var | Paketfilter IPSec-Regel Zentrale--Bild

| UTM v12.6.4 Netmap Paketfilter ipsec remotenet Filiale1.png

| UTM v12.6.4 Netmap Paketfilter ipsec remotenet Filiale1-en.png }}

{{var | Paketfilter IPSec-Regel Zentrale--cap

| Paketfilter Regel Zentrale für eingehendes IPSec-VPN

| Packet filter rule head office for inbound IPSec VPN }}

| Eigene Paketfilterregeln, die nur die Dienste zuzulassen, die auch benötigt werden. <p>Dazu wird im Menü {{Menu-UTM|Firewall|Implizite Regeln}} im Abschnitt {{ic|IpsecTraffic}} die Option {{ic|Accept}} deaktiviert {{ButtonAus| Aus}} und Paketfilterregeln manuell angelegt.</p> <p>Im Beispiel wird davon ausgegangen, das aus der Filiale heraus auf Server der Zentrale zugegriffen werden soll.</p>

| Custom packet filter rules that only allow services that are needed.<br> To do this, the {{ic|IpsecTraffic}} {{ic|Accept}} option in the {{Menu-UTM|Firewall|Implicit Rules}}-menu, section {{ic|IpsecTraffic}} is to be disabled {{ButtonAus|Off}} and packet filter rules are created manually.<br> The example assumes that server access from the branch to the head office is required. }}

| Hierfür wird kein NAT vom Typ NETMAP mehr benötigt

| No NAT of the type NETMAP is needed for this anymore }}

| Ein Rechner mit der IP-Adresse 172.16.3.10 in der Filiale 1 wird von der Zentrale aus mit eben dieser IP-Adresse (172.1.6.3.10) angesprochen.<br> Ein Rechner mit der IP-Adresse 172.16.3.10 in der Filiale 2 wird von der Zentrale aus mit der gemappten IP-Adresse 10.0.1.10 angesprochen.<br> Einen Rechner mit der IP-Adresse 172.16.0.120 in der Zentrale wird von der Filiale aus mit der IP-Adresse 172.16.0.120 angesprochen.

| A host with the IP address 172.16.3.10 in branch 1 is addressed from the head office with exactly this IP address (172.1.6.3.10).<br> A host with the IP address 172.16.3.10 in branch 2 is addressed from the head office with the mapped IP address 10.0.1.10.<br> A host with the IP address 172.16.0.120 in head office is addressed from the branch office with the IP address 172.16.0.120. }}

| Einstellungen für das Netzwerkobjekt <br>{{b|Typ:|class=mw5}} {{Button|VPN-Netzwerk|dr|class=mw9}} <p>{{b|Adresse:|class=mw5}} {{ic|10.0.2.0|rechts|icon=/24 |iconw=x|class=mw9}} Netz-IP des Transfernetzes der Filiale</p><p>{{b|Zone:|class=mw5}} {{Button|vpn-ipsec|dr|class=mw9}} {{Alert}}</p>

| Settings for the network object <br>{{b|Type:|class=mw5}} {{Button|VPN-Network|dr|class=mw9}} <p>{{b|Address:|class=mw5}} {{ic|10.0.2.0|rechts|icon=/24 |iconw=x|class=mw9}} Network IP of the branch's transfer network </p><p>{{b|Zone:|class=mw5}} {{Button|vpn-ipsec|dr|class=mw9}} {{Alert}}</p> }}

| UTM v12.6.4 Netmap Netzwerkobjekt ipsec Filiale1.png

| UTM v12.6.4 Netmap Netzwerkobjekt ipsec Filiale1-en.png }}

| Netzwerkobjekt in der {{spc|utm|s|'''{{#var:Zentrale}}'''|c=grün}} für das VPN-Netzwerk

| Network object in the {{spc|utm|s|'''{{#var:Zentrale}}'''|c=grün}} for the VPN network }}

| 2=Einstellungen für das Netzwerkobjekt <br>{{b|Typ:|class=mw5}} {{Button|VPN-Netzwerk|dr|class=mw9}}<p>{{b|Adresse:|class=mw5}} {{ic|10.0.1.0|rechts|icon=/24 |iconw=x|class=mw9}} Netz-IP des Transfernetzes der Zentrale</p><p>{{b|Zone:|class=mw5}} {{Button|vpn-ipsec|dr|class=mw9}} {{Alert}}</p>

| 3=Settings for the network object <br>{{b|Type:|class=mw5}} {{Button|VPN-Network|dr|class=mw9}}<p>{{b|Address:|class=mw5}} {{ic|10.0.1.0|rechts|icon=/24 |iconw=x|class=mw9}} Network IP of the head office transfer network</p><p>{{b|Zone:|class=mw5}} {{Button|vpn-ipsec|dr|class=mw9}} {{Alert}}</p> }}

| UTM v12.6.4 Netmap Netzwerkobjekt ipsec Zentrale.png

| UTM v12.6.4 Netmap Netzwerkobjekt ipsec Zentrale-en.png }}

| UTM v12.6.4 Netmap Implizite Regeln IPSec.png

| UTM v12.6.4 Netmap Implizite Regeln IPSec-en.png }}

| UTM v12.6.4 Netmap Netzwerkobjekt ipsec Zentrale2.png

| UTM v12.6.4 Netmap Netzwerkobjekt ipsec Zentrale2-en.png }}

| Einstellungen für das Netzwerkobjekt <br>{{b|Typ:|class=mw5}} {{Button|VPN-Netzwerk|dr|class=mw9}}<p>{{b|Adresse:|class=mw5}} {{ic|172.16.0.0|rechts|icon=/24 |iconw=x|class=mw9}} Netz-IP des lokalen Netzes der Zentrale</p><p>{{b|Zone:|class=mw5}} {{Button|vpn-ipsec|dr|class=mw9}} {{Hinweis|!}}</p>

| Settings for the network object <br>{{b|Type:|class=mw5}} {{Button|VPN-Network|dr|class=mw9}}<p>{{b|Address:|class=mw5}} {{ic|172.16.0.0|rechts|icon=/24 |iconw=x|class=mw9}}Network IP of the local network of the head office</p><p>{{b|Zone:|class=mw5}} {{Button|vpn-ipsec|dr|class=mw9}} {{Hinweis|!}}</p> }}

| UTM v12.6.4 Netmap Netzwerkobjekt ipsec Filiale2.png

| UTM v12.6.4 Netmap Netzwerkobjekt ipsec Filiale2-en.png }}

| Einstellungen für das Netzwerkobjekt <br>{{b|Typ:|class=mw5}} {{Button|VPN-Netzwerk|dr|class=mw9}}<p>{{b|Adresse:|class=mw5}} {{ic|10.0.2.0|rechts|icon=/24 |iconw=x|class=mw9}} Netz-IP des Transfernetzes der Filiale2</p><p>{{b|Zone:|class=mw5}} {{Button|vpn-ipsec|dr|class=mw9}} {{Hinweis|!}}</p>

| Settings for the network object <br>{{b|Type:|class=mw5}} {{Button|VPN-Network|dr|class=mw9}} <p>{{b|Address:|class=mw5}} {{ic|10.0.2.0|rechts|icon=/24 |iconw=x|class=mw9}}Network IP of the local network of branch2</p> <p>{{b|Zone:|class=mw5}} {{Button|vpn-ipsec|dr|class=mw9}} {{Hinweis|!}}</p> }}

| Netzwerkobjekt für die Filiale2 in der {{spc|utm|s|'''Zentrale'''|c=grün}}

| Network object for the branch2 in the {{spc|utm|s|'''Head office'''|c=grün}} }}

{{var | Übersicht der Paketfilterregeln

| Übersicht der Paketfilterregeln

| Overview of packet filter rules }}

{{var | Aktion

        | Aktion

        | Action }}

{{var | Aktiv

        | Aktiv

        | Active }}

{{var | Allgemein

        | Allgemein

        | General }}

| {{Menu-UTM|Firewall|Netzwerkobjekte}} öffnen.

| Open {{Menu-UTM|Firewall|Network objects}}. }}

| Es dürfen '''keine Schnittstellen''' für die Festlegung des Netzwerkobjektes ausgewählt werden.<br> Das Netzwerkobjekt des '''internen Netzwerkes (internal network)''' muss überprüft und als {{b| Ziel:}} die Netzwerkadresse, die dem '''internen Netzwerk''' zugewiesen wird,  eingetragen werden.<br> Besitzt das Netzwerkobjekt beispielsweise als {{b|Ziel:}} LAN2, so muss die IP-Adresse von LAN2 dort eingetragen werden.<br>In diesem Beispiel wird auf beiden Seiten das Netzwerk 192.168.10.0/24 verwendet.

| '''No interfaces''' may be selected to define the network object.<br>The network object of the '''internal network''' must be checked and the network address assigned to the '''internal network''' must be entered as {{b| target:}}.<br> For example, if the network object has as {{b|Target:}} LAN2, the IP address of LAN2 is entered there.<br> In this example, the network 192.168.10.0/24 is used on both sides. }}

{{var | Beispielhafte Paketfilterregel

| Beispielhafte Paketfilterregel

| Exemplary packet filter rule }}

{{var | Netzwerkobjekte erstellen

| Netzwerkobjekte erstellen

| Create network objects }}