(Weiterleitung nach UTM/VPN/SSL VPN-Roadwarrior-Netmap v11.7 erstellt) Markierung: Neue Weiterleitung |
K (Textersetzung - „sptable2 spezial“ durch „sptable2 Paketfilter“) |
||
| (Eine dazwischenliegende Version von einem anderen Benutzer wird nicht angezeigt) | |||
| Zeile 1: | Zeile 1: | ||
{{Set_lang}} | {{Set_lang}} | ||
| Zeile 125: | Zeile 124: | ||
<div class="einrücken"> | <div class="einrücken"> | ||
{{#var:Vergleich--desc}} | {{#var:Vergleich--desc}} | ||
{| class="sptable2 | {| class="sptable2 Paketfilter pd5 tr--bc__white zh1" | ||
|- class="bold small no1cell" | |- class="bold small no1cell" | ||
| rowspan="3" class="Leerzeile pd0 pdr05 bc__default fs-initial normal" | {{#var:Portfilterregel--desc}} | | rowspan="3" class="Leerzeile pd0 pdr05 bc__default fs-initial normal" | {{#var:Portfilterregel--desc}} | ||
Aktuelle Version vom 29. Mai 2024, 10:47 Uhr
- Layoutanpassung
- Screenshots aktualisiert
Einleitung
In diesem Wiki wollen wir den Fall behandeln, wenn ein Roadwarrior gleichzeitig eine VPN Verbindung zu verschiedenen Zielen aufbaut, die aber jeweils das gleiche Subnetz verwenden. Weiterhin bekommt der VPN-Client auch noch eine Adresse aus dem gleichen Roadwarrior Pool von den VPN-Servern. In diesem Fall hätte der Client natürlich das Problem, dass er nicht zwischen den Zielen unterscheiden kann.
Hierbei kann der NAT-Typ NETMAP Abhilfe schaffen.
In unserem Beispiel nehmen wir die folgenden Vorgaben an:
| Roadwarrior Pool: | 192.168.0.0/24 |
| Internes Netz der Standorte: | 192.168.175.0/24 |
| Netmap-Netz des ersten Standort: | 192.168.1.0/24 |
| Netmap-Netz des zweiten Standort: | 192.168.2.0/24 |
Weiterhin gehen wir davon aus, dass die SSL-VPN Roadwarrior Verbindung bereits eingerichtet ist und funktioniert.
Konfiguration des SSL-VPN Roadwarriorserver mit Netmap
Vorbereitungen
| Schaltfläche | UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte  Netzwerkobjekt auf Adresse umstellen
|
Zur Nutzung der NETMAP Funktion sind folgende Bedingungen zu beachten:
Das Netzwerkobjekt des Internen Netzwerkes darf nicht auf die Schnittstelle eingerichtet sein. Dieses kann gegebenenfalls auf Adresse umgestellt werden, indem die Adresse in die Drop-Down Schaltfläche eingetragen wird. In diesem Beispiel haben wir auf beiden Seiten das Netzwerk 192.168.175.0/24. | |
Einstellung im SSL-VPN Server
| Schaltfläche | UTMbenutzer@firewall.name.fqdnVPNSSL-VPN  Netmap Adresse im Roadwarrior-Server
|
| Unter Servernetzwerke freigeben wird nur das Netmap-Netz eingetragen und nicht das Original Subnetz des internen Netzwerks.
Sollten weitere Subnetze an den Client übermittelt werden, muss vorher überprüft werden, dass diese nicht auch auf anderen Zielen vorhanden sind. | |
Netzwerkobjekte erstellen
Neben dem vorhandenen Netzwerkobjekt für den Roadwarrior wird ein weiteres für das Netmap-Netz mit den folgenden Eigenschaften benötigt, um eine entsprechende Paketfilterregel zu erstellen:
| Bezeichnung | Wert | Beschreibung | UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte  Netzwerkobjekt für Netmap-Netz
|
|---|---|---|---|
| Name: | Netmap-Netz | Ist frei wählbar. | |
| Typ: | Netzwerk (Adresse) | ||
| Adresse: | 192.168.1.0/24 | Das Subnetz, das für Netmap verwendet werden soll. | |
| Zone: | internal | Die Netzwerkzone, in der sich auch das Netzwerk befindet, mit deren Hosts der Client eine Verbindung per VPN herstellen soll. | |
Paketfilterregeln
| Die erste Paketfilter Regel wird schon vorhanden sein, denn die SSL-VPN Verbindung wurde ja schon angelegt und funktioniert, wenn vom Client nicht gleichzeitig eine weitere Verbindung zu einem anderen Ziel mit dem selben Subnetz aufgebaut wird. Bei dieser Paketfilterregel geht es um die grundsätzliche Steuerung der Datenübertragung vom Roadwarrior zum Internen Netzwerk mit bestimmten Diensten. Hierbei ändert sich auch nichts. |
UTMbenutzer@firewall.name.fqdnFirewallPaketfilter  Paketfilterregel für Roadwarrior
|
| Die zweite Paketfilterregel ist neu und bezieht sich auf das Netmap. Diese hat die folgenden Eigenschaften: | |||
| Bezeichnung | Wert | Beschreibung | UTMbenutzer@firewall.name.fqdnFirewallPaketfilter  Paketfilterregel für Netmap
|
|---|---|---|---|
Allgemein
| |||
| Quelle: |  internal-network |
Netzwerk, auf das der Roadwarrior Zugriff haben soll. | |
| Ziel: |  Roadwarrior |
Netzwerk des Roadwarrior. | |
| Dienst: |  any |
Die any Regel sollte nur bei Netmap verwendet werden, da sie keine Einschränkungen hat. | |
| Aktion: | ACCEPT | ||
[ - ] NAT
| |||
| Typ: | NETMAP | ||
| Netzwerkobjekt: | Netmap-Netz |
||
| Dienst: | any |
Die any Regel sollte nur bei Netmap verwendet werden, da sie keine Einschränkungen hat. | |
Die Übersicht der Paketfilter sollte nun folgende Zeilen enthalten:
| # | Quelle | Ziel | Dienst | NAT | Aktion | Aktiv | |||
 |
5 | Roadwarrior |
internal-network |
 ms-rdp |
Accept | Ein | |||
|
6 | internal-network |
Roadwarrior |
any |
NM | Accept | Ein | ||
Hinweise
Der VPN Client muss die Verbindung neu aufbauen, damit dieser auch das korrekte Subnetz übermittelt bekommt.
Der Zugriff vom Client auf einen Host im internen Netzwerk erfolgt dann über die IP-Adresse 192.168.2.x, da hier die Subnetzmaske /24 definiert wurde. Das letzte Oktett ist also die Original Host-IP.
Wenn wir in diesem Beispiel also den Host mit der Original IP-Adresse 192.168.0.1 ansprechen möchten, muss der Client die IP-Adresse 192.168.2.1 verwenden um diesen zu erreichen.
Der Client kann hier nur mit IP-Adressen auf die Hosts im internen Netzwerk zugreifen. Eine DNS Abfrage würde zur Folge haben, dass die Original IP des Hosts übertragen werden würde und darüber ist dieser vom Client nicht mehr erreichbar.