KKeine Bearbeitungszusammenfassung |
KKeine Bearbeitungszusammenfassung |
||
| Zeile 14: | Zeile 14: | ||
{{Header|12.6.0| | {{Header|12.6.0| | ||
* {{#var:neu--Netzwerkobjekte aktualisieren}} | * {{#var:neu--Netzwerkobjekte aktualisieren}} | ||
* {{#var:neu-- | * {{#var:neu--Design Aktualisierung}} | ||
|[[UTM/NET/GRE_v12.2.3 | 12.2.3 ]] | |[[UTM/NET/GRE_v12.2.3 | 12.2.3 ]] | ||
[[UTM/NET/GRE_v11.7 | 11.7 ]] | [[UTM/NET/GRE_v11.7 | 11.7 ]] | ||
| Zeile 45: | Zeile 45: | ||
|- | |- | ||
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}} | ! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}} | ||
| class="Bild" rowspan="5" | {{ Bild | {{#var:Schritt 1--Bild}} | {{#var:Name und lokale IP-Adressen}} || {{#var:Schnittstelle hinzufügen}}|{{#var:Netzwerk}}|{{#var:Netzwerkkonfiguration}} | | class="Bild" rowspan="5" | {{ Bild | 1={{#var:Schritt 1--Bild}} | 2={{#var:Name und lokale IP-Adressen}} |3=<i class="host utm">{{#var:Zentrale}}</i>| 4={{#var:Schnittstelle hinzufügen}}|5={{#var:Netzwerk}}|6={{#var:Netzwerkkonfiguration}}}} | ||
|- | |- | ||
| {{b|{{#var:Name}}:}} || {{ic|gretun0|class=available}} || {{#var:Name-Schritt 1--desc}} | | {{b|{{#var:Name}}:}} || {{ic|gretun0|class=available}} || {{#var:Name-Schritt 1--desc}} | ||
| Zeile 59: | Zeile 59: | ||
|- | |- | ||
| {{b|{{#var:Entfernter Tunnelendpunkt}}:}} || {{ic|203.0.113.203|rechts|icon=/--- |iconw=x|class=available}} || {{#var:Entfernter Tunnelendpunkt-Schritt 2--desc}} | | {{b|{{#var:Entfernter Tunnelendpunkt}}:}} || {{ic|203.0.113.203|rechts|icon=/--- |iconw=x|class=available}} || {{#var:Entfernter Tunnelendpunkt-Schritt 2--desc}} | ||
| class="Bild" rowspan="2" | {{ Bild | {{#var:Schritt 2--Bild}} | {{#var:Entfernter Tunnelendpunkt}} |3=<i class="host utm">Zentrale</i>}} | | class="Bild" rowspan="2" | {{ Bild | 1={{#var:Schritt 2--Bild}} | 2={{#var:Entfernter Tunnelendpunkt}} |3=<i class="host utm">{{#var:Zentrale}}</i>}} | ||
|- class="Leerzeile" | |- class="Leerzeile" | ||
| | | | ||
| Zeile 67: | Zeile 67: | ||
|- | |- | ||
| {{b|{{#var:Zonen}}:}} || {{ic| {{cb| external |-}} {{cb| firewall-external |-}} <br/>{{cb| firewall-internal |-}} {{cb| dmz1 |-}} |cb}} || {{#var:Zonen-Schritt 3--desc}} | | {{b|{{#var:Zonen}}:}} || {{ic| {{cb| external |-}} {{cb| firewall-external |-}} <br/>{{cb| firewall-internal |-}} {{cb| dmz1 |-}} |cb}} || {{#var:Zonen-Schritt 3--desc}} | ||
| class="Bild" rowspan="5" | {{ Bild | {{#var:Schritt 3--Bild}} | {{#var:Zonen}} |3=<i class="host utm">Zentrale</i>}} | | class="Bild" rowspan="5" | {{ Bild | {{#var:Schritt 3--Bild}} | {{#var:Zonen}} |3=<i class="host utm">{{#var:Zentrale}}</i>}} | ||
|- | |- | ||
| {{b|{{#var:Neue Zone hinzufügen}}:}} || {{ButtonAn|{{#var:Ja}}}}<br>{{ic|gre|class=mw8}} || {{#var:Neue Zone hinzufügen-Schritt 3--desc}} | | {{b|{{#var:Neue Zone hinzufügen}}:}} || {{ButtonAn|{{#var:Ja}}}}<br>{{ic|gre|class=mw8}} || {{#var:Neue Zone hinzufügen-Schritt 3--desc}} | ||
| Zeile 85: | Zeile 85: | ||
|- | |- | ||
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}} | ! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}} | ||
| class="Bild" rowspan="7" | {{ Bild | {{#var:Routing--Bild}} | {{#var:Routing--cap}}||{{#var:Routing--cap}}|{{#var:Netzwerk}}|{{#var:Netzwerkkonfiguration}}|icon=fa-floppy-disk-circle-xmark|icon2=fa-close | | class="Bild" rowspan="7" | {{ Bild | 1={{#var:Routing--Bild}} | 2={{#var:Routing--cap}}|3=<i class="host utm">{{#var:Zentrale}}</i>|4={{#var:Routing--cap}}|5={{#var:Netzwerk}}|6={{#var:Netzwerkkonfiguration}}|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}} | ||
|- | |- | ||
| {{b|{{#var:Quellnetzwerk}}:}} || {{ic||rechts|icon=/24 |iconw=x|class=available}} || {{#var:Quellnetzwerk-Routing--desc}} | | {{b|{{#var:Quellnetzwerk}}:}} || {{ic||rechts|icon=/24 |iconw=x|class=available}} || {{#var:Quellnetzwerk-Routing--desc}} | ||
| Zeile 120: | Zeile 120: | ||
|} | |} | ||
</div> | </div> | ||
===={{#var:Dedizierte Firewallregel erstellen}}==== | ===={{#var:Dedizierte Firewallregel erstellen}}==== | ||
<div class="einrücken"> | <div class="einrücken"> | ||
| Zeile 126: | Zeile 125: | ||
{| class="sptable2 pd5 zh1" | {| class="sptable2 pd5 zh1" | ||
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}} | ! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}} | ||
| class="Bild" rowspan="7" | {{Bild| {{#var:Dedizierte Firewallregel erstellen--Bild}} | {{#var:Dedizierte Firewallregel erstellen--cap}}||{{#var:Netzwerkobjekt hinzufügen}}|Firewall|{{#var:Netzwerkobjekte}}|icon=fa-save|icon2=fa-floppy-disk-circle-xmark|icon3=fa-close | | class="Bild" rowspan="7" | {{Bild| 1={{#var:Dedizierte Firewallregel erstellen--Bild}} | 2={{#var:Dedizierte Firewallregel erstellen--cap}}|3=<i class="host utm">{{#var:Zentrale}}</i>|4={{#var:Netzwerkobjekt hinzufügen}}|5=Firewall|6={{#var:Netzwerkobjekte}}|icon=fa-save|icon2=fa-floppy-disk-circle-xmark|icon3=fa-close}} | ||
|- | |- | ||
| {{b|{{#var:Name}}:}} || {{ic|xsrv-GRE-mail-01|class=available}} || {{#var:Name-firewall--desc}} | | {{b|{{#var:Name}}:}} || {{ic|xsrv-GRE-mail-01|class=available}} || {{#var:Name-firewall--desc}} | ||
| Zeile 169: | Zeile 168: | ||
|- | |- | ||
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}} | ! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}} | ||
| class="Bild" rowspan="5" | {{ Bild | {{#var:Konfiguration der Gegenstelle - Schritt 1--Bild}} | {{#var:Name und lokale IP-Adressen}} ||{{#var:Schnittstelle hinzufügen}}|{{#var:Netzwerk}}|{{#var:Netzwerkkonfiguration}} | | class="Bild" rowspan="5" | {{ Bild | 1={{#var:Konfiguration der Gegenstelle - Schritt 1--Bild}} | 2={{#var:Name und lokale IP-Adressen}} |3=<i class="host utm">{{#var:Gegenstelle}}</i>|4={{#var:Schnittstelle hinzufügen}}|5={{#var:Netzwerk}}|6={{#var:Netzwerkkonfiguration}}}} | ||
|- | |- | ||
| {{b|{{#var:Name}}:}} || {{ic|gretun0|class=available}} || {{#var:Name-Schritt 1--desc}} | | {{b|{{#var:Name}}:}} || {{ic|gretun0|class=available}} || {{#var:Name-Schritt 1--desc}} | ||
| Zeile 183: | Zeile 182: | ||
|- | |- | ||
| {{b|{{#var:Entfernter Tunnelendpunkt}}:}} || {{ic|203.0.113.204|rechts|icon=/--- |iconw=x|class=available}} || {{#var:KdG-Entfernter Tunnelpunkt--desc}} | | {{b|{{#var:Entfernter Tunnelendpunkt}}:}} || {{ic|203.0.113.204|rechts|icon=/--- |iconw=x|class=available}} || {{#var:KdG-Entfernter Tunnelpunkt--desc}} | ||
| class="Bild" rowspan="2" | {{Bild|{{#var:KdG-Entfernter Tunnelpunkt--Bild}} |{{#var:Entfernter Tunnelendpunkt}}|3=<i class="host utm"> | | class="Bild" rowspan="2" | {{Bild|{{#var:KdG-Entfernter Tunnelpunkt--Bild}} |{{#var:Entfernter Tunnelendpunkt}}|3=<i class="host utm">{{#var:Gegenstelle}}</i>}} | ||
|- class="Leerzeile" | |- class="Leerzeile" | ||
| | | | ||
| Zeile 191: | Zeile 190: | ||
|- | |- | ||
| {{b|{{#var:Zonen}}:}} || {{ic| {{cb| external |-}} {{cb| firewall-external |-}} <br/>{{cb| firewall-internal |-}} {{cb| dmz1 |-}} |cb}} || {{#var:Zonen-Schritt 3--desc}} | | {{b|{{#var:Zonen}}:}} || {{ic| {{cb| external |-}} {{cb| firewall-external |-}} <br/>{{cb| firewall-internal |-}} {{cb| dmz1 |-}} |cb}} || {{#var:Zonen-Schritt 3--desc}} | ||
| class="Bild" rowspan="5" | {{Bild|{{#var:Schritt 3--Bild}} |{{#var:Zonen}}|3=<i class="host utm"> | | class="Bild" rowspan="5" | {{Bild|{{#var:Schritt 3--Bild}} |{{#var:Zonen}}|3=<i class="host utm">{{#var:Gegenstelle}}</i>}} | ||
|- | |- | ||
| {{b|{{#var:Neue Zone hinzufügen}}:}} || {{ButtonAn|{{#var:Ja}} }}<br> {{ic|gre|class=mw10}} || {{#var:Neue Zone hinzufügen-Schritt 3--desc}} | | {{b|{{#var:Neue Zone hinzufügen}}:}} || {{ButtonAn|{{#var:Ja}} }}<br> {{ic|gre|class=mw10}} || {{#var:Neue Zone hinzufügen-Schritt 3--desc}} | ||
| Zeile 205: | Zeile 204: | ||
{| class="sptable2 pd5 zh1 Einrücken noborder" | {| class="sptable2 pd5 zh1 Einrücken noborder" | ||
| colspan="3" | {{#var:Regel hinzufügen--desc}} | | colspan="3" | {{#var:Regel hinzufügen--desc}} | ||
| class="Bild" rowspan="2" | {{Bild| {{#var:Regel hinzufügen--Bild}}|{{#var:Regel hinzufügen--cap}}||{{#var:Regel hinzufügen}}|Firewall|{{#var:Paketfilter}}|icon=fa-save|icon2=fa-floppy-disk-circle-xmark|icon3=fa-close | | class="Bild" rowspan="2" | {{Bild| 1={{#var:Regel hinzufügen--Bild}}|2={{#var:Regel hinzufügen--cap}}|3=<i class="host utm">{{#var:Gegenstelle}}</i>|4={{#var:Regel hinzufügen}}|5=Firewall|6={{#var:Paketfilter}}|icon=fa-save|icon2=fa-floppy-disk-circle-xmark|icon3=fa-close}} | ||
|- class="Leerzeile" | |- class="Leerzeile" | ||
| | | | ||
|} | |} | ||
</div> | </div> | ||
Aktuelle Version vom 31. Januar 2024, 11:27 Uhr
Generic Routing Encapsulation anlegen
Letzte Anpassung zur Version: 12.6.0
Neu:
- Funktion: Zugehörige Netzwerkobjekte aktualisieren
- Design Aktualisierung
Einleitung
Über das GRE (=Generic Routing Encapsulation) Protokoll, lassen sich andere Protokolle einkapseln und über Tunnel transportieren. Dabei ist zu beachten, dass die Pakete nicht verschlüsselt werden.
Mögliche Verwendung des GRE Protokolls:
- Bei PPTP VPN
GRE - Tunnel anlegen
In diesem Beispiel hat die Firewall "Zentrale" auf LAN1 die IP-Adresse 203.0.113.204/24 und die Gegenstelle "Standort-01" die IP-Adresse 203.0.113.203/24 auf LAN1.
Die lokalen Subnetze sind bei "Zentrale" 10.0.0.0/24 sowie 10.1.0.0/24 bei "Standort-01".
Um diese Verbindung aufzubauen, wird noch ein Transfer-Netzwerk benötigt, welches in diesem Beispiel 10.250.0.0/24 lautet.
GRE - Interface anlegen | |||
| |||
Schritt 1 - Name + lokale IP-Adressen | |||
| Beschriftung | Wert | Beschreibung | UTMbenutzer@firewall.name.fqdnNetzwerkNetzwerkkonfiguration  Zentrale
|
|---|---|---|---|
| Name: | gretun0 | Hier kann der gewünschte Name für den GRE-Tunnel eingetragen werden | |
| Lokale IP-Adresse: | Lokale IP des Transfernetzes, das hiermit festgelegt wird | ||
| Lokaler Tunnelendpunkt: | 203.0.113.204 | Öffentliche IP-Adresse des lokalen Tunnelendpunktes | |
Schritt 2 - Entfernter Tunnelendpunkt | |||
| Entfernter Tunnelendpunkt: | Öffentliche IP-Adresse des entfernten Tunnelendpunktes |  Zentrale Entfernter Tunnelendpunkt
| |
Schritt 3 - Zonen | |||
| Zonen: | external firewall-external firewall-internal dmz1 |
Hier können die gewünschten Zonen ausgewählt werden |  Zentrale Zonen
|
| Neue Zone hinzufügen: | Ja gre |
Bei Bedarf kann hier eine neue Zone erstellt werden | |
| Regeln generieren: | Nein | Autogenerierte Regeln, die ggf. ersetzt werden müssen | |
| Zugehörige Netzwerkobjekte aktualisieren: notempty neu ab v12.6.0 |
Ein | Wurde eine bereits existierende Zone ausgewählt, werden alle Netzwerkobjekte, die bereits in dieser Zone liegen und eine Schnittstelle als Ziel haben auf die neue Schnittstelle umgezogen. | |
Routing | |||
| |||
| Beschriftung | Wert | Beschreibung | UTMbenutzer@firewall.name.fqdnNetzwerkNetzwerkkonfiguration  Zentrale Route hinzufügen
|
| Quellnetzwerk: | Die Angabe ist optional | ||
| Gateway Typ: | Auf Schnittstelle stellen, um eine Schnittstelle auswählen zu können. | ||
| Gateway | gretun0 | Die gewünschte Schnittstelle wählen. | |
| Zielnetzwerk: | 10.1.0.0/24 | Zielnetzwerk ist das entfernte Netz der Gegenstelle | |
| Gewichtung | 0 |
Hier kann eine höhere Gewichtung eingetragen werden | |
Paketfilter
Firewallregel erstellen
Die einfache Variante, die Netze miteinander zu verbinden, ist unter Verwendung der Netzwerkobjekte der gesamten Netze und dem Dienst any.
Sicherheit und Kontrolle erhält man jedoch immer nur dann, wenn man dediziert arbeitet.
Deshalb sollten die Dienste der Paketfilter der Anwendung entsprechend angepasst werden. Im Testszenario lässt sich default-internet verwenden, dann sehen die zwei Paketfilter wie folgt aus:
| # | Quelle | Ziel | Dienst | NAT | Aktion | Aktiv | ||
 |
 internal-network |
gre-network |
 default-internet |
ACCEPT | Ein | |||
|
gre-network |
internal-network |
default-internet |
ACCEPT | Ein | |||
Dedizierte Firewallregel erstellen
Natürlich ist es auch hier ratsam dediziert zu arbeiten, d.h. für jede benötigte Verbindung einzelne Netzwerkobjekte anzulegen und ausschließlich die benötigten Dienste in der Portfilterregel freizuschalten.
In diesem Beispiel soll aus dem Netz "Zentrale" per "smtp" der Mailserver in "Standort-01" erreicht werden. Zusätzlich sollen Clients aus dem Netz der "Standort-01" per RDP auf den Terminalserver der "Zentrale" zugreifen.
- Unter Bereich Netzwerkobjekte öffnen
- Ein neues Objekt hinzufügen:
| Beschriftung | Wert | Beschreibung | UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte  Zentrale Netzwerkobjekt hinzufügen
|
|---|---|---|---|
| Name: | xsrv-GRE-mail-01 | Hier kann der jeweilige gewünschte Name für das Netzwerkobjekt gewählt werden. | |
| Typ: | Den jeweiligen Typen auswählen | ||
| Adresse: | Hier wird die IP-Adresse eingetragen | ||
| Zone: | Hier wurde die zuvor erstellte Zone "gre" ausgewählt | ||
| Gruppen: | Es können zusätzlich Gruppen ausgewählt werden | ||
Anschließend müssen folgende Paketfilterregeln unter Schaltfläche hinzugefügt werden:
| # | Quelle | Ziel | Dienst | NAT | Aktion | Aktiv | ||
|
internal-network |
 xsrv-GRE-mail-01 |
 smtp |
ACCEPT | Ein | |||
|
gre-network |
srv-lg-rdp-01 |
ms-rdp |
ACCEPT | Ein | |||
Konfiguration der Gegenstelle
Auf der entfernten UTM müssen die Einstellungen umgekehrt vorgenommen werden.
Schnittstelle hinzufügen
Schritt 1 - Name + lokale IP-Adressen | |||
| Beschriftung | Wert | Beschreibung | UTMbenutzer@firewall.name.fqdnNetzwerkNetzwerkkonfiguration  Gegenstelle
|
|---|---|---|---|
| Name: | gretun0 | Hier kann der gewünschte Name für den GRE-Tunnel eingetragen werden | |
| Lokale IP-Adresse: | Lokale IP des Transfernetzes, das hiermit festgelegt wird | ||
| Lokaler Tunnelendpunkt: | 203.0.113.203 | Öffentliche IP-Adresse des lokalen Tunnelendpunktes | |
Schritt 2 - Entfernter Tunnelendpunkt | |||
| Entfernter Tunnelendpunkt: | Was in der "Zentrale" lokal (local) ist, ist im "Standort-01" entfernt (remote). |  Gegenstelle Entfernter Tunnelendpunkt
| |
Schritt 3 - Zonen | |||
| Zonen: | external firewall-external firewall-internal dmz1 |
Hier können die gewünschten Zonen ausgewählt werden | Gegenstelle Zonen
|
| Neue Zone hinzufügen: | Ja gre |
Bei Bedarf kann hier eine neue Zone erstellt werden | |
| Regeln generieren: | Nein | Autogenerierte Regeln, die ggf. ersetzt werden müssen | |
| Zugehörige Netzwerkobjekte aktualisieren: notempty neu ab v12.6.0 |
Ein | Wurde eine bereits existierende Zone ausgewählt, werden alle Netzwerkobjekte, die bereits in dieser Zone liegen und eine Schnittstelle als Ziel haben auf die neue Schnittstelle umgezogen. | |
Paketfilterregeln
| Für eingehende und ausgehende Paketfilterregeln müssen entsprechend benötigte Dienste angelegt werden. Regeln, die in "Zentrale" ausgehend gestaltet wurden, müssen an "Standort-01" eingehend erstellt werden. |
UTMbenutzer@firewall.name.fqdnFirewallPaketfilter  Gegenstelle Konfiguration der Gegenstelle - Regel hinzufügen
| ||