UTM/VPN/Netmap: Unterschied zwischen den Versionen

← Zum vorherigen Versionsunterschied

Aktuelle Version vom 28. Februar 2025, 11:48 Uhr

Verbinden von VPN-Netzen mit den gleichen Broadcast-Domains (IP-Bereiche)

Letzte Anpassung zur Version: 12.6.0

Neu:

Aktualisierung zum Redesign des Webinterfaces

notempty

Dieser Artikel bezieht sich auf eine Beta-Version

12.3.6 11.8.7 11.7

Einleitung

Sollten auf beiden Seiten einer VPN Verbindung die gleichen Subnetze eingesetzt werden, ist es normalerweise nicht möglich diese Verbindung einzurichten.
Weiterhin kann es passieren, dass hinter verschiedenen Gegenstellen die gleichen Netzwerke eingerichtet sind.
Mit dem NAT-Typ NETMAP und Hilfsnetzwerken (Mapnetz), die auf keinen der zu verbindenden Gegenstellen eingerichtet sind, können diese Verbindungen trotzdem erstellt werden, ohne auf eine der Seiten das Subnetz komplett zu ändern.

Ein NETMAP ist immer nur eine Hilfslösung, falls sich keines der beteiligten Netze mit vertretbarem Aufwand auf eine anderes Netz umstellen lässt.

Es sollte vermieden werden, in der Zentrale für mehr als eine Gegenstelle NETMAP-Konfigurationen zu nutzen.

NATen von kompletten Subnetzen mit NETMAP

Firewall Netzwerkobjekte öffnen.

Vorbereitungen

Netzwerkobjekt bearbeiten UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte Netzwerkobjekt auf Adresse umstellen Zentrale & Filiale

notempty

Zur Nutzung der NETMAP Funktion sind folgende Bedingungen zu beachten:

Die Subnetze der am NETMAP beteiligten Objekte müssen alle die gleiche Größe haben, zum Beispiel alle /24.

notempty

Alle beteiligten Objekte müssen eine definierte Netzwerk IP-Adresse eingetragen haben.

Es dürfen keine Schnittstellen für die Festlegung des Netzwerkobjektes ausgewählt werden.
Das Netzwerkobjekt des internen Netzwerkes muss überprüft und gegebenenfalls als Ziel: die Netz-IP des internen Netzes, das gemappt werden soll, eingetragen werden.
In diesem Beispiel wird auf beiden Seiten das Netzwerk 172.16.3.0/24 verwendet.

Ausgangslage:

Zentrale und Filiale haben das gleiche Subnetz

In diesem Fall muss das Mapping auf beiden Seiten der Verbindung eingerichtet werden.

	Lokales Netz	Öffentliche IP	Netmap
Zentrale:	172.16.3.0/24	192.0.2.192	10.0.1.0/24
Filiale:	172.16.3.0/24	192.0.2.193	10.0.2.0/24

Wird eine lokale Netz-IP für die Filiale vorgegeben, mit der sich diese in den Tunnel zur Zentrale verbinden soll, muss diese als Netmap-IP verwendet werden.

Die Verbindung soll über IPSec hergestellt werden.

VPN-Verbindung anlegen

Zentrale Zentrale
Anlegen einer IPSec-Site-to-Site VPN-Verbindung, wie im Wiki beschrieben im Menü VPN IPSec mit der Schaltfläche IPSec-Verbindung hinzufügen. In Schritt 3 muss das lokale Mapnetz der Zentrale freigegeben werden. Hier »10.0.1.0/24	IPSec Verbindung hinzufügen UTMbenutzer@firewall.name.fqdnVPNIPSec Zentrale Schritt 3 mit lokalem Mapnetz der Zentrale

In Schritt 4 wird die öffentliche IP der Filiale als Remote Gateway: benötigt und das remote Mapnetz der Filiale als freigegebenes Netzwerk. Hier »10.0.2.0/24 (ggf. durch vorgegebene Netz-IP für die Filiale ersetzen)	IPSec Verbindung hinzufügen UTMbenutzer@firewall.name.fqdnVPNIPSec Zentrale Schritt 4 mit remote Mapnetz der Filiale

Filiale Filiale
Anlegen einer IPSec-Site-to-Site VPN-Verbindung, wie im Wiki beschrieben im Menü VPN IPSec mit der Schaltfläche IPSec-Verbindung hinzufügen. In Schritt 3 muss das lokale Mapnetz der Filiale freigegeben werden. Hier »10.0.2.0/24 (ggf. durch vorgegebene Netz-IP für die Filiale ersetzen)	IPSec Verbindung hinzufügen UTMbenutzer@firewall.name.fqdnVPNIPSec Filiale Erreichbarkeit von Hosts der Gegenstelle

In Schritt 4 wird die öffentliche IP der Zentrale als Remote Gateway: benötigt und das remote Mapnetz der Zentrale als freigegebenes Netzwerk. Hier »10.0.1.0/24	IPSec Verbindung hinzufügen UTMbenutzer@firewall.name.fqdnVPNIPSec Filiale Schritt 4 mit remote Mapnetz der Zentrale

Netzwerkobjekte für Transfernetz erstellen

Es müssen in der Zentrale zwei Netzwerkobjekte mit Netzwerken erstellt werden, die weder in der Zentrale noch in der Filiale eingerichtet sind. Firewall Paketfilter Bereich Netzwerkobjekte Schaltfläche Objekt hinzufügen
Zentrale Zentrale
* Das Netzwerkobjekt für das (entfernte) Mapnetz der Filiale muss vom Typ Netzwerk (Adresse) sein. Bei IPSec-Verbindungen, muss sich das Netzwerkobjekt für das Transfernetz in der Zone external befinden Beim Anlegen einer SSL-VPN-Verbindung wird eine Zone VPN-SSL-Verbindungsname angelegt. Das Netzwerkobjekt muss dann mit dieser Zone angelegt werden.	Netzwerkobjekt hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte Zentrale Netzwerkobjekt in der Zentrale für das Filial-Netz (Mapnetz Remote)

Das Netzwerkobjekt für das (eigene) Mapnetz der Zentrale muss sich in der Zone des internen Netzwerkes befinden und bekommt in unserem Beispiel die Netzwerkadresse 10.0.1.0/24	Netzwerkobjekt hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte Zentrale Netzwerkobjekt in der Zentrale für das eigene Netz (Mapnetz Lokal)

Filiale Filiale
Auf der Seite der Filiale werden ebenfalls zwei Netzwerkobjekte erstellt. Dort ist das Netzwerk 10.0.1.0/24, das Mapnetz der Zentrale, das sich in der Zone external befindet	Netzwerkobjekt hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte Filiale Netzwerkobjekt in der Filiale für das eigene Netz

und das Netzwerk 10.0.2.0/24, das Mapnetz der Filiale, das mit der Zone des internen Netzwerkes internal angelegt wird.	Netzwerkobjekt hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte Filiale Netzwerkobjekt in der Filiale für das Netz der Zentrale

NETMAP Regel anlegen

Auf der Seite der Zentrale für eingehendes Mapping
Es müssen auf jeder Seite zwei Paketfilterregeln erstellt werden, die das Mapping ausgehend sowie ausgehend durchführen.
Zentrale Zentrale
Auf der Seite der Zentrale für ausgehendes Mapping			Regel hinzufügen UTMbenutzer@firewall.name.fqdnFirewallPaketfilter Zentrale NETMAP Paketfilterregel Das Mapnetz kann als Netzwerkobjekt nicht ausgewählt werden, wenn es noch mit einer Schnittstelle anstatt mit einer IP-Adresse verknüpft ist.
Quelle:	internal network
Ziel:	netmap_remotenet_Filiale1	Mapnetz der Filiale
Dienst:	any	Ausnahmsweise ist hier eine any-Regel sinnvoll
Aktion:	ACCEPT
[ – ] NAT
Typ:	NETMAP
Netzwerkobjekt:	netmap_localnet	Mapnetz der Zentrale
Dienst:	any	Ausnahmsweise ist hier eine any-Regel sinnvoll

Quelle:	netmap_remotenet_Filiale1	Mapnetz der Filiale
Ziel:	internal network
Dienst:	any	Ausnahmsweise ist hier eine any-Regel sinnvoll
Aktion	ACCEPT
[ + ] NAT	notempty Hierfür wird kein NAT vom Typ NETMAP mehr benötigt

Filiale Filiale
Auf der Seite der Filiale für ausgehendes Mapping			Regel hinzufügen UTMbenutzer@firewall.name.fqdnFirewallPaketfilter Filiale NETMAP Paketfilterregel Das Mapnetz kann als Netzwerkobjekt nicht ausgewählt werden, wenn es noch mit einer Schnittstelle anstatt mit einer IP-Adresse verknüpft ist.
Quelle	internal network
Ziel:	netmap_remotenet_Zentrale	Mapnetz der Zentrale
Dienst:	any	Ausnahmsweise ist hier eine any-Regel sinnvoll
Aktion:	ACCEPT
[ – ] NAT
Typ	NETMAP
Netzwerkobjekt	netmap_localnet	Mapnetz der Filiale
Dienst:	any	Ausnahmsweise ist hier eine any-Regel sinnvoll

Auf der Seite der Filiale für eingehendes Mapping
Quelle	netmap_remotenet_Zentrale	Mapnetz der Zentrale
Ziel:	internal network
Dienst:	any	Ausnahmsweise ist hier eine any-Regel sinnvoll
Aktion:	ACCEPT
[ + ] NAT	notempty Hierfür wird kein NAT vom Typ NETMAP mehr benötigt

Paketfilterregeln

Zusätzlich zu den Netmap-Regeln werden weitere Regeln benötigt, die den Datenverkehr zwischen dem jeweiligen lokalen Netz und dem jeweiligen Remotenetz zulassen.
Zwei Möglichkeiten stehen zur Verfügung:

Implizite Regeln

Implizite Regeln UTMbenutzer@firewall.name.fqdnFirewall IPSec-Abschnitt in den implizierten Regeln Zentrale & jede Filiale

Menü → Gruppe IpsecTraffic → Regel Accept Ein

In diesem Falle werden Regeln im Hintergrund angelegt, die alle Dienste für alle Rechner auf beiden Seiten zulassen. (Default)

Dedizierte Paketfilter Regeln

notempty

Erreichbarkeit von Hosts der Gegenstelle

Ein Rechner mit der IP-Adresse 172.16.3.10 in der Filiale wird von der Zentrale aus mit der IP-Adresse 10.0.2.10 angesprochen. (Erforderliche Regel wird im Beispiel nicht gezeigt!)
Ein Rechner mit der IP-Adresse 172.16.3.120 in der Zentrale wird von der Filiale aus mit der IP-Adresse 10.0.1.120 angesprochen.

Mehrere Filialen haben das gleiche Subnetz

	Lokales Netz	Öffentliche IP	Netmap
	172.16.0.0/24	192.0.2.192	nicht erforderlich
Filiale 1:	172.16.3.0/24	192.0.2.193	nicht erforderlich
Filiale 2:	172.16.3.0/24	192.0.2.194	10.0.1.0/24

Hierbei wird das Mapping nur auf den Filialen eingerichtet, die das gleiche Netzwerk nutzen wie auf einer schon eingerichteten VPN-Verbindung. In der Zentrale wird kein Mapping benötigt, sofern sich das interne Netz der Zentrale von denen der Filialen unterscheidet. Ebenfalls kann in einer Filiale das vorhandene Netz ohne Mapping verwendet werden.

Es sollte vermieden werden, in der Zentrale für mehr als eine Gegenstelle NETMAP-Konfigurationen zu nutzen.

VPN-Verbindung anlegen

Anlegen einer IPSec-Site-to-Site VPN-Verbindung, wie im Wiki beschrieben im Menü VPN IPSec mit der Schaltfläche IPSec-Verbindung hinzufügen.
Filiale 1 nicht abgebildet Filiale1 behält ihr ursprüngliches lokales Netz bei: In Schritt 3 muss das lokale Netz (ohne mapping) freigegeben werden. Im Beispiel:	IPSec Verbindung hinzufügen UTMbenutzer@firewall.name.fqdnVPNIPSec Schritt 3 in Filiale 2 mit lokalem Mapnetz IPSec Verbindung hinzufügen UTMbenutzer@firewall.name.fqdnVPNIPSec Schritt 4 mit Remotenetz
Filiale 2 (und ggf. weitere Filialen) In Schritt 3 muss das lokale Mapnetz freigegeben werden. Im Beispiel: »10.0.1.0/24
jede Filiale in Schritt 4 wird das direkte Remote-Netz der Zentrale (ohne mapping) freigegeben. Im Beispiel: »172.16.0.0/24
Zentrale Es wird für jede Filiale eine Verbindung benötigt. In Schritt 3 muss das lokale Netz freigegeben werden. Im Beispiel: »172.16.0.0/24 In Schritt 4 wird das gemappte Remote-Netz der entsprechenden Filiale freigegeben. Im Beispiel: »10.0.1.0/24

Netzwerkobjekte erstellen

In der Filiale 2 (und in jeder weiteren Filiale, die ein auch an anderer Stelle genutztes lokales Netz verwendet) wird ein Netzwerkobjekt für die Zentrale in der Zone external benötigt, mit dem das Mapping durchgeführt werden kann. Hier kann direkt das genutze lokale Netz der Zentrale verwendet werden. Im Beispiel 172.16.0.0/24	Netzwerkobjekt hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte Netzwerkobjekt in der Filiale 2 für das Netz der Zentrale Netzwerkobjekt hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte Netzwerkobjekt in der Filiale 2 für das eigene Mapnetz (Lokal). So wird die Filiale 2 für die Zentrale gemappt.
Zusätzlich wird ein zweites Netzwerkobjekt für das lokale Netz der jeweiligen Filiale erstellt, das gemappt wird. Das Netzwerkobjekt für das Mapnetz in der Filiale muss sich in der Zone des internen Netzwerkes befinden internal und bekommt im Beispiel die Netz-IP 10.0.1.0/24. (Weitere Filialen erhalten an dieser Stelle ein anderes Mapnet!)
Das Mapnet darf weder in der Filiale, noch in der Zentrale, noch auf einer der anderen Filialen die per VPN Verbindungen an die Zentrale angebunden sind, genutzt werden.

NETMAP Regel anlegen

Paketfilterregeln in der **Filiale 2**
Auf der Seite der Filiale 2 für ausgehendes Mapping			Regel hinzufügen UTMbenutzer@firewall.name.fqdnFirewallPaketfilter Filiale 2 NETMAP Paketfilterregel
Quelle	internal network
Ziel:	netmap_remotenet_Zentrale
Dienst:	any	Ausnahmsweise ist hier eine any-Regel sinnvoll
Aktion	ACCEPT
[ – ] NAT
Typ	NETMAP
Netzwerkobjekt	netmap_localnet_Filiale2
Dienst:	any	Ausnahmsweise ist hier eine any-Regel sinnvoll

Paketfilterregeln

Zusätzlich zu den Netmap-Regeln werden weitere Regeln benötigt, die den Datenverkehr zwischen dem jeweiligen lokalen Netz und dem jeweiligen Remotenetz zulassen.

Zwei Möglichkeiten stehen zur Verfügung:

Implizite Regeln

Implizite Regeln UTMbenutzer@firewall.name.fqdnFirewall IPSec-Abschnitt in den implizierten Regeln Zentrale & jede Filiale

Menü → Gruppe IpsecTraffic → Regel Accept Ein

In diesem Falle werden Regeln im Hintergrund angelegt, die alle Dienste für alle Rechner auf beiden Seiten zulassen. (Default)

Dedizierte Paketfilter Regeln

notempty

Erreichbarkeit von Hosts der Gegenstelle

Ein Rechner mit der IP-Adresse 172.16.3.10 in der Filiale 1 wird von der Zentrale aus mit eben dieser IP-Adresse (172.1.6.3.10) angesprochen.
Ein Rechner mit der IP-Adresse 172.16.3.10 in der Filiale 2 wird von der Zentrale aus mit der gemappten IP-Adresse 10.0.1.10 angesprochen.
Einen Rechner mit der IP-Adresse 172.16.0.120 in der Zentrale wird von der Filiale aus mit der IP-Adresse 172.16.0.120 angesprochen.

@@ Zeile 48: / Zeile 48: @@
 <li class="list--element__alert list--element__hint">{{#var:Überprüfung des Netzwerkobjektes IPSec}}</li>
 </div></div>
-<br clear=All>
+<br clear=all></div>
-</div>
 -->
 ----
@@ Zeile 59: / Zeile 58: @@
 {{#var:19}}
-{| class="sptable0 pd5"
+{| class="sptable0 pd5 z1 Einrücken"
 |-
 | || {{#var:Lokales Netz}} || {{#var:Öffentliche IP}} || Netmap
@@ Zeile 67: / Zeile 66: @@
 | {{#var:Filiale}}: || 172.16.3.0/24 || 192.0.2.193 || 10.0.2.0/24 <sup>{{Hinweis-box||g}}</sup>
 |}
-<p><li class="list--element__alert list--element__hint">{{#var:Ausganglage Vorgegebenes Netz}}</li></p>
-<br>
+<li class="list--element__alert list--element__hint">{{#var:Ausganglage Vorgegebenes Netz}}</li>
 '''{{#var:Die Verbindung soll über IPSec hergestellt werden}}'''
 </div><br clear=All>
@@ Zeile 75: / Zeile 75: @@
 ==== {{#var:VPN-Verbindung anlegen}} ====
 {| class="sptable2 pd5 zh1 Einrücken noborder"
 |-
@@ Zeile 81: / Zeile 82: @@
 | {{#var:65}}
 <li class="list--element__alert list--element__hint">{{#var:Lokales Mapnetz Zentrale}}</li>
-| class=Bild rowspan="2" | {{Bild|{{#var:Zentrale Schritt 3--Bild}} | {{spc|utm|s|'''{{#var:Zentrale}}''' |c=grün}} {{#var:64}}||{{#var:IPSec Verbindung hinzufügen}}|VPN|IPSec}}
+| class="Bild" rowspan="2" | {{Bild| {{#var:Zentrale Schritt 3--Bild}} |{{spc|utm|s|'''{{#var:Zentrale}}''' |c=grün}} {{#var:64}}||{{#var:IPSec Verbindung hinzufügen}}|VPN|IPSec}}
 <!--
 {{Gallery3
@@ Zeile 92: / Zeile 93: @@
 |-
 | <li class="list--element__alert list--element__hint">{{#var:Remote Netz Zentrale}} <small>({{#var:Vorgegebenes Netz}})</small></li>
-| class=Bild rowspan=2 | {{Bild| {{#var:Zentrale Schritt 4--Bild}}|{{spc|utm|s|'''{{#var:Zentrale}}''' |c=grün}} {{#var:62}}||{{#var:IPSec Verbindung hinzufügen}}|VPN|IPSec}}
+| class="Bild" rowspan="2" | {{Bild| {{#var:Zentrale Schritt 4--Bild}} |{{spc|utm|s|'''{{#var:Zentrale}}''' |c=grün}} {{#var:62}}||{{#var:IPSec Verbindung hinzufügen}}|VPN|IPSec}}
 |- class="Leerzeile"
 |
 |- class="Leerzeile"
-| {{h5|{{#var:Filiale}}|{{spc|utm|s|'''{{#var:Filiale}}''' |c=grün }} }}
+| {{h5|{{#var:Filiale}}|{{spc|utm|s|'''{{#var:Filiale}}''' |c=grün}} }}
 |-
 | {{#var:65}}
 <li class="list--element__alert list--element__hint">{{#var:Lokales Mapnetz Filiale}} <small>({{#var:Vorgegebenes Netz}})</small></li>
-| class="Bild" rowspan="2" | {{Bild| {{#var:70}}|{{spc|utm|s|'''{{#var:Filiale}}''' |c=grün}} {{#var:71}}||{{#var:IPSec Verbindung hinzufügen}}|VPN|IPSec}}
+| class="Bild" rowspan="2" | {{Bild| {{#var:70}} |{{spc|utm|s|'''{{#var:Filiale}}''' |c=grün}} {{#var:71}}||{{#var:IPSec Verbindung hinzufügen}}|VPN|IPSec}}
 |- class="Leerzeile"
 |
 |-
 | <li class="list--element__alert list--element__hint">{{#var:Remote Netz Filiale}}</li>
-| class=Bild rowspan=2 | {{Bild| {{#var:68}}|{{spc|utm|s|'''{{#var:Filiale}}''' |c=grün}} {{#var:69}}||{{#var:IPSec Verbindung hinzufügen}}|VPN|IPSec}}
+| class="Bild" rowspan="2" | {{Bild| {{#var:68}} |{{spc|utm|s|'''{{#var:Filiale}}''' |c=grün}} {{#var:69}}||{{#var:IPSec Verbindung hinzufügen}}|VPN|IPSec}}
 |- class="Leerzeile"
 |
@@ Zeile 113: / Zeile 114: @@
 ==== {{#var:Netzwerkobjekte für Transfernetz erstellen}} ====
 {| class="sptable2 pd5 zh1 Einrücken noborder"
 | {{#var:30}}<br>
@@ Zeile 127: / Zeile 129: @@
 |-
 | {{#var:36}}
-| class=Bild rowspan=2 | {{Bild|{{#var:Zentrale localnet--Bild}}|{{spc|utm|s|'''{{#var:Zentrale}}'''|c=grün}} {{#var:28}}||{{#var:Netzwerkobjekt hinzufügen}}|Firewall|{{#var:Netzwerkobjekte}}|icon=fa-save|icon2=fa-floppy-disk-circle-xmark|icon3=fa-close}}
+| class="Bild" rowspan="2" | {{Bild|{{#var:Zentrale localnet--Bild}}|{{spc|utm|s|'''{{#var:Zentrale}}'''|c=grün}} {{#var:28}}||{{#var:Netzwerkobjekt hinzufügen}}|Firewall|{{#var:Netzwerkobjekte}}|icon=fa-save|icon2=fa-floppy-disk-circle-xmark|icon3=fa-close}}
 |- class="Leerzeile"
 |
@@ Zeile 133: / Zeile 135: @@
 | {{h5|{{#var:Filiale}}|{{spc|utm|s|'''{{#var:Filiale}}'''|c=grün}} }}
 |-
-| {{#var:41}}<br>{{#var:42}}
+| {{#var:41}}<br> {{#var:42}}
-| class=Bild rowspan=2 | {{Bild|{{#var:Remotenet Zentrale--Bild}}|{{spc|utm|s|'''{{#var:Filiale}}'''|c=grün}} {{#var:38}}||{{#var:Netzwerkobjekt hinzufügen}}|Firewall|{{#var:Netzwerkobjekte}}|icon=fa-save|icon2=fa-floppy-disk-circle-xmark|icon3=fa-close}}
+| class="Bild" rowspan="2" | {{Bild|{{#var:Remotenet Zentrale--Bild}}|{{spc|utm|s|'''{{#var:Filiale}}'''|c=grün}} {{#var:38}}||{{#var:Netzwerkobjekt hinzufügen}}|Firewall|{{#var:Netzwerkobjekte}}|icon=fa-save|icon2=fa-floppy-disk-circle-xmark|icon3=fa-close}}
 |- class="Leerzeile"
 |
 |-
 | {{#var:42b}}
-| class=Bild rowspan=2 | {{Bild|{{#var:Filiale localnet--Bild}}|{{spc|utm|s|'''{{#var:Filiale}}'''|c=grün}} {{#var:40}}||{{#var:Netzwerkobjekt hinzufügen}}|Firewall|{{#var:Netzwerkobjekte}}|icon=fa-save|icon2=fa-floppy-disk-circle-xmark|icon3=fa-close}}
+| class="Bild" rowspan="2" | {{Bild|{{#var:Filiale localnet--Bild}}|{{spc|utm|s|'''{{#var:Filiale}}'''|c=grün}} {{#var:40}}||{{#var:Netzwerkobjekt hinzufügen}}|Firewall|{{#var:Netzwerkobjekte}}|icon=fa-save|icon2=fa-floppy-disk-circle-xmark|icon3=fa-close}}
 |- class="Leerzeile"
 |
@@ Zeile 147: / Zeile 149: @@
 ==== {{#var:NETMAP Regel anlegen}} ====
-<div class="Einrücken">
-<br>
 {| class="sptable2 pd5 zh1 Einrücken"
-| class=noborder colspan=3 | {{#var:46}}
+|- class="noborder"
+| colspan="3" | {{#var:46}}
+|- class="noborder"
+| colspan="3" | {{h5|{{#var:Zentrale}}|{{spc|utm|s|'''{{#var:Zentrale}}'''|c=grün}} }}
 |-
-| class=noborder colspan=3 | {{h5|{{#var:Zentrale}}|{{spc|utm|s|'''{{#var:Zentrale}}'''|c=grün}} }}
+!! colspan="3" | {{#var:47}} {{spc|utm|s|'''{{#var:Zentrale}}''' |c=grün}} {{#var:Mapping ausgehend}}
-|-
+| class="Bild" rowspan="17" | {{Bild| {{#var:Paketfilterregel Zentrale--Bild}} |{{spc|utm|s|'''{{#var:Zentrale}}'''|c=grün}} {{#var:45}}||{{#var:Regel hinzufügen}}|Firewall|{{#var:Paketfilter}}|icon=fa-save|icon2=fa-floppy-disk-circle-xmark|icon3=fa-close}}
-!! colspan=3 | {{#var:47}} {{spc|utm|s|'''{{#var:Zentrale}}''' |c=grün}} {{#var:Mapping ausgehend}}
-| class=Bild rowspan=17 | {{Bild| {{#var:Paketfilterregel Zentrale--Bild}}|{{spc|utm|s|'''{{#var:Zentrale}}'''|c=grün}} {{#var:45}}||{{#var:Regel hinzufügen}}|Firewall|{{#var:Paketfilter}}|icon=fa-save|icon2=fa-floppy-disk-circle-xmark|icon3=fa-close}}
 |-
 | {{b|{{#var:Quelle}}: }} || {{ic|internal network|dr|icon=net|iconborder=none|class=available}} ||
@@ Zeile 177: / Zeile 177: @@
 |
 |-
-! colspan=3 | {{#var:47}} {{spc|utm|s|'''{{#var:Zentrale}}''' |c=grün }} {{#var:Mapping eingehend}}
+! colspan="3" | {{#var:47}} {{spc|utm|s|'''{{#var:Zentrale}}''' |c=grün }} {{#var:Mapping eingehend}}
 |-
 | {{b|{{#var:Quelle}}: }} || {{ic|{{#var:netmap_remotenet_filiale}} |dr|icon=net|iconborder=none|class=available}} || {{#var:Mapnetz der Filiale}}
@@ Zeile 187: / Zeile 187: @@
 | {{b|{{#var:Aktion}} }} || {{Button|ACCEPT|dr|class=available}} ||
 |- class=noborder
-| {{Kasten| [ + ] NAT}} || colspan=2 | {{Hinweis-box|{{#var:112}} |g}}
+| {{Kasten| [ + ] NAT}} || colspan="2" | {{Hinweis-box|{{#var:112}} |g}}
 |- class="Leerzeile"
 |
+|- class="noborder"
+| colspan="3" | {{h5|{{#var:Filiale}}|{{spc|utm|s|'''{{#var:Filiale}}''' |c=grün}} }}
 |-
-| colspan=3 class=noborder | {{h5|{{#var:Filiale}}|{{spc|utm|s|'''{{#var:Filiale}}''' |c=grün}} }}
+!! colspan="3" | {{#var:47}} {{spc|utm|s|'''{{#var:Filiale}}'''|c=grün}} {{#var:Mapping ausgehend}}
-|-
-!! colspan=3 | {{#var:47}} {{spc|utm|s|'''{{#var:Filiale}}'''|c=grün}} {{#var:Mapping ausgehend}}
 | class=Bild rowspan=17 | {{Bild|{{#var:Paketfilterregel Filiale--Bild}}|{{spc|utm|s|'''{{#var:Filiale}}'''|c=grün}} {{#var:45}}||{{#var:Regel hinzufügen}}|Firewall|{{#var:Paketfilter}}|icon=fa-save|icon2=fa-floppy-disk-circle-xmark|icon3=fa-close}}
 |-
@@ Zeile 223: / Zeile 223: @@
 |-
 | {{b|{{#var:Aktion}}: }} || {{Button|ACCEPT|dr|class=available}} ||
-|- class=noborder
+|- class="noborder"
-| {{Kasten| [ + ] NAT}} || colspan=2 |  {{Hinweis-box|{{#var:112}} |g}}
+| {{Kasten| [ + ] NAT}} || colspan="2" |  {{Hinweis-box|{{#var:112}} |g}}
 |- class="Leerzeile"
 |
 |}
-</div>
 ----
@@ Zeile 248: / Zeile 247: @@
 ===== {{#var:Dedizierte Paketfilter Regeln}} =====
 <div class="Einrücken">
-<p>{{Hinweis-box|{{#var:Empfohlen}} |gr}}</p>
+{{Hinweis-box|{{#var:Empfohlen}}|gr}}
 <!-- {{pt3| {{#var:107|UTM_v11.8.7_Firewall_Portfilter_Regel_Netmap-Filiale2.png}} }} -->
@@ Zeile 270: / Zeile 269: @@
-{| class="sptable2 spezial pd5 tr--bc__white zh1"
+{| class="sptable2 Paketfilter pd5 tr--bc__white zh1"
 |- class="bold small no1cell"
 | class="Leerzeile bc__default" |<big>{{spc|utm|s|{{#var:Zentrale}}|c=grün }}</big> {{#var:Übersicht der Paketfilterregeln}} || || <nowiki>#</nowiki> || class=mw12 | {{#var:Quelle}} || class=mw12 | {{#var:Ziel}} || class=mw12 | {{#var:Dienst}} || class=mw6 | NAT || {{#var:Aktion}} || {{#var:Aktiv}} || class=mw12 |
@@ Zeile 445: / Zeile 444: @@
-{| class="sptable2 spezial pd5 tr--bc__white zh1"
+{| class="sptable2 Paketfilter pd5 tr--bc__white zh1"
 |- class="bold small no1cell"
 | class="Leerzeile bc__default" |<big>{{spc|utm|s|{{#var:Zentrale}}|c=grün }}</big> {{#var:Übersicht der Paketfilterregeln}} || || <nowiki>#</nowiki> || class=mw12 | {{#var:Quelle}} || class=mw12 | {{#var:Ziel}} || class=mw12 | {{#var:Dienst}} || class=mw6 | NAT || {{#var:Aktion}} || {{#var:Aktiv}} || class=mw12 |

Zentrale Übersicht der Paketfilterregeln	#	Quelle	Ziel:	Dienst:	NAT	Aktion	Aktiv
Eingehender Netzwerkverkehr in der Zentrale von Filiale1 (Beispielhafte Paketfilterregel)	4	ipsec_remotenet_Filiale1	internal network	ms-rdp		Accept	Ein
Eingehender Netzwerkverkehr in der Zentrale von Filiale2 (Beispielhafte Paketfilterregel)	5	ipsec_remotenet_Filiale2	internal network	ms-rdp		Accept	Ein

Filiale1 Übersicht der Paketfilterregeln	#	Quelle	Ziel:	Dienst:	NAT	Aktion	Aktiv
Ausgehender Netzwerkverkehr in der Filiale1 zur Zentrale (Beispielhafte Paketfilterregel)	5	internal-network	ipsec_remotenet_Zentrale	ms-rdp		Accept	Ein

Filiale2 Übersicht der Paketfilterregeln	#	Quelle	Ziel:	Dienst:	NAT	Aktion	Aktiv
Netmap Regel in Filiale2, um das eigene lokale Netz zu mappen	4	internal network	netmap_remotenet_Zentrale	any	NM	Accept	Ein
Ausgehender Netzwerkverkehr in der Filiale2 zur Zentrale (Beispielhafte Paketfilterregel)	5	internal-network	ipsec_remotenet_Zentrale	ms-rdp		Accept	Ein

notempty Es wird für jede Filiale eine Verbindung benötigt. notempty Hierfür wird kein NAT vom Typ NETMAP mehr benötigt		Regel hinzufügen UTMbenutzer@firewall.name.fqdnFirewallPaketfilter Paketfilter Regel Zentrale für eingehendes IPSec-VPN
Soll auch von der Zentrale aus, auf die Filiale zugegriffen werden, sind entsprechend weitere Regeln notwendig (z.B. um VoIP-Verbindungen aufbauen zu können).