KKeine Bearbeitungszusammenfassung |
KKeine Bearbeitungszusammenfassung |
||
| (2 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 5: | Zeile 5: | ||
{{var | display | {{var | display | ||
| SSL-VPN RW an S2S Best Practice | | SSL-VPN RW an S2S Best Practice | ||
| | | SSL-VPN RW to S2S Best Practice }} | ||
{{var | head | {{var | head | ||
| SSL-VPN mit einem Roadwarrior an S2S Verbindungen - Beispielszenarien | | SSL-VPN mit einem Roadwarrior an S2S Verbindungen - Beispielszenarien | ||
| | | SSL-VPN with a Roadwarrior on S2S Connections – Example Scenarios }} | ||
{{var | SSL-RW an S2S-Serverseite verbinden | {{var | SSL-RW an S2S-Serverseite verbinden | ||
| SSL-RW an S2S-Serverseite verbinden | | SSL-RW an S2S-Serverseite verbinden | ||
| | | Connect SSL-RW to S2S server side }} | ||
{{var | Vorbemerkung | {{var | Vorbemerkung | ||
| Vorbemerkung | | Vorbemerkung | ||
| | | Preliminary remark }} | ||
{{var | Vorbemerkung--desc | {{var | Vorbemerkung--desc | ||
| Im Beispiel wird die Dienstgruppe {{whitebox| {{spc|dienste|o|-}} default-internet}} verwendet.<br>In realen Konfigurationen muss diese Gruppe natürlich angepasst werden. Ggf. empfiehlt sich eine neue Dienstgruppe.<br>Eine Regel mit {{whitebox| {{spc|other|o|-}} any }} sollte nur dann verwendet werden, wenn alle beteiligten Netze und Geräte zu 100% vertrauenswürdig sind und eine Kompromittierung ausgeschlossen werden kann. | | Im Beispiel wird die Dienstgruppe {{whitebox| {{spc|dienste|o|-}} default-internet}} verwendet.<br>In realen Konfigurationen muss diese Gruppe natürlich angepasst werden. Ggf. empfiehlt sich eine neue Dienstgruppe.<br>Eine Regel mit {{whitebox| {{spc|other|o|-}} any }} sollte nur dann verwendet werden, wenn alle beteiligten Netze und Geräte zu 100% vertrauenswürdig sind und eine Kompromittierung ausgeschlossen werden kann. | ||
| | | The example uses the service group {{whitebox| {{spc|dienste|o|-}} default-internet}}.<br>In real configurations, this group must, of course, be adjusted. If necessary, a new service group is recommended.<br>A rule with {{whitebox| {{spc|other|o|-}} any }} should only be used if all involved networks and devices are 100% trustworthy and compromise can be ruled out. }} | ||
{{var | Voraussetzung | {{var | Voraussetzung | ||
| Voraussetzung | | Voraussetzung | ||
| | | Prerequisite }} | ||
{{var | Konfiguriertes S2S-VPN | {{var | Konfiguriertes S2S-VPN | ||
| Konfiguriertes S2S-VPN | | Konfiguriertes S2S-VPN | ||
| | | Configured S2S VPN }} | ||
{{var | Konfigurierte S2E-Verbindung | {{var | Konfigurierte S2E-Verbindung | ||
| Konfigurierte S2E-Verbindung | | Konfigurierte S2E-Verbindung | ||
| | | Configured S2E connection }} | ||
{{var | RW Transfer-Netz | {{var | RW Transfer-Netz | ||
| RW Transfer-Netz | | RW Transfer-Netz | ||
| | | RW Transfer-Netz }} | ||
{{var | VPN-Server Internes Netz | {{var | VPN-Server Internes Netz | ||
| VPN-Server Internes Netz | | VPN-Server Internes Netz | ||
| | | VPN Server Internal Network }} | ||
{{var | S2S Transfer-Netz | {{var | S2S Transfer-Netz | ||
| S2S Transfer-Netz | | S2S Transfer-Netz | ||
| | | S2S Transfer-Netz }} | ||
{{var | VPN-Client Internes Netz | {{var | VPN-Client Internes Netz | ||
| VPN-Client Internes Netz | | VPN-Client Internes Netz | ||
| | | VPN Client Internal Network }} | ||
{{var | Beispielszenario | {{var | Beispielszenario | ||
| Beispielszenario | | Beispielszenario | ||
| | | Example scenario }} | ||
{{var | Beispielszenarien | {{var | Beispielszenarien | ||
| Beispielszenarien | | Beispielszenarien | ||
| | | Example scenarios }} | ||
{{var | Transfernetze eintragen | {{var | Transfernetze eintragen | ||
| Transfernetze eintragen | | Transfernetze eintragen | ||
| | | Enter transfer networks }} | ||
{{var | | |||
| | {{var | B1-Transfernetze eintragen 1--desc | ||
Die Transfernetze müssen auf den UTMs hinterlegt werden: | | Die Transfernetze müssen auf den UTMs hinterlegt werden: | ||
| For this, the RW transfer network is entered on the S2S server side in the '''Server Network''' release: }} | |||
{{var | B1-Transfernetze eintragen 2--desc | |||
| | | Hierzu wird das RW-Transfernetz auf der S2S-Serverseite in die '''Servernetzwerk'''-Freigabe eingetragen:<br>{{Host|VPN Server}} <br>{{Menu-UTM|VPN|SSL-VPN}} {{spc|{{Kasten|S2S Server|blau}} gewünschte Verbindung bearbeiten {{Button||w}} | e }} Bereich {{Reiter | Allgemein}} {{b|Servernetzwerke global freigeben:}} {{ic|{{cb|192.168.192.0/24}}|cb|sp-class=inline-flex}} | ||
| {{Host|VPN Server}} <br>{{Menu-UTM|VPN|SSL-VPN}} {{spc|{{Kasten|S2S Server|blau}} edit desired connection {{Button||w}} | e}} in the {{Reiter|General}} section, {{b|Globally release server networks:}} {{ic|{{cb|192.168.192.0/24}}|cb|sp-class=inline-flex}} }} | |||
{{var | B1-Transfernetze eintragen 3--desc | |||
| und das S2S-Clientnetz in der '''RW-Netzwerk'''-Freigabe eingetragen:<br>{{Host|VPN Server}} <br>{{Menu-UTM|VPN|SSL-VPN}} {{spc| {{Kasten|RW Server|blau}} gewünschte Verbindung bearbeiten {{Button||w}} |e}}Bereich {{Reiter | Allgemein}} {{b|Servernetzwerke freigeben:}} {{ic|{{cb|192.168.174.0/24}}|cb|sp-class=inline-flex}}{{info|In einer vorherigen Veriosn war hier fälschlicherweise das Transfernetz eingetragen|icon=bug}} | |||
| And the S2S client network is entered in the '''RW Network''' release:<br>{{Host|VPN Server}} <br>{{Menu-UTM|VPN|SSL-VPN}} {{spc|{{Kasten|RW Server|blau}} edit desired connection {{Button||w}} | e}} in the {{Reiter|General}} section, {{b|Release server networks:}} {{ic|{{cb|192.168.174.0/24}}|cb|sp-class=inline-flex}}{{info|In a previous version, the transfer network was incorrectly entered here|icon=bug}} }} | |||
{{var | Route erstellen | {{var | Route erstellen | ||
| Route erstellen | | Route erstellen | ||
| | | Create route }} | ||
{{var | Route erstellen--desc | {{var | Route erstellen--desc | ||
| | | | ||
* Anschließend muss auf der Clientseite eine Route erstellt werden. <br>Diese hat kein Quellnetzwerk, als Gateway das ''S2S-tun-interface'' und als Ziel das ''RW-Transfernetz'':<br>{{Host|VPN Client}}<br>{{Menu-UTM|Netzwerk|Netzwerkkonfiguration|Routing|Route hinzufügen|+}} | * Anschließend muss auf der Clientseite eine Route erstellt werden. <br>Diese hat kein Quellnetzwerk, als Gateway das ''S2S-tun-interface'' und als Ziel das ''RW-Transfernetz'':<br>{{Host|VPN Client}}<br>{{Menu-UTM|Netzwerk|Netzwerkkonfiguration|Routing|Route hinzufügen|+}} | ||
| | | | ||
* Afterward, a route must be created on the client side. <br>This route has no source network, uses the ''S2S-tun-interface'' as the gateway, and has the ''RW transfer network''<br>as the destination: {{Host|VPN Client}}<br>{{Menu-UTM|Network|Network Configuration|Routing|Add Route|+}} }} | |||
{{var | Route erstellen--Bild | {{var | Route erstellen--Bild | ||
| UTM v14.0.0 SSL-VPN E2S BP Route erstellen.png | | UTM v14.0.0 SSL-VPN E2S BP Route erstellen.png | ||
| Zeile 66: | Zeile 71: | ||
{{var | Route erstellen--cap | {{var | Route erstellen--cap | ||
| {{Host|VPN Client}} Route | | {{Host|VPN Client}} Route | ||
| | | {{Host|VPN Client}} Route }} | ||
{{var | Beispiel 1-2--Client Paketfilterregeln erstellen--desc | {{var | Beispiel 1-2--Client Paketfilterregeln erstellen--desc | ||
| <br> | | <br> | ||
Es werden insgesamt 4 Paketfilterregeln benötigt. Zwei auf VPN Clientseite, die wie folgt aussehen: | Es werden insgesamt 4 Paketfilterregeln benötigt. Zwei auf VPN Clientseite, die wie folgt aussehen: | ||
| | | <br> | ||
A total of 4 packet filter rules are required. Two on the VPN client side, which look as follows: }} | |||
{{var | Paketfilterregeln erstellen | {{var | Paketfilterregeln erstellen | ||
| Paketfilterregeln erstellen | | Paketfilterregeln erstellen | ||
| | | Create packet filter rules }} | ||
{{var | Quelle | Quelle | Quelle }} | {{var | Quelle | Quelle | Quelle }} | ||
{{var | Ziel | Ziel | Target }} | {{var | Ziel | Ziel | Target }} | ||
| Zeile 84: | Zeile 90: | ||
{{var | RW-Transfer-Netz | {{var | RW-Transfer-Netz | ||
| RW-Transfer-Netz | | RW-Transfer-Netz | ||
| | | RW transfer network }} | ||
{{var | B1-2-RW-Transfer-Netz Zone--Hinweis | {{var | B1-2-RW-Transfer-Netz Zone--Hinweis | ||
| <small>Objekt erstellen mit Zone des S2S-Tunnels</small> | | <small>Objekt erstellen mit Zone des S2S-Tunnels</small> | ||
| | | <small>Create object with zone of the S2S tunnel</small> }} | ||
{{var | internes Zielnetz | {{var | internes Zielnetz | ||
| internes Zielnetz | | internes Zielnetz | ||
| | | internal target network }} | ||
{{var | Beispiel 1-2--Server Paketfilterregeln erstellen--desc | {{var | Beispiel 1-2--Server Paketfilterregeln erstellen--desc | ||
| Zwei weitere Paketfilterregeln werden auf der VPN Serverseite benötigt, die wie folgt aussehen: | | Zwei weitere Paketfilterregeln werden auf der VPN Serverseite benötigt, die wie folgt aussehen: | ||
| | | Two additional packet filter rules are required on the VPN server side, which look as follows: }} | ||
{{var | S2S-Netz der Clientseite | {{var | S2S-Netz der Clientseite | ||
| S2S-Netz der Clientseite | | S2S-Netz der Clientseite | ||
| | | Client-side S2S network }} | ||
{{var | SSL-RW an S2S-Clientseite verbinden | {{var | SSL-RW an S2S-Clientseite verbinden | ||
| SSL-RW an S2S-Clientseite verbinden | | SSL-RW an S2S-Clientseite verbinden | ||
| | | Connect SSL-RW on the S2S client side }} | ||
{{var | 1=B2-Transfernetze eintragen--desc | {{var | 1=B2-Transfernetze eintragen--desc | ||
| 2= | | 2= | ||
Die Transfernetze müssen auf den UTMs hinterlegt werden:<br> | Die Transfernetze müssen auf den UTMs hinterlegt werden:<br> | ||
* Hierzu wird das RW-Transfernetz auf der S2S-Serverseite in die Client Netzfreigabe eingetragen:<br>{{Host|VPN Server}} <br>{{Menu-UTM|VPN|SSL-VPN}} {{spc|{{Kasten|S2S Server|blau}} {{spc|Client-Gegenstellen|grau}} gewünschten Client bearbeiten {{Button||w}} | e }} {{b|Clientnetzwerke freigeben:}} {{ic|{{cb|192.168.192.0/24}}|cb}} | * Hierzu wird das RW-Transfernetz auf der S2S-Serverseite in die Client Netzfreigabe eingetragen:<br>{{Host|VPN Server}} <br>{{Menu-UTM|VPN|SSL-VPN}} {{spc|{{Kasten|S2S Server|blau}} {{spc|Client-Gegenstellen|grau}} gewünschten Client bearbeiten {{Button||w}} | e }} {{b|Clientnetzwerke freigeben:}} {{ic|{{cb|192.168.192.0/24}}|cb}} }} | ||
* und das S2S-Servernetz in der RW-Netz-Freigabe eingetragen:<br>{{Host|VPN Server}} <br>{{Menu-UTM|VPN|SSL-VPN}} {{spc| {{Kasten|RW Server|blau}} gewünschte Verbindung bearbeiten {{Button||w}} |e}}Bereich {{Reiter | Allgemein}} {{b|Servernetzwerke global freigeben:}} {{ic|{{cb|192.168.175.0/24}}|cb}} | * und das S2S-Servernetz in der RW-Netz-Freigabe eingetragen:<br>{{Host|VPN Server}} <br>{{Menu-UTM|VPN|SSL-VPN}} {{spc| {{Kasten|RW Server|blau}} gewünschte Verbindung bearbeiten {{Button||w}} |e}} Bereich {{Reiter | Allgemein}} {{b|Servernetzwerke global freigeben:}} {{ic|{{cb|192.168.175.0/24}}|cb}} }} | ||
| 3= }} | | 3= | ||
The transfer networks must be stored on the UTMs:<br> | |||
* For this, the RW transfer network is entered in the Client Network Release on the S2S server side:<br>{{Host|VPN Server}} <br>{Menu-UTM|VPN|SSL-VPN}} {{spc|{{Kasten|S2S Server|blau}} {{spc|Client Peers|grau}} edit desired client {{Button||w}} | e}} {{b|Release client networks:}} {{ic|{{cb|192.168.192.0/24}}|cb}} | |||
* And the S2S server network is entered in the RW Network Release:<br> {{Host|VPN Server}}<br>{{Menu-UTM|VPN|SSL-VPN}} {{spc|{{Kasten|RW Server|blau}} edit desired connection {{Button||w}} | e}} Section {{Reiter|General}} {{b|Globally release server networks:}} {{ic|{{cb|192.168.175.0/24}}|cb}} }} | |||
{{var | Beispiel 2--Bild | {{var | Beispiel 2--Bild | ||
| VPN RW - S2S Client.png | | VPN RW - S2S Client.png | ||
| Zeile 115: | Zeile 124: | ||
{{var | S2S-Netz der Serverseite | {{var | S2S-Netz der Serverseite | ||
| S2S-Netz der Serverseite | | S2S-Netz der Serverseite | ||
| | | S2S network on the server side }} | ||
{{var | SSL-RW durch IPSec-S2S | {{var | SSL-RW durch IPSec-S2S | ||
| SSL-RW durch IPSec-S2S | | SSL-RW durch IPSec-S2S | ||
| | | SSL-RW via IPSec-S2S }} | ||
{{var | SSL-RW durch IPSec-S2S--desc | {{var | SSL-RW durch IPSec-S2S--desc | ||
| Vom Roadwarrior-Netz durch ein IPSec-Netz ein Gerät erreichen. | | Vom Roadwarrior-Netz durch ein IPSec-Netz ein Gerät erreichen. | ||
| | | Access a device from the Roadwarrior network through an IPSec network. }} | ||
{{var | Beispiel 3--Bild | {{var | Beispiel 3--Bild | ||
| SSL-RW durch IPSec-S2S.png | | SSL-RW durch IPSec-S2S.png | ||
| Zeile 131: | Zeile 140: | ||
{{var | IPSec-Netz erstellen | {{var | IPSec-Netz erstellen | ||
| IPSec-Netz erstellen | | IPSec-Netz erstellen | ||
| | | Create IPSec network }} | ||
{{var | 1=B3-IPSec-Netz erstellen--desc | {{var | 1=B3-IPSec-Netz erstellen--desc | ||
| 2= | | 2= | ||
* Zunächst wird das lokale Netz am Standort B, auf das der Roadwarrior letztlich zugreifen können soll, im RW-Tunnel eingegeben. <br>{{Host|Standort A}} <br>{{Menu-UTM|VPN|SSL-VPN}} {{spc| {{Kasten|RW Server|blau}} gewünschte Verbindung bearbeiten {{Button||w}} |e}}Bereich {{Reiter | Allgemein}} {{b|Servernetzwerke global freigeben:}} {{ic|{{cb|192.168.175.0/24}}|cb}} | * Zunächst wird das lokale Netz am Standort B, auf das der Roadwarrior letztlich zugreifen können soll, im RW-Tunnel eingegeben. <br>{{Host|Standort A}} <br>{{Menu-UTM|VPN|SSL-VPN}} {{spc| {{Kasten|RW Server|blau}} gewünschte Verbindung bearbeiten {{Button||w}} |e}}Bereich {{Reiter | Allgemein}} {{b|Servernetzwerke global freigeben:}} {{ic|{{cb|192.168.175.0/24}}|cb}} | ||
* Anschließend wird ein Netzwerkobjekt für das lokale Netz an Standort B (hinter der IPSec-Verbindung) erstellt.<br>{{Host|Standort A}}<br>{{Menu-UTM|Firewall|Netzwerkobjekte||Objekt hinzufügen|+}}<br>{{b|Name:}} {{ic|Zielnetz Standort B}}<br>'''Wichtig:''' | * Anschließend wird ein Netzwerkobjekt für das lokale Netz an Standort B (hinter der IPSec-Verbindung) erstellt.<br>{{Host|Standort A}}<br>{{Menu-UTM|Firewall|Netzwerkobjekte||Objekt hinzufügen|+}}<br>{{b|Name:}} {{ic|Zielnetz Standort B}}<br>'''Wichtig:''' | ||
<li class="list--element__alert list--element__warning Einrücken">{{b|Typ|class=mw3}} {{Button|Netzwerk (Adresse)|dr|class=mw11}} {{info| Die SSL-VPN-Verbindung bekommt nicht mit, daß es sich um eine weitere VPN-Verbindung handelt.<br>Daher darf hier '''kein VPN-Netzwerk''' ausgewählt werden! }}</li> | <li class="list--element__alert list--element__warning Einrücken">{{b|Typ|class=mw3}} {{Button|Netzwerk (Adresse)|dr|class=mw11}} {{info| Die SSL-VPN-Verbindung bekommt nicht mit, daß es sich um eine weitere VPN-Verbindung handelt.<br>Daher darf hier '''kein VPN-Netzwerk''' ausgewählt werden! }}</li> | ||
<li class="list--element__alert list--element__warning Einrücken">{{b|Zone|class=mw3}} {{Button|external|dr|class=mw11}} </li> | <li class="list--element__alert list--element__warning Einrücken">{{b|Zone|class=mw3}} {{Button|external|dr|class=mw11}} </li> | ||
| 3= }} | | 3= | ||
* First, enter the local network at location B, which the road warrior should ultimately be able to access, in the RW tunnel. <br>{{Host|Location A}} <br>{{Menu-UTM|VPN|SSL VPN}} {{spc| {{Kasten|RW Server|blau}} Edit desired connection {{Button||w}} |e}}Area {{Reiter | General}} {{b|Share server networks globally:}} {{ic|{{cb|192.168.175.0/24}}|cb}} | |||
* Next, a network object is created for the local network at location B (behind the IPSec connection). <br>{{Host|Location A}}<br>{{Menu-UTM|Firewall|Network Objects||Add Object|+}}<br>{{b|Name:}} {{ic|Target Network Location B}}<br>'''Important:''' | |||
<li class="list--element__alert list--element__warning Indent">{{b|Type|class=mw3}} {{Button|Network (address)|dr|class=mw11}} {{info| The SSL VPN connection does not recognize that this is another VPN connection. <br>Therefore, '''no VPN network''' may be selected here! }}</li> | |||
<li class="list--element__alert list--element__warning Indent">{{b|Zone|class=mw3}} {{Button|external|dr|class=mw11}} </li>}} | |||
{{var | Paketfilterregel anlegen | {{var | Paketfilterregel anlegen | ||
| Paketfilterregel anlegen | | Paketfilterregel anlegen | ||
| | | Create packet filter rule }} | ||
{{var | B3-Paketfilterregel anlegen--desc | {{var | B3-Paketfilterregel anlegen--desc | ||
| Außerdem müssen die folgenden Paketfilterregeln angelegt werden. Dabei kann der Wiki-Artikel zu [[UTM/VPN/SSL_VPN_zu_IPSec-Ziel#Konfiguration_mit_HideNat-Regel|IPSec S2S-Ziele mit SSL-VPN erreichen]] nützlich sein. | | Außerdem müssen die folgenden Paketfilterregeln angelegt werden. Dabei kann der Wiki-Artikel zu [[UTM/VPN/SSL_VPN_zu_IPSec-Ziel#Konfiguration_mit_HideNat-Regel|IPSec S2S-Ziele mit SSL-VPN erreichen]] nützlich sein. | ||
| | | In addition, the following packet filter rules must be created. The wiki article on | ||
[{{#var:host}}UTM/VPN/SSL_VPN_zu_IPSec-Ziel#Konfiguration_mit_HideNat-Regel Reaching IPSec S2S destinations with SSL VPN] may be useful here. }} | |||
{{var | RW-Netz | {{var | RW-Netz | ||
| RW-Netz | | RW-Netz | ||
| | | RW network }} | ||
{{var | IPSec-Netz | {{var | IPSec-Netz | ||
| Zielnetz Standort B | | Zielnetz Standort B | ||
| | | Target network location B }} | ||
{{var | mit internal interface | {{var | mit internal interface | ||
| mit ''internal interface'' | | mit ''internal interface'' | ||
| | | with ''internal interface'' }} | ||
{{var | Phase 2 bearbeiten | {{var | Phase 2 bearbeiten | ||
| Phase 2 bearbeiten | | Phase 2 bearbeiten | ||
| | | Edit phase 2 }} | ||
{{var | Phase 2 bearbeiten--desc | {{var | Phase 2 bearbeiten--desc | ||
| In Phase 2 der Verbindung muss die SSL-Roadwarrior IP-Adresse als Subnetz eingetragen werden. | | In Phase 2 der Verbindung muss die SSL-Roadwarrior IP-Adresse als Subnetz eingetragen werden. | ||
| | | In phase 2 of the connection, the SSL Roadwarrior IP address must be entered as a subnet. }} | ||
{{var | Phase 2 bearbeiten--Menu | {{var | Phase 2 bearbeiten--Menu | ||
| {{Menu-UTM|VPN|IPSec|Verbindungen}} {{spc|Phase 2 der gewünschten Verbindung bearbeiten {{Button|Phase2|w}}|e}} → Bereich {{Reiter|Subnetze}} Schaltfläche {{Button|Subnetz hinzufügen|+}} | | {{Menu-UTM|VPN|IPSec|Verbindungen}} {{spc|Phase 2 der gewünschten Verbindung bearbeiten {{Button|Phase2|w}}|e}} → Bereich {{Reiter|Subnetze}} Schaltfläche {{Button|Subnetz hinzufügen|+}} | ||
| | | {{Menu-UTM|VPN|IPSec|Connections}} {{spc|Edit phase 2 of the desired connection {{Button|Phase2|w}}|e}} → {{Reiter|Subnets}} section {{Button|Add subnet|+}} button }} | ||
{{var | Phase 2 bearbeiten--Standort B | {{var | Phase 2 bearbeiten--Standort B | ||
| Besteht kein administrativer Zugriff auf den entfernten Standort, muss am lokalen ''Standort A'' zusätzlicheine HideNat-Regel angelegt werden. <br>Dazu gibt es eine [[UTM/VPN/SSL_VPN_zu_IPSec-Ziel#Konfiguration_mit_HideNat-Regel | eigene Anleitung]]. Achtung: Hier ist der lokale Standort der ''Standort B'' ! | | Besteht kein administrativer Zugriff auf den entfernten Standort, muss am lokalen ''Standort A'' zusätzlicheine HideNat-Regel angelegt werden. <br>Dazu gibt es eine [[UTM/VPN/SSL_VPN_zu_IPSec-Ziel#Konfiguration_mit_HideNat-Regel | eigene Anleitung]]. Achtung: Hier ist der lokale Standort der ''Standort B'' ! | ||
| }} | | If there is no administrative access to the remote location, an additional HideNat rule must be created at the local ''Location A.'' <br>There are separate instructions for this [{{#var:host}}UTM/VPN/SSL_VPN_zu_IPSec-Ziel#Konfiguration_mit_HideNat-Regel own instructions]. Please note: The local location here is “Location B”! }} | ||
{{var | SSL-RW durch WG-S2S--SP | {{var | SSL-RW durch WG-S2S--SP | ||
| SSL-RW durch WG-S2S (SP zu SP) | | SSL-RW durch WG-S2S (SP zu SP) | ||
| | | SSL-RW via WG-S2S (SP to SP) }} | ||
{{var | SSL-RW durch WG-S2S--desc | {{var | SSL-RW durch WG-S2S--desc | ||
| Der SSL-RW befindet sich bei Standort A und möchte auf ein Gerät bei Standort B zugreifen. | | Der SSL-RW befindet sich bei Standort A und möchte auf ein Gerät bei Standort B zugreifen. | ||
| | | The SSL-RW is located at site A and wants to access a device at site B. }} | ||
{{var | SSL-RW durch WG-S2S--SP--Hinweis | {{var | SSL-RW durch WG-S2S--SP--Hinweis | ||
| Dabei verwenden beide Standorte Securepoint Hardware (ansonsten siehe [[#SSL-RW durch WG-S2S (SP zu Fremd)|Szenario 5]]) | | Dabei verwenden beide Standorte Securepoint Hardware (ansonsten siehe [[#SSL-RW durch WG-S2S (SP zu Fremd)|Szenario 5]]) | ||
| | | Both sites use Securepoint hardware (otherwise see [[#SSL-RW_via_WG-S2S_(SP_to_external)|Scenario 5]]) }} | ||
{{var | Beispiel 4--Bild | {{var | Beispiel 4--Bild | ||
| SSL-RW durch WG-S2S.png | | SSL-RW durch WG-S2S.png | ||
| Zeile 184: | Zeile 199: | ||
{{var | B4-5-Transfernetze eintragen SSL--desc | {{var | B4-5-Transfernetze eintragen SSL--desc | ||
| Zunächst wird das lokale Netz aus Standort B, auf das der Roadwarrior letztlich zugreifen können soll, im RW-Tunnel eingegeben. <br>{{Menu-UTM|VPN|SSL-VPN}} {{spc| {{Kasten|RW Server|blau}} gewünschte Verbindung bearbeiten {{Button||w}} |e}}Bereich {{Reiter | Allgemein}} {{b|Servernetzwerke global freigeben:}} {{ic|{{cb|192.168.175.0/24}}|cb}} | | Zunächst wird das lokale Netz aus Standort B, auf das der Roadwarrior letztlich zugreifen können soll, im RW-Tunnel eingegeben. <br>{{Menu-UTM|VPN|SSL-VPN}} {{spc| {{Kasten|RW Server|blau}} gewünschte Verbindung bearbeiten {{Button||w}} |e}}Bereich {{Reiter | Allgemein}} {{b|Servernetzwerke global freigeben:}} {{ic|{{cb|192.168.175.0/24}}|cb}} | ||
| | | First, the local network from location B, which the road warrior should ultimately be able to access, is entered in the RW tunnel. <br>{{Menu-UTM|VPN|SSL VPN}} {{spc| {{Kasten|RW Server|blue}} Edit desired connection {{Button||w}} |e}}Area {{Reiter | General}} {{b|Share server networks globally:}} {{ic|{{cb|192.168.175.0/24}}|cb}} }} | ||
{{var | B4-5-Transfernetze eintragen WG--desc | {{var | B4-5-Transfernetze eintragen WG--desc | ||
| Außerdem wird bei Standort A das SSL-RW Transfernetz in die WireGuard <u>Server</u>netzwerke eingetragen.<br>{{Menu-UTM|VPN|WireGuard}} {{spc|gewünschte Verbindung bearbeiten {{Button||w}} |e}} {{b|Servernetzwerke global freigeben:}} {{ic|{{cb|192.168.192.0/24}}|cb}} | | Außerdem wird bei Standort A das SSL-RW Transfernetz in die WireGuard <u>Server</u>netzwerke eingetragen.<br>{{Menu-UTM|VPN|WireGuard}} {{spc|gewünschte Verbindung bearbeiten {{Button||w}} |e}} {{b|Servernetzwerke global freigeben:}} {{ic|{{cb|192.168.192.0/24}}|cb}} | ||
| | | In addition, the SSL-RW transfer network is entered into the WireGuard <u>server</u> networks at location A. <br>{{Menu-UTM|VPN|WireGuard}} {{spc|Edit desired connection {{Button||w}} |e}} {{b|Share server networks globally:}} {{ic|{{cb|192.168.192.0/24}}|cb}} }} | ||
{{var | Wiregard Neustarten | {{var | Wiregard Neustarten | ||
| Anschließend Wiregard {{Button-dialog| Neustarten | fa-redo-alt | fa=fas}} | | Anschließend Wiregard {{Button-dialog| Neustarten | fa-redo-alt | fa=fas}} | ||
| | | Then Wiregard {{Button-dialog| Restart | fa-redo-alt | fa=fas}} }} | ||
{{var | B4-Transfernetze eintragen WG-B | {{var | B4-Transfernetze eintragen WG-B | ||
| Bei Standort B wird ebenfalls das SSL-RW Transfernetz eingetragen - allerdings in die WireGuard <u>Peer</u>netzwerke .<br>{{Menu-UTM|VPN|WireGuard}} {{spc|{{Kasten|Peers|grau}} gewünschten Peer bearbeiten {{Button||w}} |e}} {{b|Peernetzwerke freigeben:}} {{ic|{{cb|192.168.192.0/24}}|cb}} | | Bei Standort B wird ebenfalls das SSL-RW Transfernetz eingetragen - allerdings in die WireGuard <u>Peer</u>netzwerke .<br>{{Menu-UTM|VPN|WireGuard}} {{spc|{{Kasten|Peers|grau}} gewünschten Peer bearbeiten {{Button||w}} |e}} {{b|Peernetzwerke freigeben:}} {{ic|{{cb|192.168.192.0/24}}|cb}} | ||
| | | At location B, the SSL-RW transfer network is also entered—but in the WireGuard <u>Peer</u> networks. <br>{{Menu-UTM|VPN|WireGuard}} {{spc|{{Box|Peers|grau}} Edit desired peer {{Button||w}} |e}} {{b|Share peer networks:}} {{ic|{{cb|192.168.192.0/24}}|cb}} }} | ||
{{var | Standort | {{var | Standort | ||
| Standort | | Standort | ||
| | | Location }} | ||
{{var | B4-Route erstellen--desc | {{var | B4-Route erstellen--desc | ||
| | | | ||
* Anschließend muss bei Standort B eine Route erstellt werden. <br>Diese hat kein Quellnetzwerk, als Gateway das ''S2S-tun-interface'' und als Ziel das ''RW-Transfernetz'':<br><br>{{Host|Standort B}}<br>{{Menu-UTM|Netzwerk|Netzwerkkonfiguration|Routing|Route hinzufügen|+}} | * Anschließend muss bei Standort B eine Route erstellt werden. <br>Diese hat kein Quellnetzwerk, als Gateway das ''S2S-tun-interface'' und als Ziel das ''RW-Transfernetz'':<br><br>{{Host|Standort B}}<br>{{Menu-UTM|Netzwerk|Netzwerkkonfiguration|Routing|Route hinzufügen|+}} | ||
| }} | | | ||
* Next, a route must be created at location B. <br>This route has no source network, uses the ''S2S-tun-interface'' as its gateway, and has the ''RW transfer network'' as its destination:<br><br>{{Host|Location B}}<br>{{Menu-UTM|Network|Network Configuration|Routing|Add Route|+}} }} | |||
{{var | B4-Route erstellen--cap | {{var | B4-Route erstellen--cap | ||
| {{Host|Standort B}} Route | | {{Host|Standort B}} Route | ||
| | | {{Host|Location B}} Route }} | ||
{{var | B4-Routen und Paketfilterregeln erstellen--desc1 | {{var | B4-Routen und Paketfilterregeln erstellen--desc1 | ||
| Und für Standort B diese: | | Und für Standort B diese: | ||
| | | And for location B, this one: }} | ||
{{var | B4-Routen und Paketfilterregeln erstellen--desc2 | {{var | B4-Routen und Paketfilterregeln erstellen--desc2 | ||
| Außerdem müssen Paketfilterregeln erstellt werden. <!--Für Standort A ist das die folgende:--> | | Außerdem müssen Paketfilterregeln erstellt werden. <!--Für Standort A ist das die folgende:--> | ||
| | | In addition, packet filter rules must be created. <!--For location A, this is as follows:--> }} | ||
{{var | B4-RW-Transfernetz Zone--Hinweis | {{var | B4-RW-Transfernetz Zone--Hinweis | ||
| <small>in der Zone des WG-Tunnels zu Standort A</small> | | <small>in der Zone des WG-Tunnels zu Standort A</small> | ||
| | | <small>in the zone of the WG tunnel to location A</small> }} | ||
{{var | WireGuard-Netz | {{var | WireGuard-Netz | ||
| WireGuard-Netz | | WireGuard-Netz | ||
| | | WireGuard network }} | ||
{{var | B4-WireGuard-Netz--Hinweis | {{var | B4-WireGuard-Netz--Hinweis | ||
| <small>der Gegenstelle (Standort B)</small> | | <small>der Gegenstelle (Standort B)</small> | ||
| | | <small>the remote station (location B)</small> }} | ||
{{var | B4--Regelhinweis | {{var | B4--Regelhinweis | ||
| Soll aus dem Zielnetz heraus ein lokales Gerät am Roadwarrior Client (z.B. ein Drucker) oder der Roadwarrior selbst erreicht werden können, bedarf es einer weiteren Regel: | | Soll aus dem Zielnetz heraus ein lokales Gerät am Roadwarrior Client (z.B. ein Drucker) oder der Roadwarrior selbst erreicht werden können, bedarf es einer weiteren Regel: | ||
| | | If a local device on the Roadwarrior client (e.g., a printer) or the Roadwarrior itself is to be accessible from the target network, an additional rule is required: }} | ||
{{var | SSL-RW durch WG-S2S--Fremd | {{var | SSL-RW durch WG-S2S--Fremd | ||
| SSL-RW durch WG-S2S (SP zu Fremd) | | SSL-RW durch WG-S2S (SP zu Fremd) | ||
| | | SSL-RW via WG-S2S (SP to external) }} | ||
{{var | SSL-RW durch WG-S2S--Fremd--Hinweis | {{var | SSL-RW durch WG-S2S--Fremd--Hinweis | ||
| Dabei verwendet Standort A Securepoint Hardware und Standort B fremde Hardware (ansonsten siehe [[#SSL-RW durch WG-S2S (SP zu SP)|Szenario 4]]) | | Dabei verwendet Standort A Securepoint Hardware und Standort B fremde Hardware (ansonsten siehe [[#SSL-RW durch WG-S2S (SP zu SP)|Szenario 4]]) | ||
| | | Location A uses Securepoint hardware and location B uses third-party hardware (otherwise, see [[#SSL-RW via WG-S2S (SP to SP)|Scenario 4]]). }} | ||
{{var | Beispiel 5--Bild | {{var | Beispiel 5--Bild | ||
| SSL-RW durch WG-S2S mit fremd Hardware.png | | SSL-RW durch WG-S2S mit fremd Hardware.png | ||
| Zeile 234: | Zeile 250: | ||
{{var | B5-Transfernetze eintragen B | {{var | B5-Transfernetze eintragen B | ||
| Auf dem entfernten Gerät muss das Roadwarrior-Netz als ''Allowed IPs'' konfiguriert werden. | | Auf dem entfernten Gerät muss das Roadwarrior-Netz als ''Allowed IPs'' konfiguriert werden. | ||
| | | The Roadwarrior network must be configured as ''Allowed IPs'' on the remote device. }} | ||
{{var | Beispiel 5--cap | {{var | Beispiel 5--cap | ||
| | | | ||
| Zeile 240: | Zeile 256: | ||
{{var | Routen und Paketfilterregeln erstellen | {{var | Routen und Paketfilterregeln erstellen | ||
| Routen und Paketfilterregeln erstellen | | Routen und Paketfilterregeln erstellen | ||
| | | Create routes and packet filter rules }} | ||
{{var | B5-Routen und Paketfilterregeln erstellen--desc | {{var | B5-Routen und Paketfilterregeln erstellen--desc | ||
| <!-- | | <!-- | ||
| Zeile 249: | Zeile 265: | ||
* {{Host|Standort A}}<br> | * {{Host|Standort A}}<br> | ||
Bei Standort A, also der Securepoint Hardware, müssen folgende Paketfilterregeln erstellt werden: | Bei Standort A, also der Securepoint Hardware, müssen folgende Paketfilterregeln erstellt werden: | ||
| | | | ||
* {{Host|Site B}} Additionally, a route must be created at site B, which has an ''empty'' source, the ''WG-tun-interface'' as the gateway, and the ''RW transfer network'' as the destination. | |||
--> | |||
* {{f|In addition, depending on the device, the WireGuard connection must know the IP address of the Securepoint hardware, so routes and rules must be created accordingly. § Can this be removed? | |||
* {{Host|Location A}}<br> | |||
At location A, i.e., the Securepoint hardware, the following packet filter rules must be created: }} | |||
{{var | Beispiel 1--Bild | {{var | Beispiel 1--Bild | ||
| VPN RW - S2S.png | | VPN RW - S2S.png | ||
| Zeile 258: | Zeile 280: | ||
{{var | Dienst neu starten | {{var | Dienst neu starten | ||
| Dienst neu starten um Änderungen vollständig zu übernehmen und Routen zu pushen: | | Dienst neu starten um Änderungen vollständig zu übernehmen und Routen zu pushen: | ||
| | | Restart the service to fully apply changes and push routes: }} | ||
{{var | Dienst neu starten--Menu | {{var | Dienst neu starten--Menu | ||
| {{Menu-UTM|Anwendungen|Anwendungsstatus}} die Anwendung {{b|SSL-VPN}} {{Button||fa|icon-class=fas fa-stop}} {{Hover-class|stoppen}} und anschließend {{Button||play}} {{Hover-class|starten}} | | {{Menu-UTM|Anwendungen|Anwendungsstatus}} die Anwendung {{b|SSL-VPN}} {{Button||fa|icon-class=fas fa-stop}} {{Hover-class|stoppen}} und anschließend {{Button||play}} {{Hover-class|starten}} | ||
| | | {{Menu-UTM|Applications|Application Status}} the application {{b|SSL VPN}} {{Button||fa|icon-class=fas fa-stop}} {{Hover-class|stop}} and then {{Button||play}} {{Hover-class|start}} }} | ||
UTM/VPN/SSL VPN-RW an S2S-BestPractice.lang: Unterschied zwischen den Versionen
Aus Securepoint Wiki