Wechseln zu:Navigation, Suche
Wiki
K (Textersetzung - „sptable2 spezial“ durch „sptable2 Paketfilter“)
 
(4 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
{{v11.5}}
{{Set_lang}}


==NATten von gleichen Ziel-Subnetzen bei gleichzeitigem VPN-Verbindungsaufbau eines VPN-Client zu verschiedenen Standorten==
{{#vardefine:headerIcon|spicon-utm}}
In diesem Wiki wollen wir den Fall behandeln, wenn ein Roadwarrior gleichzeitig eine VPN Verbindung zu verschiedenen Zielen aufbaut, die aber jeweils das gleiche Subnetz verwenden. Weiterhin bekommt der VPN-Client auch noch eine Adresse aus dem gleichen Roadwarrior Pool von den VPN-Servern. In diesem Fall hätte der Client natürlich das Problem, dass er nicht zwischen den Zielen unterscheiden kann.
{{:UTM/VPN/SSL VPN-Roadwarrior-Netmap.lang}}


Hierbei kann der NAT-Typ ''NETMAP'' Abhilfe schaffen.
{{var | neu--Layoutanpassung
| Layoutanpassung
| Layout adjustment }}


[[Datei:Netmap_ssl_rw.png|700px|center]]
{{var | neu--Screenshots aktualisiert
| Screenshots aktualisiert
| Screenshots updated }}


In unserem Beispiel nehmen wir die folgenden Vorgaben an:
</div><div class="new_design"></div>{{Select_lang}}{{TOC2|class=col-md-9}}
<table>
{{Header|12.6.0|
<tr>
* {{#var:neu--Layoutanpassung}}
<td>Roadwarrior Pool:</td><td> 192.168.250.0/24</td>
* {{#var:neu--Screenshots aktualisiert}}
</tr>
|[[UTM/VPN/SSL VPN-Roadwarrior-Netmap_v11.7 | 11.7]]
<tr>
[[UTM/VPN/SSL VPN-Roadwarrior-Netmap_v11.6 | 11.6.12]]
<td>Internes Netz der Standorte:</td><td> 192.168.0.0/24</td>
|
</tr>
}}
<tr>
<td>Netmap-Netz des ersten Standort:&nbsp;&nbsp;</td><td> 192.168.2.0/24</td>
</tr>
</table>


----


Weiterhin gehen wir davon aus, dass die SSL-VPN Roadwarrior Verbindung schon eingerichtet ist und auch funktioniert wenn nur eine einzige Verbindung aufgebaut wird.
=== {{#var:Einleitung}} ===
<div class="einrücken">
{{#var:Einleitung--desc}}
<br clear=all></div>


===Vorbereitungen===
{{Bild|{{#var:Beispiel--Bild}}|class=Bild-t noborder width-xxl}}
Zur Nutzung der NETMAP Funktion sind folgende Bedingungen zu beachten:
*Die Subnetze der am NETMAP beteiligten Objekte müssen alle die gleiche Größe haben, zum Beispiel alle /24.
*Alle beteiligten Objekte müssen eine definierte Netzwerk IP-Adresse eingetragen haben. Es dürfen also keine Schnittstellen ausgewählt werden.


{{#var:Beispiel--desc1}}
{|
| {{b|Roadwarrior Pool:}} || 192.168.0.0/24
|-
| {{b|{{#var:Internes Netz der Standorte}}:}} || 192.168.175.0/24
|-
| {{b|{{#var:Netmap-Netz des ersten Standort}}:}} || 192.168.1.0/24
|-
| {{b|{{#var:Netmap-Netz des zweiten Standort}}:}} || 192.168.2.0/24
|}
{{#var:Beispiel--desc2}}
<br clear=all>
----


[[Datei:UTM115_AI_PFNOintaddr.png|250px|thumb|right|Netzwerkobjekt auf Adresse umstellen]]
=== {{#var:Konfiguration des SSL-VPN Roadwarriorserver mit Netmap}} ===
Das Netzwerkobjekt des Internen Netzwerkes darf nicht auf die Schnittstelle eingerichtet sein. Dieses kann gegebenenfalls auf Adresse umgestellt werden indem der Radio-Button vor ''Adresse'' aktiviert und die Netzwerk-Adresse mit der entsprechenden Subnetzmaske in das Feld eintragen wird. In diesem Beispiel haben wir auf beiden Seiten das Netzwerk 192.168.0.0/24
==== {{#var:Vorbereitungen}} ====


{| class="sptable2 pd5 zh1 Einrücken noborder"
| {{Menu-UTM|Firewall|{{#var:Netzwerkobjekte}}|||w}}
| class="Bild" rowspan="3" | {{Bild| {{#var:Vorbereitungen--Bild}} | {{#var:Vorbereitungen--cap}}|| {{#var:Netzwerkobjekt bearbeiten}}|Firewall|{{#var:Netzwerkobjekte}}|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}}
|-
| {{#var:Vorbereitung--desc}}
|- class="Leerzeile"
|
|}


==== {{#var:Einstellung im SSL-VPN Server}} ====


{| class="sptable2 pd5 zh1 Einrücken noborder"
| {{Menu-UTM|VPN|SSL-VPN|||w}}
| class="Bild" rowspan="3" | {{Bild| {{#var:Einstellung im SSL-VPN Server--Bild}} | {{#var:Einstellung im SSL-VPN Server--cap}}||{{#var:SSL-VPN Verbindung bearbeiten}}|VPN|SSL-VPN|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}}
|-
| {{#var:Einstellung im SSL-VPN Server--desc}}
|- class="Leerzeile"
|
|}


==== {{#var:Netzwerkobjekte erstellen}} ====
<div class="einrücken">
{{#var:Netzwerkobjekte erstellen--desc}}
<br clear=all></div>


{| class="sptable2 pd5 zh1 Einrücken"
! {{#var:Bezeichnung}} !! class="mw13" | {{#var:Wert}} !! {{#var:Beschreibung}}
| class="Bild" rowspan="6" | {{Bild| {{#var:Netzwerkobjekte erstellen--Bild}} | {{#var:Netzwerkobjekte erstellen--cap}} || {{#var:Netzwerkobjekt hinzufuegen}}|Firewall|{{#var:Netzwerkobjekte}}|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}}
|-
| {{b|{{#var:Name}}:}} || {{ic|{{#var:Name--val}}|class=available}} || {{#var:Name--desc}}
|-
| {{b|{{#var:Typ}}:}} || {{ic|{{#var:Typ--val}}|dr|class=available}} || {{#var:Typ--desc}}
|-
| {{b|{{#var:Adresse}}}}: || {{ic|192.168.1.0/24|class=available}} || {{#var:Adresse--desc}}
|-
| {{b|{{#var:Zone}}:}} || {{ic|{{#var:Zone--val}}|dr|class=available}} || {{#var:Zone--desc}}
|- class="Leerzeile"
|
|}


==== {{#var:Paketfilterregeln}} ====
{| class="sptable2 pd5 zh1 Einrücken noborder"
| {{#var:Paketfilterregeln--desc1}}
| class="Bild" rowspan="2" | {{Bild| {{#var:Paketfilterregeln--Bild1}} | {{#var:Paketfilterregeln--cap1}} | |{{#var:Regel bearbeiten}}|Firewall|{{#var:Paketfilter}}|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}}
|- class="Leerzeile"
|
|}


{| class="sptable2 pd5 zh1 Einrücken"
| class="noborder" colspan="3" | {{#var:Paketfilterregeln--desc2}}
|-
! {{#var:Bezeichnung}} !! class="mw13" | {{#var:Wert}} !! {{#var:Beschreibung}}
| class="Bild" rowspan="13" | {{Bild| {{#var:Paketfilterregeln--Bild2}} | {{#var:Paketfilterregeln--cap2}} | |{{#var:Regel hinzufuegen}}|Firewall|{{#var:Paketfilter}}|icon=fa-save|icon2=fa-floppy-disk-circle-xmark|icon3=fa-close}}
|-
| class="noborder" | {{Kasten|{{#var:Allgemein}}}}
|-
| {{b|{{#var:Quelle}}:}} || {{ic|{{spc | net | o | - }}internal-network|dr|class=available}} || {{#var:Quelle--desc}}
|-
| {{b|{{#var:Ziel}}:}} || {{ic|{{spc | vpn-network | o | - }}Roadwarrior|dr|class=available}} || {{#var:Ziel--desc}}
|-
| {{b|{{#var:Dienst}}:}} || {{ic|{{spc | other | o | - }}any|dr|class=available}} || {{#var:Dienst--desc}}
|-
| {{b|{{#var:Aktion}}:}} || {{ic|ACCEPT |dr|class=available}}|| {{#var:Aktion--desc}}
|-
| class="noborder" | {{Kasten|[ - ] NAT}}
|-
| {{b|{{#var:Typ}}:}} || {{ic|NETMAP|dr|class=available}} || {{#var:Typ--desc}}
|-
| {{b|{{#var:Netzwerkobjekt}}:}} || {{ic|{{spc | net | o | - }}{{#var:Netzwerkobjekt--val}}|dr|class=available}} || {{#var:Netzwerkobjekt--desc}}
|-
| {{b|{{#var:Dienst}}:}} || {{ic|{{spc | other | o | - }}any|dr|class=available}} || {{#var:NATDienst--desc}}
|- class="Leerzeile"
|
|}


===Einstellung im SSL-VPN Server===
<div class="einrücken">
[[Datei:UTM115_AI_VSVnetmap2.png|250px|thumb|right|Netmap Adresse im Roadwarrior-Server]]
{{#var:Vergleich--desc}}
Unter dem Menüpunkt befinden sich die Einstellungen für SSL-VPN. Hier wird die zu ändernde Rodwarrior-Server Instanz ausgewählt und bearbeitet.
{| class="sptable2 Paketfilter pd5 tr--bc__white zh1"
|- class="bold small no1cell"
| rowspan="3" class="Leerzeile pd0 pdr05 bc__default fs-initial normal" |  {{#var:Portfilterregel--desc}} 
| || # || class=mw12 | {{#var:Quelle}} || class=mw12 | {{#var:Ziel}} || class=mw12 | {{#var:Dienst}} || class=mw6 | NAT || {{#var:Aktion}} || {{#var:Aktiv}} || class=mw5 |
|-
| {{spc|drag|o|-}} || 5 || {{spc|vpn-network|o|-}} Roadwarrior || {{spc|network|o|-}} internal-network || {{spc|tcp|o|-}}  ms-rdp ||  || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||copy|fs=14}}{{Button||w|fs=14}}{{Button||trash|fs=14}}
|-
| {{spc|drag|o|-}} || 6 || {{spc|network|o|-}} internal-network || {{spc|vpn-network|o|-}} Roadwarrior || {{spc|other|o|-}}  any || {{Kasten|NM|blau}}|| {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||copy|fs=14}}{{Button||w|fs=14}}{{Button||trash|fs=14}}
|- class="Leerzeile"
| colspan="9" class=bc__default|
|}
</div>


Unter Subnetze übermitteln wird nur das Netmap-Netz eingetragen und nicht das Original Subnetz des internen Netzwerk.
----


Sollten weitere Subnetze an den Client übermittelt werden, muss vorher überprüft werden, dass diese nicht auch auf anderen Zielen vorhanden sind.
=== {{#var:Hinweise}} ===
 
<div class="einrücken">
 
{{#var:Hinweise--desc}}
 
</div>
 
 
 
 
 
 
 
 
 
 
===Netzwerkobjekte erstellen===
[[Datei:UTM115_AI_PFNOnm2.png|250px|thumb|right|Netzwerkobjekt für Netmap-Netz]]
Neben dem vorhandenen Netzwerkobjekt für den Roadwarrior, wird ein weiteres für das Netmap-Netz mit den folgenden Eigenschaften benötigt um eine entsprechende Portfilterregel zu erstellen:
<table>
<tr>
<td><b>Name:</b></td><td>Ist frei wählbar. In diesem Beispiel <i>Netmap-Netz</i></td>
</tr>
<tr>
<td><b>Typ:</b></td><td> Netzwerk (Adresse)</td>
</tr>
<tr>
<td valign="top"><b>Adresse:&nbsp;&nbsp;</b></td><td> Das Subnetz das für Netmap verwendet werden soll. In diesem Beispiel 192.168.2.0/24</td>
</tr>
<tr>
<td valign="top"><b>Zone:</b></td><td> Die Netzwerkzone in der sich auch das Netzwerk befindet, mit deren Hosts der Client eine Verbindung per VPN hergestellt werden soll.</td>
</tr>
</table>
 
 
 
===Portfilterregeln===
Zuletzt werden zwei Portfilterregeln benötigt.<br>
[[Datei:UTM115_AI_PFRrw.png|250px|thumb|right|Portfilterregel für Roadwarrior]]
Die erste wird schon vorhanden sein, denn die SSL-VPN Verbindung wurde ja schon angelegt und funktioniert, wenn vom Client nicht gleichzeitig eine weitere Verbindung zu einem anderen Ziel mit dem selben Subnetz aufgebaut wird.
 
Bei dieser Portfilterregel geht es um die grundsätzliche Steuerung der Datenübertragung vom Roadwarrior zum Internen Netzwerk mit bestimmten Diensten. Hierbei ändert sich auch nichts.
 
 
 
 
 
 
 
[[Datei:UTM115_AI_PFRrwnm.png|250px|thumb|right|Portfilterregel für Netmap]]
Die zweite Portfilterregel ist neu und bezieht sich auf das Netmap. Diese hat die folgenden Eigenschaften:
<table>
<tr>
<td valign="top" width=150><b>Quelle:</b></td><td>Netzwerk auf das der Roadwarrior Zugriff haben soll. In diesem Beispiel <i>internal-network</i></td>
</tr>
<tr>
<td><b>Ziel:</b></td><td>Netzwerk des Roadwarrior</td>
</tr>
<tr>
<td><b>Dienst:</b><td>any</td>
</tr>
<tr>
<td><b>NAT-Typ</b></td><td>NETMAP</td>
</tr>
<tr>
<td><b>NAT-Netzwerkobjekt</b></td><td>Netmap-Netz</td>
</tr>
<tr>
<td><b>NAT-Dienst</b></td><td>any</td>
</tr>
</table>
 
===Zu beachten===
Der VPN Client muss die Verbindung neu aufbauen, damit dieser auch das korrekte Subnetz übermittelt bekommt.
 
Der Zugriff vom Client auf einen Host im internen Netzwerk erfolgt dann über die IP-Adresse 192.168.2.x, da hier die Subnetzmaske /24 definiert wurde. Das letzte Oktet ist also die Original Host-IP. <br>
Wenn wir in diesem Beispiel also den Host mit der Original IP-Adresse 192.168.0.1 ansprechen möchten, muss der Client die IP-Adresse 192.168.2.1 verwenden um diesen zu erreichen.
 
Der Client kann hier nur mit IP-Adressen auf die Hosts im internen Netzwerk zugreifen. Eine DNS abfrage würde zur Folge haben, dass  die Original IP des Host übertragen werden würde und darüber ist dieser vom Client nicht mehr erreichbar.

Aktuelle Version vom 29. Mai 2024, 10:47 Uhr































De.png
En.png
Fr.png








Netmap Einrichtung für einen SSL-VPN Roadwarrior
Letzte Anpassung zur Version: 12.6.0
Neu:
  • Layoutanpassung
  • Screenshots aktualisiert
notempty
Dieser Artikel bezieht sich auf eine Resellerpreview

11.7 11.6.12



Einleitung

In diesem Wiki wollen wir den Fall behandeln, wenn ein Roadwarrior gleichzeitig eine VPN Verbindung zu verschiedenen Zielen aufbaut, die aber jeweils das gleiche Subnetz verwenden. Weiterhin bekommt der VPN-Client auch noch eine Adresse aus dem gleichen Roadwarrior Pool von den VPN-Servern. In diesem Fall hätte der Client natürlich das Problem, dass er nicht zwischen den Zielen unterscheiden kann.

Hierbei kann der NAT-Typ NETMAP Abhilfe schaffen.


Netmap-SSL-RW.png

In unserem Beispiel nehmen wir die folgenden Vorgaben an:

Roadwarrior Pool: 192.168.0.0/24
Internes Netz der Standorte: 192.168.175.0/24
Netmap-Netz des ersten Standort: 192.168.1.0/24
Netmap-Netz des zweiten Standort: 192.168.2.0/24

Weiterhin gehen wir davon aus, dass die SSL-VPN Roadwarrior Verbindung bereits eingerichtet ist und funktioniert.


Konfiguration des SSL-VPN Roadwarriorserver mit Netmap

Vorbereitungen

Firewall Netzwerkobjekte  Schaltfläche Netzwerkobjekt bearbeiten UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte UTM v12.6 SSL-VPN VPN-Roadwarrior-Netmap Netzwerkobjekt bearbeiten.png Netzwerkobjekt auf Adresse umstellen
Zur Nutzung der NETMAP Funktion sind folgende Bedingungen zu beachten:
  • Die Subnetze der am NETMAP beteiligten Objekte müssen alle die gleiche Größe haben, zum Beispiel alle /24.
  • Alle beteiligten Objekte müssen eine definierte Netzwerk IP-Adresse eingetragen haben. Es dürfen also keine Schnittstellen ausgewählt werden.

Das Netzwerkobjekt des Internen Netzwerkes darf nicht auf die Schnittstelle eingerichtet sein. Dieses kann gegebenenfalls auf Adresse umgestellt werden, indem die Adresse in die Drop-Down Schaltfläche eingetragen wird. In diesem Beispiel haben wir auf beiden Seiten das Netzwerk 192.168.175.0/24.

Einstellung im SSL-VPN Server

VPN SSL-VPN  Schaltfläche SSL-VPN Verbindung bearbeiten UTMbenutzer@firewall.name.fqdnVPNSSL-VPN UTM v12.6 SSL-VPN VPN-Roadwarrior-Netmap Verbindung bearbeiten.png Netmap Adresse im Roadwarrior-Server
Unter Servernetzwerke freigeben wird nur das Netmap-Netz eingetragen und nicht das Original Subnetz des internen Netzwerks.

Sollten weitere Subnetze an den Client übermittelt werden, muss vorher überprüft werden, dass diese nicht auch auf anderen Zielen vorhanden sind.

Netzwerkobjekte erstellen

Neben dem vorhandenen Netzwerkobjekt für den Roadwarrior wird ein weiteres für das Netmap-Netz mit den folgenden Eigenschaften benötigt, um eine entsprechende Paketfilterregel zu erstellen:


Bezeichnung Wert Beschreibung Netzwerkobjekt hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte UTM v12.6 SSL-VPN VPN-Roadwarrior-Netmap Netzwerkobjekt hinzufuegen.png Netzwerkobjekt für Netmap-Netz
Name: Netmap-Netz Ist frei wählbar.
Typ: Netzwerk (Adresse)
Adresse: 192.168.1.0/24 Das Subnetz, das für Netmap verwendet werden soll.
Zone: internal Die Netzwerkzone, in der sich auch das Netzwerk befindet, mit deren Hosts der Client eine Verbindung per VPN herstellen soll.

Paketfilterregeln

Die erste Paketfilter Regel wird schon vorhanden sein, denn die SSL-VPN Verbindung wurde ja schon angelegt und funktioniert, wenn vom Client nicht gleichzeitig eine weitere Verbindung zu einem anderen Ziel mit dem selben Subnetz aufgebaut wird.

Bei dieser Paketfilterregel geht es um die grundsätzliche Steuerung der Datenübertragung vom Roadwarrior zum Internen Netzwerk mit bestimmten Diensten. Hierbei ändert sich auch nichts.

Regel bearbeiten UTMbenutzer@firewall.name.fqdnFirewallPaketfilter UTM v12.6 SSL-VPN VPN-Roadwarrior-Netmap Regel bearbeiten.png Paketfilterregel für Roadwarrior
Die zweite Paketfilterregel ist neu und bezieht sich auf das Netmap. Diese hat die folgenden Eigenschaften:
Bezeichnung Wert Beschreibung Regel hinzufügen UTMbenutzer@firewall.name.fqdnFirewallPaketfilter UTM v12.6 SSL-VPN VPN-Roadwarrior-Netmap Regel erstellen.png Paketfilterregel für Netmap
Allgemein
Quelle: Network.svginternal-network Netzwerk, auf das der Roadwarrior Zugriff haben soll.
Ziel: Vpn-network.svgRoadwarrior Netzwerk des Roadwarrior.
Dienst: Other.svgany Die any Regel sollte nur bei Netmap verwendet werden, da sie keine Einschränkungen hat.
Aktion: ACCEPT
[ - ] NAT
Typ: NETMAP
Netzwerkobjekt: Network.svgNetmap-Netz
Dienst: Other.svgany Die any Regel sollte nur bei Netmap verwendet werden, da sie keine Einschränkungen hat.

Die Übersicht der Paketfilter sollte nun folgende Zeilen enthalten:

# Quelle Ziel Dienst NAT Aktion Aktiv
Dragndrop.png 5 Vpn-network.svg Roadwarrior Network.svg internal-network Tcp.svg ms-rdp Accept Ein
Dragndrop.png 6 Network.svg internal-network Vpn-network.svg Roadwarrior Other.svg any NM Accept Ein

Hinweise

Der VPN Client muss die Verbindung neu aufbauen, damit dieser auch das korrekte Subnetz übermittelt bekommt.

Der Zugriff vom Client auf einen Host im internen Netzwerk erfolgt dann über die IP-Adresse 192.168.2.x, da hier die Subnetzmaske /24 definiert wurde. Das letzte Oktett ist also die Original Host-IP.
Wenn wir in diesem Beispiel also den Host mit der Original IP-Adresse 192.168.0.1 ansprechen möchten, muss der Client die IP-Adresse 192.168.2.1 verwenden um diesen zu erreichen.

Der Client kann hier nur mit IP-Adressen auf die Hosts im internen Netzwerk zugreifen. Eine DNS Abfrage würde zur Folge haben, dass die Original IP des Hosts übertragen werden würde und darüber ist dieser vom Client nicht mehr erreichbar.