UTM/VPN/Netmap v11.8.7: Unterschied zwischen den Versionen

Version vom 10. Dezember 2019, 10:25 Uhr

Verbinden von VPN-Netzen mit den gleichen Broadcast-Domains (IP-Bereiche)

Letzte Anpassung zur Version: 11.8.7

Änderungen:

Zone des Remote-Netzes korrigiert
Layoutanpassung

Vorherige Versionen: 11.7

Sollten auf beiden Seiten einer VPN Verbindung die gleichen Subnetze eingesetzt werden, ist es normalerweise nicht möglich diese Verbindung einzurichten.
Weiterhin kann es passieren, dass hinter verschiedenen Gegenstellen die gleichen Netzwerke eingerichtet sind.
Mit dem NAT-Typ NETMAP und Hilfsnetzwerken (Mapnetz) die auf keinen der zu verbindenden Gegenstellen eingerichtet sind, können diese Verbindungen trotzdem erstellt werden, ohne auf eine der Seiten das Subnetz komplett zu ändern.

NATen von kompletten Subnetzen mit NETMAP

Vorbereitungen

Netzwerkobjekt auf Adresse umstellen

Zentrale & Filiale
Zur Nutzung der NETMAP Funktion sind folgende Bedingungen zu beachten:

Die Subnetze der am NETMAP beteiligten Objekte müssen alle die gleiche Größe haben, zum Beispiel alle /24.
Alle beteiligten Objekte müssen eine definierte Netzwerk IP-Adresse eingetragen haben. Es dürfen also keine Schnittstellen ausgewählt werden.

Überprüfung des Netzwerkobjektes des internen Netzwerkes und gegebenenfalls Umstellung auf Adresse, indem der Radio-Button vor Adresse aktiviert und die Netzwerk-Adresse mit der entsprechenden Subnetzmaske in das Feld eintragen wird. In diesem Beispiel haben wir das Netzwerk 172.16.3.0/24 auf beiden Seiten.

Ausgangslage:

Zentrale und Filiale haben das gleiche Subnetz

In diesem Fall muss das Mapping auf beiden Seiten der Verbindung eingerichtet werden.

	Lokales Netz	Öffentliche IP	Netmap
Zentrale	172.16.3.0/24	192.0.2.192	10.0.1.0/24
Filiale	172.16.3.0/24	192.0.2.193	10.0.2.0/24

Die Verbindung soll über IPSec hergestellt werden.

Netzwerkobjekte erstellen

Netzwerkobjekt in der Zentrale für das eigene Netz (Mapnetz Lokal)

Netzwerkobjekt in der Zentrale für das Filial-Netz (Mapnetz Remote)

Es müssen in der Zentrale zwei Netzwerkobjekte mit Netzwerken erstellt werden, die weder in der Zentrale noch in der Filiale eingerichtet sind.
Zentrale
→ Firewall →Portfilter → Netzwerkobjekte → Objekt hinzufügen

Das Netzwerkobjekt für das (entfernte) Mapnetz der Filiale muss vom Typ Netzwerk (Adresse) sein.

Bei IPSec-Verbindungen, muss sich das Netzwerkobjekt in der Zone befinden.

Bei SSL-VPN-Verbindungen muss zuerst eine Verbindung angelegt werden.
Dabei wird ein Zone VPN-SSL-Verbindungsname angelegt.
Das Netzwerkobjekt muss dann mit dieser Zone angelegt werden.

Das Netzwerkobjekt erhält in unserem Beispiel die Netzwerkadresse 10.0.2.0/24

Das Netzwerkobjekt für das (eigene) Mapnetz der Zentrale muss sich in der Zone des internen Netzwerkes befinden und bekommt in unserem Beispiel die Netzwerkadresse 10.0.1.0/24

Netzwerkobjekt in der Filiale für das eigene Netz

Netzwerkobjekt in der Filiale für das Netz der Zentrale

Filiale
Auf der Seite der Filiale werden ebenfalls zwei Netzwerkobjekte erstellt.
Dort ist das Netzwerk 10.0.1.0/24, das Mapnetz der Zentrale, das sich in der Zone external befindet und das Netzwerk 10.0.2.0/24, das Mapnetz der Filiale, das mit der Zone des internen Netzwerkes internal angelegt wird.

NETMAP Regel anlegen

NETMAP Portfilterregel

Es muss auf jeder Seite eine Portfilterregel anhand der Netzwerkobjekte erstellt werden.

Auf der Seite der Zentrale
Quelle	internal network
Ziel	Mapnetz der Filiale
Dienst	Dienst der gemappt werden soll
Typ	NETMAP
Netzwerkobjekt	Mapnetz der Zentrale

Auf der Seite der Filiale
Quelle	Internes Netzwerk
Ziel	Mapnetz der Zentrale
Dienst	Dienst der gemappt werden soll
[–] NAT Typ	NETMAP
Netzwerkobjekt	Mapnetz der Filiale

VPN-Verbindung anlegen

Zentrale

Zentrale Schritt 4 mit remote Mapnetz der Filiale

Zentrale Schritt 3 mit lokalem Mapnetz der Zentrale

Anlegen einer IPSec-Site-to-Site VPN-Verbindung, wie im Wiki beschrieben im Menü → VPN →IPSec mit der Schaltfläche + IPSec-Verbindung hinzugügen.

In Schritt 3 muss das lokale Mapnetz freigegeben werden
in Schritt 4 das remote Mapnetz.

Filiale

Filiale Schritt 4 mit remote Mapnetz der Zentrale

Filiale Erreichbarkeit von Hosts der Gegenstelle

Anlegen einer IPSec-Site-to-Site VPN-Verbindung, wie im Wiki beschrieben im Menü → VPN →IPSec mit der Schaltfläche + IPSec-Verbindung hinzugügen.

In Schritt 3 muss das lokale Mapnetz freigegeben werden
in Schritt 4 das remote Mapnetz.

Erreichbarkeit von Hosts der Gegenstelle

Ein Rechner mit der IP-Adresse 172.16.3.10 in der Filiale wird von der Zentrale aus mit der IP-Adresse 10.0.2.10 angesprochen.
Einen Rechner mit der IP-Adresse 172.16.3.120 in der Zentrale wird von der Filiale aus mit der IP-Adresse 10.0.1.120 angesprochen.

Mehrere Filialen haben das gleiche Subnetz

Ausgangslage:

	Lokales Netz	Öffentliche IP	Netmap
Zentrale	172.16.0.0/24	192.0.2.192	nicht erforderlich
Filiale 1:	172.16.3.0/24	192.0.2.193	nicht erforderlich
Filiale 2:	172.16.3.0/24	192.0.2.194	10.0.1.0/24

Hierbei wird das Mapping nur auf den Filialen eingerichtet, die das gleiche Netzwerk nutzen wie auf einer schon eingerichteten VPN-Verbindung. In der Zentrale wird kein Mapping benötigt, sofern sich das interne Netz der Zentrale von denen der Filiale unterscheidet. Ebenfalls kann in einer Filiale das vorhandene Netz ohne Mapping verwendet werden.

Netzwerkobjekte erstellen

Netzwerkobjekt in den Filialen für das Netz der Zentrale. Es kann direkt das Subnetz der Zentrale verwendet werden.

In Filiale 1 & Filiale 2 (und in jeder weiteren Filiale) wird ein IPSec-Netzwerkobjekt für die Zentrale eingerichtet.
Das Netzwerkobjekt für das Netz der Gegenstelle muss sich in der Zone vpn-ipsec befinden und hat in unserem Beispiel die Netzwerkadresse 172.16.0.0/24.

Netzwerkobjekt in der Filiale 2 für das eigene Mapnetz (Lokal). So wird die Filiale 2 für die Zentrale gemapt.

In der Filiale 2 (und in jeder weiteren Filiale, die ein bereits genutztes Subnetz verwendet) wird ein zweites Netzwerkobjekt für das eigene Subnetz erstellt, das gemapt wird.

Das Mapnet darf weder in der Filiale, noch in der Zentrale, noch auf einer der anderen Filialen die per VPN Verbindungen an die Zentrale angebunden sind, genutzt werden.
Das Netzwerkobjekt für das Mapnetz in der Filiale muss sich in der Zone des internen Netzwerkes befinden und bekommt in unserem Beispiel die Netzwerkadresse 10.0.1.0/24. (weitere Filialen erhalten an dieser Stelle ein anderes Mapnet!)

NETMAP Regel anlegen

NETMAP Portfilterregel

Portfilterregeln in der Filiale 2 (und in jeder weiteren Filiale, die ein bereits genutztes Subnetz verwendet)

Auf der Seite der Filiale 2
Quelle	Internes Netzwerk
Ziel	IPSec-Netz der Zentrale
Dienst	benötigter Dienst
[–] NAT Typ	NETMAP
Netzwerkobjekt	Mapnetz der Filiale 2

VPN-Verbindung anlegen

Schritt 4 mit Remotenetz

Schritt 3 in Filiale 2 mit lokalem Mapnetz

Anlegen einer IPSec-Site-to-Site VPN-Verbindung, wie im Wiki beschrieben im Menü → VPN →IPSec mit der Schaltfläche + IPSec-Verbindung hinzugügen.

Filiale 1

In Schritt 3 muss das lokale Netz (ohne mapping) freigegeben werden.
Im Beispiel:»172.16.3.0/24

Filiale 2 (und ggf. weitere Filialen)

In Schritt 3 muss das lokale Mapnetz freigegeben werden.
Im Beispiel: »10.0.1.0/24

jede Filiale

in Schritt 4 wird das direkte Remote-Netz der Zentrale (ohne mapping) freigegeben.
Im Beispiel: »172.16.0.0/24

Zentrale

Es wird für jede Filiale eine Verbindung benötigt.
In Schritt 3 muss das lokale Netz freigegeben werden.
Im Beispiel: »172.16.0.0/24
in Schritt 4 wird das gemapte Remote-Netz der entsprechenden Filiale freigegeben.
Im Beispiel: »10.0.1.0/24

Portfilterregeln

Zwei Möglichkeiten stehen zur Verfügung:

Zentrale & jede Filiale

Menü → Firewall →Implizite Regeln → Gruppe IpsecTraffic → Regel Acceppt Ein

In diesem Falle werden Regeln im Hintergrund angelegt, die alle Dienste für alle Rechner auf beiden Seiten zulassen. (Default)

UTM v11.8.7 Firewall Portfilter Regel Netmap-Filiale2.png

Besser: Eigene Portfilterregeln, die nur die Dienste zuzulassen, die auch benötigt werden.
Dazu wird im Menü → Firewall →Implizite Regeln im Abschnitt IpsecTraffic die Option Accept deaktiviert Aus und Portfilterregeln manuell angelegt.
Beispiel:

Auf der Seite der Zentrale
Quelle	mapnet_remotenet_Filiale1 (Mapnetz der VPN Gegenstelle)
Ziel	internal network
Dienst	benötigter Dienst
Es wird für jede Filiale eine Verbindung benötigt. Hierfür wird kein NAT vom Typ NETMAP mehr benötigt .

Auf der Seite der Filiale
Quelle	ipsec_remotenet (Netz der Zentrale)
Ziel	internal network
Dienst	benötigter Dienst

Erreichbarkeit von Hosts der Gegenstelle

Ein Rechner mit der IP-Adresse 172.16.3.10 in der Filiale 1 wird von der Zentrale aus mit eben dieser IP-Adresse (172.1.6.3.10) angesprochen.
Ein Rechner mit der IP-Adresse 172.16.3.10 in der Filiale 2 wird von der Zentrale aus mit der gemapten IP-Adresse 10.0.1.10 angesprochen.
Einen Rechner mit der IP-Adresse 172.16.0.120 in der Zentrale wird von der Filiale aus mit der IP-Adresse 172.16.0.120 angesprochen.

@@ Zeile 443: / Zeile 443: @@
 ==== {{#var:60|VPN-Verbindung anlegen}} ====
 <div class="nop">
-{{pt3| {{#var:93|UTM_v11.8.7_VPN_IPSEC-Verbindung_Schritt4b.png}} | hochkant=1| {{#var:94|Schritt 4 mit Remotenetz}} }}
+{{pt3| {{#var:93|UTM_v11.8.7_VPN_IPSEC-Verbindung_Schritt4b.png}} | hochkant=1| {{#var:93b|Schritt 4 mit Remotenetz}} }}
 {{pt3 | {{#var:94|UTM_v11.8.7_VPN_IPSEC-Verbindung_Schritt3.png}} |hochkant=1| {{#var:95|Schritt 3  in {{spc|utm|s|'''Filiale 2'''|c={{Farbe|grün}} }} mit lokalem '''Map'''netz}} }}
 <p>{{#var:65|Anlegen einer IPSec-Site-to-Site VPN-Verbindung, [http://wiki.securepoint.de/index.php/IPSec_Site_to_Site_v11#VPN-Verbindung_anlegen wie im Wiki beschrieben].}}<br></p><br>
@@ Zeile 464: / Zeile 464: @@
 <br clear=all>
 ----
 ==== {{#var:104|Portfilterregeln}} ====