Wechseln zu:Navigation, Suche
Wiki
(Die Seite wurde neu angelegt: „{{Set_lang}} {{#vardefine:headerIcon|spicon-utm}} {{:UTM/VPN/SSL VPN zu IPSec-Ziel.lang}} </div>{{DISPLAYTITLE:{{#var:display}} }}{{TOC2| Bild={{#var:Ausgan…“)
 
KKeine Bearbeitungszusammenfassung
Zeile 74: Zeile 74:
|
|
|}
|}
==== {{#var:Konfiguration mit HideNat-Regel}} ====
<div class="Einrücken">
===== {{#var:Portfilter Regel}} =====
<i class="host utm">{{#var:Standort}} B</i><br>{{#var:Portfilter Regel--desc}}
{| class="sptable2 spezial pd5 zh1"
| {{Kasten| {{#var:Quelle}} }} || {{ic| SSL-VPN-RW-Network|icon=vpn-network}} || {{#var: regel--quelle--desc| Roadwarrior -Host oder -Netzwerk }}
|-
| {{Kasten| {{#var:Ziel}} }} || {{ic| {{#var:Name--val}} |icon=host}} || {{#var: regel--ziel--desc| Netzwerk, auf das zugegriffen werden soll. }}
|-
| {{Kasten| {{#var:Dienst}} }} || {{ic| xyz|icon=dienste}} || {{#var: regel--dienst--desc| Gewünschter Dienst oder Dienstgruppe }}
|-
| {{Kasten|NAT}} {{Kasten|{{#var:Typ}} }}|| {{ic|Hidenat|dr}} || {{#var:Typ-Hidenat--desc}}
|-
| {{Kasten|NAT}} {{Kasten|{{#var:Netzwerkobjekt}} }}|| {{ic|internal-interface|dr}} || <li class="list--element__alert list--element__warning">{{#var:Netzwerkobjekt--desc}}</li>
|}
{{#var:Hinzufügen und schließen--desc}}
{{#var:Anzeige Portfilter Regel}}
{| class="sptable2 spezial pd5 tr--bc__white zh1"
|- class="bold small no1cell"
| class="Leerzeile bc__default" | || ||<nowiki>#</nowiki> || style="min-width:12em;"| {{#var:Quelle}} || style="min-width:12em;"| {{#var:Ziel}} || style="min-width:12em;"| {{#var:Dienst}} || style="min-width:6em;"| NAT || {{#var:Aktion}} || {{#var:Aktiv}} ||style="min-width:5em;"|
|-
| class="bc__default noborder" | || {{spc|drag|o|-}} || 7 || {{spc|vpn-network|o|-}} SSL-VPN-RW-Network || {{spc|host|o|-}} {{#var:Name--val}} || {{spc|dienste|o|-}}  default-internet || {{Kasten|HN|blau}} || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}}
|}
<li class="list--element__alert list--element__hint">{{#var:Regeln aktualisieren--desc}}</li><br><br>
</div>


----
----


==== {{#var:Konfiguration ohne HideNat}} ====
==== {{#var:Konfiguration ohne HideNat}} ====
Zeile 163: Zeile 131:
<li class="list--element__alert list--element__hint">{{#var:Regeln aktualisieren--desc}}</li><br><br>
<li class="list--element__alert list--element__hint">{{#var:Regeln aktualisieren--desc}}</li><br><br>
</div>
</div>
----
==== {{#var:Konfiguration mit HideNat-Regel}} ====
{{#var:Konfiguration mit HideNat-Regel--desc}}<br>
{{Hinweis| ! {{#var:Konfiguration mit HideNat-Regel--Hinweis}} }}
<br clear=all>
<div class="Einrücken">
===== {{#var:Portfilter Regel}} =====
<i class="host utm">{{#var:Standort}} B</i><br>{{#var:Portfilter Regel--desc}}
{| class="sptable2 spezial pd5 zh1"
| {{Kasten| {{#var:Quelle}} }} || {{ic| SSL-VPN-RW-Network|icon=vpn-network}} || {{#var: regel--quelle--desc| Roadwarrior -Host oder -Netzwerk }}
|-
| {{Kasten| {{#var:Ziel}} }} || {{ic| {{#var:Name--val}} |icon=host}} || {{#var: regel--ziel--desc| Netzwerk, auf das zugegriffen werden soll. }}
|-
| {{Kasten| {{#var:Dienst}} }} || {{ic| xyz|icon=dienste}} || {{#var: regel--dienst--desc| Gewünschter Dienst oder Dienstgruppe }}
|-
| {{Kasten|NAT}} {{Kasten|{{#var:Typ}} }}|| {{ic|Hidenat|dr}} || {{#var:Typ-Hidenat--desc}}
|-
| {{Kasten|NAT}} {{Kasten|{{#var:Netzwerkobjekt}} }}|| {{ic|internal-interface|dr}} || <li class="list--element__alert list--element__warning">{{#var:Netzwerkobjekt--desc}}</li>
|}
{{#var:Hinzufügen und schließen--desc}}
{{#var:Anzeige Portfilter Regel}}
{| class="sptable2 spezial pd5 tr--bc__white zh1"
|- class="bold small no1cell"
| class="Leerzeile bc__default" | || ||<nowiki>#</nowiki> || style="min-width:12em;"| {{#var:Quelle}} || style="min-width:12em;"| {{#var:Ziel}} || style="min-width:12em;"| {{#var:Dienst}} || style="min-width:6em;"| NAT || {{#var:Aktion}} || {{#var:Aktiv}} ||style="min-width:5em;"|
|-
| class="bc__default noborder" | || {{spc|drag|o|-}} || 7 || {{spc|vpn-network|o|-}} SSL-VPN-RW-Network || {{spc|host|o|-}} {{#var:Name--val}} || {{spc|dienste|o|-}}  default-internet || {{Kasten|HN|blau}} || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}}
|}
<li class="list--element__alert list--element__hint">{{#var:Regeln aktualisieren--desc}}</li><br><br>
</div>
----

Version vom 8. Oktober 2021, 16:51 Uhr






























Mit einem SSL-VPN Roadwarrior auf ein Netzwerk hinter einer IPSec Site-to-Site Verbindung zugreifen

Letzte Anpassung: 10.2021


Neu:

  • Neuer Artikel



Vorherige Versionen: -


Ausgangslage

  • Ein Netzwerk am Standort A ist über eine IPSec-Site-to-Site-Verbindung mit einem Netzwerk an Standort B verbunden
  • Es besteht eine SSL-VPN-Verbindung von einem Roadwarrior zu dem Netzwerk an Standort B

Ziel:

  • Das Interne Netzwerk an Standort A soll für den Roadwarrior über die SSL-VPN-Verbindung zu Standort B erreichbar sein.


Konfiguration:

  • Standort A:
    Internes Netzwerk: 192.168.218.0/24
  • Standort B:
    Internes Netzwerk: 192.168.219.0/24
  • Roadwarrior:
    SSL-VPN-Verbindung zu Standort B
    Transfernetz-IP: 10.10.10.0/24

IPSec Site-to-Site Verbindung einrichten

Ein Anleitung zur Konfiguration einer IPSec-Site-to-Site Verbindung gibt es in diesem Wiki.

SSL-VPN Verbindung einrichten

Ein Anleitung zur Konfiguration einer SSL-VPN Verbindung für Roadwarrior gibt es in diesem Wiki.


Anpassen der Konfiguration

SSL-VPN-Verbindung bearbeiten

Standort B
Anpassen der SSL-VPN-Roadwarrior Verbindung unter VPN SSL-VPN  Schaltfläche der Verwendeten Verbindung, Reiter Allgemein

Beschriftung Wert Beschreibung UTM v12.6 SSL-VPN zu IPSec Servernetzwerke.png
Servernetzwerke hinzufügen
Servernetzwerke freigeben: »192.168.219.0/24»192.168.218.0/24 In diesem Beispiel wurde das interne Netzwerk des Standortes B (192.168.219.0/24) bereits durch die SSL-VPN-Verbindung freigegeben.
Zusätzlich muss nun noch das interne Zielnetzwerk an Standort A, auf das der Roadwarrior zugreifen soll freigegeben werden.
Speichern Angaben mit der Schaltfläche Speichern übernehmen
SSL-VPN Verbindung neu starten mit der Schaltfläche
Neustarten
  • Die SSL-VPN-Verbindung auf dem Roadwarrior muss einmal beendet und neu aufgebaut werden, damit das neue Servernetzwerk gepuscht werden kann
  • Netzwerkobjekt am Standort B anlegen

    Standort B
    Anlegen eines Netzwerkobjektes für das Zielnetzwerk unter Firewall Netzwerkobjekte  Schaltfläche Objekt hinzufügen

    Name: IPSec Ziel frei wählbarer Name UTM v12.6 SSL-VPN zu IPSec HideNat Netzwerkobjekt.png
    Typ: Netzwerk (Adresse) Wichtig: Die SSL-VPN-Verbindung bekommt nicht mit, daß es sich um eine weitere VPN-Verbindung handelt.
    Daher darf hier kein VPN-Netzwerk ausgewählt werden!
    Adresse: 192.168.218.0/24 Die Netz-IP des internen Zielnetzwerkes, auf das zugegriffen werden soll
    Zone: external external
    Gruppen:     Ggf. kann das Netzwerkobjekt einer Gruppe hinzugefügt werden
    Speichern und schließen Netzwerkobjekt mit dieser Schaltfläche speichern und hinzufügen

    Konfiguration mit Anpassung der IPSec-Verbindung

    Das Transfernetz des Roadwarriors muss auf beiden UTMs in der Phase 2 der IPSec Verbindung eingetragen werden.
    Konfiguration unter VPN IPSec  Schaltfläche Phase 2 der verwendeten Verbindung, Bereich Subnetze, Schaltfläche IPSec Verbindung hinzufügen

    Anpassen der IPSec-Verbindung
    Standort A
    Beschriftung Wert Beschreibung UTM v12.6 SSL-VPN zu IPSec Phase2 Subnetz-hinzufügenA.png
    Subnetz hinzufügen in Phase 2 / Standort A
    UTM v12.6 SSL-VPN zu IPSec Phase2 SubnetzeA.png
    Ergänzte Subnetze in Phase 2 / Standort A
    Lokales Netzwerk: 192.168.218.0/24 Das lokale Zielnetzwerk muss am Standort A als Lokales Netzwerk eingetragen werden
    Remote Netzwerk: 10.10.10.0/24 Das Transfernetz des Roadwarriors (hier 10.10.10.0/24) muss am Standort A als Remote-Netzwerk eingetragen werden
    Subnetze hinzufügen mit
    Speichern und schließen

    Änderungen der Phase 2 übernehmen ebenfalls mit der Schaltfläche

    IPSec-Verbindung neu starten mit der Schaltfläche
    Neustarten


    Standort B
    Beschriftung Wert Beschreibung UTM v12.6 SSL-VPN zu IPSec Phase2 Subnetz-hinzufügen.png
    Subnetz hinzufügen in Phase 2 / Standort B
    UTM v12.6 SSL-VPN zu IPSec Phase2 Subnetze.png
    Ergänzte Subnetze in Phase 2 / Standort B
    Lokales Netzwerk: 10.10.10.0/24 Das Transfernetz des Roadwarriors (hier 10.10.10.0/24) muss am Standort B als Lokales Netzwerk eingetragen werden
    Remote Netzwerk: 192.168.218.0/24 Das interne Zielnetzwerk (in Standort A) muss am Standort B als Remote-Netzwerk eingetragen werden
    Subnetze hinzufügen mit
    Speichern und schließen

    Änderungen der Phase 2 übernehmen ebenfalls mit der Schaltfläche

    IPSec-Verbindung neu starten mit der Schaltfläche
    Neustarten

    Standort B

    Quelle
    Vpn-network.svg SSL-VPN-RW-Network Netzwerkobjekt des Roadwarrior-Netzwerkes
    Ziel
    Host.svg IPSec Ziel Netzwerk, auf das zugegriffen werden soll
    Dienst
    Service-group.svg xyz Gewünschter Dienst oder Dienstgruppe
    Speichern der Regel mit der Schaltfläche
    Speichern und schließen


    # Quelle Ziel Dienst NAT Aktion Aktiv
    Dragndrop.png 7 Vpn-network.svg SSL-VPN-RW-Network Host.svg IPSec Ziel Service-group.svg default-internet Accept Ein
  • Die Regel wird erst angewendet, wenn die Schaltfläche
    Regeln aktualisieren
    betätigt wird!





  • Konfiguration mit HideNat-Regel

    Besteht kein Zugriff auf die Konfiguration an Standort A, kann auch eine Regel mit HideNat verwendet werden. Dies ersetzt dann die Übergabe der Netz-IP des SSL-VPN-Transfernetzes in Phase 2 der IPSec-Verbindung.

    Da hierbei IP-Adressen ausgetauscht werden, kann dies zu Problemen z.B. mit VoIP oder FTP führen.

    Standort B

    Quelle
    Vpn-network.svg SSL-VPN-RW-Network Netzwerkobjekt des Roadwarrior-Netzwerkes
    Ziel
    Host.svg IPSec Ziel Netzwerk, auf das zugegriffen werden soll
    Dienst
    Service-group.svg xyz Gewünschter Dienst oder Dienstgruppe
    NAT
    Typ:
    Hidenat Die Adressen müssen vom Roadwarrior-Netz ind das Zielnetzwerk übersetzt werden
    NAT
    Netzwerkobjekt
    internal-interface
  • Das SSL-VPN-Netzwerk wird an dieser Stelle wie ein internes Netzwerk behandelt!
  • Speichern der Regel mit der Schaltfläche
    Speichern und schließen


    # Quelle Ziel Dienst NAT Aktion Aktiv
    Dragndrop.png 7 Vpn-network.svg SSL-VPN-RW-Network Host.svg IPSec Ziel Service-group.svg default-internet HN Accept Ein
  • Die Regel wird erst angewendet, wenn die Schaltfläche
    Regeln aktualisieren
    betätigt wird!