KKeine Bearbeitungszusammenfassung |
KKeine Bearbeitungszusammenfassung |
||
| Zeile 5: | Zeile 5: | ||
</div> | </div>{{TOC2| Bild={{#var:Ausgangslage3--Bild}} | cap={{#var:Ausgangslage--cap}}|class=noborder blank}}{{Select_lang}} | ||
{{Header| 04.2022 | | |||
* {{#var:neu--Ergänzung der IPSec-Portfilterregeln}} | |||
{{ | * {{#var:neu--Portfilterlayout}} | ||
}} | |||
* {{#var:neu-- | |||
}} | |||
=== {{#var:Ausgangslage}} === | === {{#var:Ausgangslage}} === | ||
| Zeile 41: | Zeile 34: | ||
==== {{#var:SSL-VPN-Verbindung bearbeiten}} ==== | ==== {{#var:SSL-VPN-Verbindung bearbeiten}} ==== | ||
<div class="Einrücken"> | |||
<i class="host utm">{{#var:Standort}} B</i><br>{{#var:SSL-VPN-Verbindung bearbeiten--desc}} | <i class="host utm">{{#var:Standort}} B</i><br>{{#var:SSL-VPN-Verbindung bearbeiten--desc}} | ||
| Zeile 47: | Zeile 41: | ||
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}} || class="Bild" rowspan="5" | {{Bild | {{#var:SSL-VPN-Verbindung bearbeiten--Bild}}|{{#var:SSL-VPN-Verbindung bearbeiten--cap}} }} | ! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}} || class="Bild" rowspan="5" | {{Bild | {{#var:SSL-VPN-Verbindung bearbeiten--Bild}}|{{#var:SSL-VPN-Verbindung bearbeiten--cap}} }} | ||
|- | |- | ||
| {{b|{{#var:Servernetzwerke freigeben}} }} || {{ic|{{cb|192.168.219.0/24}}{{cb|192.168.218.0/24}} |cb}} || {{#var:Servernetzwerke freigeben--desc}} | | {{b|{{#var:Servernetzwerke freigeben}} }} || class=mw8 | {{ic|{{cb|192.168.219.0/24}}{{cb|192.168.218.0/24}} |cb}} || {{#var:Servernetzwerke freigeben--desc}} | ||
|- | |- | ||
| colspan="2" | {{Button| {{#var:Speichern}} }} || {{#var:Speichern--desc}} | | colspan="2" | {{Button| {{#var:Speichern}} }} || {{#var:Speichern--desc}} | ||
|- | |- | ||
| colspan="3" | {{#var:SSL-VPN neustarten}}<li class="list--element__alert list--element__hint">{{#var:VPN-Client neustarten}}</li> | | colspan="3" | {{#var:SSL-VPN neustarten}}<li class="list--element__alert list--element__hint">{{#var:VPN-Client neustarten}}</li> | ||
|- class="Leerzeile" | |- class="Leerzeile" | ||
| | | | ||
|} | |} | ||
</div> | |||
---- | ---- | ||
| Zeile 88: | Zeile 65: | ||
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}} || class="Bild th-width-l" rowspan="5" | {{Bild | {{#var:Phase2 Subnetz hinzufügenA--Bild}}|{{#var:Phase2 Subnetz hinzufügenA--cap}} }}{{Bild| {{#var:Phase2 SubnetzeA--Bild}}|{{#var:Phase2 SubnetzeA--cap}}}} | ! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}} || class="Bild th-width-l" rowspan="5" | {{Bild | {{#var:Phase2 Subnetz hinzufügenA--Bild}}|{{#var:Phase2 Subnetz hinzufügenA--cap}} }}{{Bild| {{#var:Phase2 SubnetzeA--Bild}}|{{#var:Phase2 SubnetzeA--cap}}}} | ||
|- | |- | ||
| {{b|{{#var:Lokales Netzwerk}} }} || {{ic|192.168.218.0/24}} || {{#var:Lokales NetzwerkA--desc}} | | class=mw10 | {{b|{{#var:Lokales Netzwerk}} }} || {{ic|192.168.218.0/24}} || {{#var:Lokales NetzwerkA--desc}} | ||
|- | |- | ||
| {{b|{{#var:Remote Netzwerk}} }} || {{ic|10.10.10.0/24}} || {{#var:Remote NetzwerkA--desc}} | | {{b|{{#var:Remote Netzwerk}} }} || {{ic|10.10.10.0/24}} || {{#var:Remote NetzwerkA--desc}} | ||
| Zeile 108: | Zeile 85: | ||
| | | | ||
|} | |} | ||
===== {{#var:Netzwerkobjekt anlegen Standort A}} ===== | |||
<div class="Einrücken"> | |||
<i class="host utm">{{#var:Standort}} A</i><br>{{#var:Nicht erforderlich bei impliziten Regeln}}<br> | |||
{{#var:Netzwerkobjekt--Menu}}<br> | |||
{| class="sptable2 pd5 zh1" | |||
|- | |||
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}} | |||
| class="Bild" rowspan="7" | {{Bild | {{#var:Netzwerkobjekt anlegen Standort A--Bild}}|{{#var:Netzwerkobjekt anlegen Standort A--cap}} }} | |||
|- | |||
| {{b|{{#var:Name}} }} || {{ic|{{#var:Name--val}}|class=mw10}} || {{#var:Name--desc}} | |||
|- | |||
| {{b|{{#var:Typ}} }} || {{Button| {{#var:Typ Standort A--val}}|dr|class=mw10}} || {{#var:Typ Standort A--desc}} | |||
|- | |||
| {{b|{{#var:Adresse}} }} || {{ic|10.10.10.0/24|class=mw10}} || {{#var:Adresse Standort A--desc}} | |||
|- | |||
| {{b|{{#var:Zone}} }} || {{Button|vpn-ipsec|dr|class=mw10}} || {{#var:Zone Standort A--desc}} | |||
|- | |||
| {{b|{{#var:Gruppen}} }} || {{ic||cb|class=mw10}} || {{#var:Gruppen--desc}} | |||
|- | |||
| colspan="2" |{{Button| {{#var:Speichern und schließen}} }} || {{#var:Speichern und schließen--desc}} | |||
|- class="Leerzeile" | |||
| | |||
|} | |||
</div> | |||
===== {{#var:Portfilter Regel Standort A}} ===== | |||
<div class="Einrücken"> | |||
<i class="host utm">{{#var:Standort}} A</i> {{#var:Portfilter Regel--desc}}<br> | |||
{| class="sptable2 spezial pd5 zh1" | |||
| {{b| {{#var:Quelle}} }} || {{ic| SSL-VPN-RW-Network|dr|class=mw15|icon=vpn-network}} || {{#var: regel--quelle--desc| Roadwarrior -Host oder -Netzwerk }} | |||
|- | |||
| {{b| {{#var:Ziel}} }} || {{ic| internal-network |dr|class=mw15|icon=network}} || {{#var: Zielnetzwerk-StandortA--desc }} | |||
|- | |||
| {{b| {{#var:Dienst}} }} || {{ic| xyz|dr|class=mw15|icon=dienste}} || {{#var: regel--dienst--desc| Gewünschter Dienst oder Dienstgruppe }} | |||
|- | |||
| {{Kasten|NAT}} {{b|{{#var:Typ}} }}|| {{Button|Hidenat_Exclude|dr|class=mw15}} || {{#var:Typ-Hidenat_Exclude--desc}} | |||
|- | |||
| {{Kasten|NAT}} {{b|{{#var:Netzwerkobjekt}} }}|| {{ic|external-interface|dr|class=mw15|icon=interface}} || | |||
|} | |||
{{#var:Anzeige Portfilter Regel}} | |||
{| class="sptable2 spezial pd5 tr--bc__white zh1" | |||
|- class="bold small no1cell" | |||
| class="Leerzeile bc__default" | || ||<nowiki>#</nowiki> || style="min-width:12em;"| {{#var:Quelle}} || style="min-width:12em;"| {{#var:Ziel}} || style="min-width:12em;"| {{#var:Dienst}} || style="min-width:6em;"| NAT || {{#var:Aktion}} || {{#var:Aktiv}} ||style="min-width:5em;"| | |||
|- | |||
| class="bc__default" | {{#var:IPSec-Regel-external-interface--desc}}{{Einblenden| |{{#var:hide}}|info}} {{#var:Nicht erforderlich bei impliziten Regeln}} </div></span> | |||
| {{spc|drag|o|-}} || 4 || {{spc|world|o|-}} internet || {{spc|interface|o|-}} external-interface || {{spc|dienste|o|-}} ipsec || || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}} | |||
|- | |||
| class="bc__default" | {{#var:Zugriff auf IPSec-Netzwerk--desc}}{{Einblenden| |{{#var:hide}}|info}} {{#var:Nicht erforderlich bei impliziten Regeln}} </div></span> || {{spc|drag|o|-}} || 5 || {{spc|network|o|-}} internal-network || {{spc|vpn-network|o|-}} IPSec-Network || {{spc|dienste|o|-}} {{#var:regel--dienst--desc}} || {{Kasten|HNE|blau}} || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}} | |||
|- | |||
| class="bc__default" | {{#var:Zugriff auf lokales Netzwerk--desc}}{{Einblenden| |{{#var:hide}}|info}} {{#var:Nicht erforderlich bei impliziten Regeln}} </div></span> || {{spc|drag|o|-}} || 6 || {{spc|vpn-network|o|-}} IPSec Network || {{spc|network|o|-}} internal-network || {{spc|dienste|o|-}} {{#var:regel--dienst--desc}} || || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}} | |||
|- class="redborder" | |||
| class="bc__default" | {{#var:Neue Regel--SSL-VPN--desc}} || {{spc|drag|o|-}} || 7 || {{spc|vpn-network|o|-}} SSL-VPN-RW-Network || {{spc|host|o|-}} {{#var:Name--val}} || {{spc|dienste|o|-}} {{#var:regel--dienst--desc}} || {{Kasten|HNE|blau}} || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}} | |||
|} | |||
<li class="list--element__alert list--element__hint">{{#var:Regeln aktualisieren--desc}}</li><br><br> | |||
</div> | |||
===== {{#var:Netzwerkobjekt anlegen}} ===== | |||
<div class="Einrücken"> | |||
<i class="host utm">{{#var:Standort}} B</i><br>{{#var:Netzwerkobjekt anlegen--desc}} | |||
{| class="sptable2 pd5 zh1" | |||
|- | |||
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}} || class="Bild" rowspan="7" | {{Bild | {{#var:Netzwerkobjekt anlegen-ipsec--Bild}}|{{#var:Netzwerkobjekt anlegen--cap}} }} | |||
|- | |||
| {{b|{{#var:Name}} }} || {{ic|{{#var:Name--val}}|class=mw10}} || {{#var:Name--desc}} | |||
|- | |||
| {{b|{{#var:Typ}} }} || {{Button| {{#var:Typ-ipsec--val}}|dr|class=mw10}} || {{#var:Typ-ipsec--desc}} | |||
|- | |||
| {{b|{{#var:Adresse}} }} || {{ic|192.168.218.0/24|class=mw10}} || {{#var:Adresse--desc}} | |||
|- | |||
| {{b|{{#var:Zone}} }} || {{Button|vpn-ipsec|dr|class=mw10}} || {{#var:Zone Standort A--desc}} | |||
|- | |||
| {{b|{{#var:Gruppen}} }} || {{ic||cb|class=mw10}} || {{#var:Gruppen--desc}} | |||
|- | |||
| colspan="2" |{{Button| {{#var:Speichern und schließen}} }} || {{#var:Speichern und schließen--desc}} | |||
|- class="Leerzeile" | |||
| | |||
|}</div> | |||
===== {{#var:Portfilter Regel}} ===== | ===== {{#var:Portfilter Regel}} ===== | ||
| Zeile 113: | Zeile 184: | ||
<i class="host utm">{{#var:Standort}} B</i><br>{{#var:Portfilter Regel--desc}} | <i class="host utm">{{#var:Standort}} B</i><br>{{#var:Portfilter Regel--desc}} | ||
{| class="sptable2 spezial pd5 zh1" | {| class="sptable2 spezial pd5 zh1" | ||
| {{ | | {{b| {{#var:Quelle}} }} || {{ic| SSL-VPN-RW-Network|icon=vpn-network|dr|class=mw15}} || {{#var: regel--quelle--desc| Roadwarrior -Host oder -Netzwerk }} | ||
|- | |- | ||
| {{ | | {{b| {{#var:Ziel}} }} || {{ic| {{#var:Name--val}} |icon=vpn-network|dr|class=mw15}} || {{#var: regel--ziel--desc| Netzwerk, auf das zugegriffen werden soll. }} | ||
|- | |- | ||
| {{ | | {{b| {{#var:Dienst}} }} || {{ic| xyz|icon=dienste|dr|class=mw15}} || {{#var: regel--dienst--desc| Gewünschter Dienst oder Dienstgruppe }} | ||
|- | |||
| {{Kasten|NAT}} {{b|{{#var:Typ}} }}|| {{Button|Hidenat_Exclude|dr|class=mw15}} || {{#var:Typ-Hidenat_Exclude--desc}} | |||
|- | |||
| {{Kasten|NAT}} {{b|{{#var:Netzwerkobjekt}} }}|| {{ic|internal-interface|dr|class=mw15|icon=interface}} || <li class="list--element__alert list--element__warning">{{#var:Netzwerkobjekt--desc}}</li> | |||
|} | |} | ||
{{#var:Hinzufügen und schließen--desc}} | {{#var:Hinzufügen und schließen--desc}} | ||
| Zeile 127: | Zeile 205: | ||
| class="Leerzeile bc__default" | || ||<nowiki>#</nowiki> || style="min-width:12em;"| {{#var:Quelle}} || style="min-width:12em;"| {{#var:Ziel}} || style="min-width:12em;"| {{#var:Dienst}} || style="min-width:6em;"| NAT || {{#var:Aktion}} || {{#var:Aktiv}} ||style="min-width:5em;"| | | class="Leerzeile bc__default" | || ||<nowiki>#</nowiki> || style="min-width:12em;"| {{#var:Quelle}} || style="min-width:12em;"| {{#var:Ziel}} || style="min-width:12em;"| {{#var:Dienst}} || style="min-width:6em;"| NAT || {{#var:Aktion}} || {{#var:Aktiv}} ||style="min-width:5em;"| | ||
|- | |- | ||
| class="bc__default | |||
| class="bc__default" | {{#var:IPSec-Regel-external-interface--desc}}{{Einblenden| |{{#var:hide}}|info}} {{#var:Nicht erforderlich bei impliziten Regeln}} </div></span> || {{spc|drag|o|-}} || 4 || {{spc|world|o|-}} internet || {{spc|interface|o|-}} external-interface || {{spc|dienste|o|-}} ipsec || || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}} | |||
|- | |||
| class="bc__default" | {{#var:Zugriff auf IPSec-Netzwerk--desc}}{{Einblenden| |{{#var:hide}}|info}} {{#var:Nicht erforderlich bei impliziten Regeln}} </div></span> || {{spc|drag|o|-}} || 5 || {{spc|network|o|-}} internal-network || {{spc|vpn-network|o|-}} IPSec-Network || {{spc|dienste|o|-}} {{#var:regel--dienst--desc}} || {{Kasten|HNE|blau}} || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}} | |||
|- | |||
| class="bc__default" | {{#var:Zugriff auf lokales Netzwerk--desc}}{{Einblenden| |{{#var:hide}}|info}} {{#var:Nicht erforderlich bei impliziten Regeln}} </div></span> || {{spc|drag|o|-}} || 6 || {{spc|vpn-network|o|-}} IPSec Network || {{spc|network|o|-}} internal-network || {{spc|dienste|o|-}} {{#var:regel--dienst--desc}} || || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}} | |||
|- class="redborder" | |||
| class="bc__default" | {{#var:Neue Regel Standort B--SSL-VPN--desc}} || {{spc|drag|o|-}} || 7 || {{spc|vpn-network|o|-}} SSL-VPN-RW-Network || {{spc|network|o|-}} {{#var:Name--val}} || {{spc|dienste|o|-}} {{#var:regel--dienst--desc}} || {{Kasten|HNE|blau}} || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}} | |||
|} | |} | ||
<li class="list--element__alert list--element__hint">{{#var:Regeln aktualisieren--desc}}</li><br><br> | <li class="list--element__alert list--element__hint">{{#var:Regeln aktualisieren--desc}}</li><br><br> | ||
</div> | </div> | ||
</div> | |||
---- | ---- | ||
| Zeile 141: | Zeile 229: | ||
{{Hinweis| ! {{#var:Konfiguration mit HideNat-Regel--Hinweis}} }} | {{Hinweis| ! {{#var:Konfiguration mit HideNat-Regel--Hinweis}} }} | ||
<br clear=all> | <br clear=all> | ||
===== {{#var:Netzwerkobjekt anlegen}} ===== | |||
<div class="Einrücken"> | |||
<i class="host utm">{{#var:Standort}} B</i><br>{{#var:Netzwerkobjekt anlegen--desc}} | |||
{| class="sptable2 pd5 zh1" | |||
|- | |||
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}} || class="Bild" rowspan="7" | {{Bild | {{#var:Netzwerkobjekt anlegen--Bild}}|{{#var:Netzwerkobjekt anlegen--cap}} }} | |||
|- | |||
| {{b|{{#var:Name}} }} || {{ic|{{#var:Name--val}}|class=mw10}} || {{#var:Name--desc}} | |||
|- | |||
| {{b|{{#var:Typ}} }} || {{Button| {{#var:Typ--val}}|dr|class=mw10}} || {{#var:Typ--desc}} | |||
|- | |||
| {{b|{{#var:Adresse}} }} || {{ic|192.168.218.0/24|class=mw10}} || {{#var:Adresse--desc}} | |||
|- | |||
| {{b|{{#var:Zone}} }} || {{Button|external|dr|class=mw10}} || {{#var:Zone--desc}} | |||
|- | |||
| {{b|{{#var:Gruppen}} }} || {{ic||cb|class=mw10}} || {{#var:Gruppen--desc}} | |||
|- | |||
| colspan="2" |{{Button| {{#var:Speichern und schließen}} }} || {{#var:Speichern und schließen--desc}} | |||
|- class="Leerzeile" | |||
| | |||
|}</div> | |||
<div class="Einrücken"> | <div class="Einrücken"> | ||
| Zeile 147: | Zeile 258: | ||
{| class="sptable2 spezial pd5 zh1" | {| class="sptable2 spezial pd5 zh1" | ||
| {{ | | {{b| {{#var:Quelle}} }} || {{ic| SSL-VPN-RW-Network|icon=vpn-network|dr|class=mw15}} || {{#var: regel--quelle--desc| Roadwarrior -Host oder -Netzwerk }} | ||
|- | |- | ||
| {{ | | {{b| {{#var:Ziel}} }} || {{ic| {{#var:Name--val}}|dr|class=mw15 |icon=host}} || {{#var: regel--ziel--desc| Netzwerk, auf das zugegriffen werden soll. }} | ||
|- | |- | ||
| {{ | | {{b| {{#var:Dienst}} }} || {{ic| xyz|dr|class=mw15|icon=dienste}} || {{#var: regel--dienst--desc| Gewünschter Dienst oder Dienstgruppe }} | ||
|- | |- | ||
| {{Kasten|NAT}} {{ | | {{Kasten|NAT}} {{b|{{#var:Typ}} }}|| {{Button|Hidenat|dr|class=mw15}} || {{#var:Typ-Hidenat--desc}} | ||
|- | |- | ||
| {{Kasten|NAT}} {{ | | {{Kasten|NAT}} {{b|{{#var:Netzwerkobjekt}} }}|| {{ic|internal-interface|dr|class=mw15|icon=interface}} || <li class="list--element__alert list--element__warning">{{#var:Netzwerkobjekt--desc}}</li> | ||
|} | |} | ||
{{#var:Hinzufügen und schließen--desc}} | {{#var:Hinzufügen und schließen--desc}} | ||
| Zeile 165: | Zeile 276: | ||
| class="Leerzeile bc__default" | || ||<nowiki>#</nowiki> || style="min-width:12em;"| {{#var:Quelle}} || style="min-width:12em;"| {{#var:Ziel}} || style="min-width:12em;"| {{#var:Dienst}} || style="min-width:6em;"| NAT || {{#var:Aktion}} || {{#var:Aktiv}} ||style="min-width:5em;"| | | class="Leerzeile bc__default" | || ||<nowiki>#</nowiki> || style="min-width:12em;"| {{#var:Quelle}} || style="min-width:12em;"| {{#var:Ziel}} || style="min-width:12em;"| {{#var:Dienst}} || style="min-width:6em;"| NAT || {{#var:Aktion}} || {{#var:Aktiv}} ||style="min-width:5em;"| | ||
|- | |- | ||
| class="bc__default noborder" | || {{spc|drag|o|-}} || 7 || {{spc|vpn-network|o|-}} SSL-VPN-RW-Network || {{spc|host|o|-}} {{#var:Name--val}} || {{spc|dienste|o|-}} | | class="bc__default noborder" | || {{spc|drag|o|-}} || 7 || {{spc|vpn-network|o|-}} SSL-VPN-RW-Network || {{spc|host|o|-}} {{#var:Name--val}} || {{spc|dienste|o|-}} {{#var:regel--dienst--desc}} || {{Kasten|HN|blau}} || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}} | ||
|} | |} | ||
<li class="list--element__alert list--element__hint">{{#var:Regeln aktualisieren--desc}}</li><br><br> | <li class="list--element__alert list--element__hint">{{#var:Regeln aktualisieren--desc}}</li><br><br> | ||
Version vom 22. April 2022, 09:56 Uhr
Netzwerkskizze Ausgangslage
Mit einem SSL-VPN Roadwarrior auf ein Netzwerk hinter einer IPSec Site-to-Site Verbindung zugreifen
Letzte Anpassung: 04.2022
Neu:
notempty
Dieser Artikel bezieht sich auf eine Resellerpreview
-
Ausgangslage
- Ein Netzwerk am Standort A ist über eine IPSec-Site-to-Site-Verbindung mit einem Netzwerk an Standort B verbunden
- Es besteht eine SSL-VPN-Verbindung von einem Roadwarrior zu dem Netzwerk an Standort B
Ziel:
- Das Interne Netzwerk an Standort A soll für den Roadwarrior über die SSL-VPN-Verbindung zu Standort B erreichbar sein.
Konfiguration:
- Standort A:
Internes Netzwerk: 192.168.218.0/24 - Standort B:
Internes Netzwerk: 192.168.219.0/24 - Roadwarrior:
SSL-VPN-Verbindung zu Standort B
Transfernetz-IP: 10.10.10.0/24
IPSec Site-to-Site Verbindung einrichten
Ein Anleitung zur Konfiguration einer IPSec-Site-to-Site Verbindung gibt es in diesem Wiki.
SSL-VPN Verbindung einrichten
Ein Anleitung zur Konfiguration einer SSL-VPN Verbindung für Roadwarrior gibt es in diesem Wiki.
Anpassen der Konfiguration
SSL-VPN-Verbindung bearbeiten
Standort B
Anpassen der SSL-VPN-Roadwarrior Verbindung unter Schaltfläche der Verwendeten Verbindung, Reiter Allgemein
| Beschriftung | Wert | Beschreibung |  |
|---|---|---|---|
| Servernetzwerke freigeben: | »192.168.219.0/24»192.168.218.0/24 | In diesem Beispiel wurde das interne Netzwerk des Standortes B (192.168.219.0/24) bereits durch die SSL-VPN-Verbindung freigegeben. Zusätzlich muss nun noch das interne Zielnetzwerk an Standort A, auf das der Roadwarrior zugreifen soll freigegeben werden. | |
| Angaben mit der Schaltfläche Speichern übernehmen | |||
| SSL-VPN Verbindung neu starten mit der Schaltfläche | |||
Konfiguration mit Anpassung der IPSec-Verbindung
Das Transfernetz des Roadwarriors muss auf beiden UTMs in der Phase 2 der IPSec Verbindung eingetragen werden.
Konfiguration unter Schaltfläche der verwendeten Verbindung, Bereich Subnetze, Schaltfläche
Anpassen der IPSec-Verbindung
| Standort A | |||
| Beschriftung | Wert | Beschreibung |   |
|---|---|---|---|
| Lokales Netzwerk: | 192.168.218.0/24 | Das lokale Zielnetzwerk muss am Standort A als Lokales Netzwerk eingetragen werden | |
| Remote Netzwerk: | 10.10.10.0/24 | Das Transfernetz des Roadwarriors (hier 10.10.10.0/24) muss am Standort A als Remote-Netzwerk eingetragen werden | |
| Subnetze hinzufügen mit Speichern und schließen Änderungen der Phase 2 übernehmen ebenfalls mit der Schaltfläche IPSec-Verbindung neu starten mit der Schaltfläche | |||
| Standort B | |||
| Beschriftung | Wert | Beschreibung |   |
| Lokales Netzwerk: | 10.10.10.0/24 | Das Transfernetz des Roadwarriors (hier 10.10.10.0/24) muss am Standort B als Lokales Netzwerk eingetragen werden | |
| Remote Netzwerk: | 192.168.218.0/24 | Das interne Zielnetzwerk (in Standort A) muss am Standort B als Remote-Netzwerk eingetragen werden | |
| Subnetze hinzufügen mit Speichern und schließen Änderungen der Phase 2 übernehmen ebenfalls mit der Schaltfläche IPSec-Verbindung neu starten mit der Schaltfläche | |||
Netzwerkobjekt am Standort A anlegen
Standort A
Diese Regel ist nicht erforderlich, wenn die IPSec-Verbindung über implizite Regeln erlaubt wurde.
Davon ist jedoch im Regelfall abzuraten, da implizite Regeln die Ports, die für IPSec Verbindungen genutzt werden, allen Schnittstellen freigeben.
Netzwerkobjekt anlegen im Reiter Schaltfläche
| Beschriftung | Wert | Beschreibung |  |
|---|---|---|---|
| Name: | IPSec Ziel | frei wählbarer Name | |
| Typ: | Auch, wenn es sich nur um einen einzigen Roadwarrior handelt, wird für die Anbindung eine Tunnel-Netz-IP verwendet. Daher ist hier der Typ Netzwerk auszuwählen. | ||
| Adresse: | 10.10.10.0/24 | Die Netz-IP des SSL-VPN Transfer Netzes aus Standort B | |
| Zone: | Die Zone entspricht der IPSec-Verbindung | ||
| Gruppen: | Ggf. kann das Netzwerkobjekt einer Gruppe hinzugefügt werden | ||
| Netzwerkobjekt mit dieser Schaltfläche speichern und hinzufügen | |||
Standort A
| Quelle |  SSL-VPN-RW-Network |
Netzwerkobjekt des Roadwarrior-Netzwerkes |
| Ziel |  internal-network |
Internes Zielnetzwerk, auf daß der Roadwarrior zugreifen können soll |
| Dienst |  xyz |
Gewünschter Dienst oder Dienstgruppe |
NAT Typ: |
Um sicher zu stellen, daß nicht durch eine andere Regel ein HideNAT durchgeführt wird kann an dieser Stelle ein HideNAT-Exclude bestimmt werden. | |
NAT Netzwerkobjekt |
 external-interface |
| # | Quelle | Ziel | Dienst | NAT | Aktion | Aktiv | |||
| Bereits existierende Regel, die den Aufbau des IPSec-Tunnels ermöglicht Diese Regel ist nicht erforderlich, wenn die IPSec-Verbindung über implizite Regeln erlaubt wurde.
Davon ist jedoch im Regelfall abzuraten, da implizite Regeln die Ports, die für IPSec Verbindungen genutzt werden, allen Schnittstellen freigeben. |
 |
4 |  internet |
external-interface |
ipsec |
Accept | Ein | ||
| Existierende Regel, die den Zugriff des lokalen Netzwerkes auf das IPSec-Netzwerk erlaubt Diese Regel ist nicht erforderlich, wenn die IPSec-Verbindung über implizite Regeln erlaubt wurde. Davon ist jedoch im Regelfall abzuraten, da implizite Regeln die Ports, die für IPSec Verbindungen genutzt werden, allen Schnittstellen freigeben. |
|
5 | internal-network |
IPSec-Network |
Gewünschter Dienst oder Dienstgruppe |
HNE | Accept | Ein | |
| Existierende Regel, die den Zugriff des IPSec-Netzwerkes auf das lokale Netzwerk erlaubt Diese Regel ist nicht erforderlich, wenn die IPSec-Verbindung über implizite Regeln erlaubt wurde. Davon ist jedoch im Regelfall abzuraten, da implizite Regeln die Ports, die für IPSec Verbindungen genutzt werden, allen Schnittstellen freigeben. |
|
6 | IPSec Network |
internal-network |
Gewünschter Dienst oder Dienstgruppe |
Accept | Ein | ||
| Neue Regel, die dem Roadwarrior über das SSL-VPN-Netzwerkobjekt den Zugriff auf das interne Netzwerk erlaubt | |
7 | SSL-VPN-RW-Network |
 IPSec Ziel |
Gewünschter Dienst oder Dienstgruppe |
HNE | Accept | Ein |
betätigt wird!
Netzwerkobjekt am Standort B anlegen
Standort B
Anlegen eines Netzwerkobjektes für das Zielnetzwerk unter Schaltfläche
| Beschriftung | Wert | Beschreibung |  |
|---|---|---|---|
| Name: | IPSec Ziel | frei wählbarer Name | |
| Typ: | |||
| Adresse: | 192.168.218.0/24 | Die Netz-IP des internen Zielnetzwerkes, auf das zugegriffen werden soll | |
| Zone: | Die Zone entspricht der IPSec-Verbindung | ||
| Gruppen: | Ggf. kann das Netzwerkobjekt einer Gruppe hinzugefügt werden | ||
| Netzwerkobjekt mit dieser Schaltfläche speichern und hinzufügen | |||
Standort B
| Quelle | SSL-VPN-RW-Network |
Netzwerkobjekt des Roadwarrior-Netzwerkes |
| Ziel | IPSec Ziel |
Netzwerk, auf das zugegriffen werden soll |
| Dienst | xyz |
Gewünschter Dienst oder Dienstgruppe
|
NAT Typ: |
Um sicher zu stellen, daß nicht durch eine andere Regel ein HideNAT durchgeführt wird kann an dieser Stelle ein HideNAT-Exclude bestimmt werden. | |
NAT Netzwerkobjekt |
internal-interface |
Speichern und schließen
| # | Quelle | Ziel | Dienst | NAT | Aktion | Aktiv | |||
| Bereits existierende Regel, die den Aufbau des IPSec-Tunnels ermöglicht Diese Regel ist nicht erforderlich, wenn die IPSec-Verbindung über implizite Regeln erlaubt wurde. Davon ist jedoch im Regelfall abzuraten, da implizite Regeln die Ports, die für IPSec Verbindungen genutzt werden, allen Schnittstellen freigeben. |
|
4 | internet |
external-interface |
ipsec |
Accept | Ein | ||
| Existierende Regel, die den Zugriff des lokalen Netzwerkes auf das IPSec-Netzwerk erlaubt Diese Regel ist nicht erforderlich, wenn die IPSec-Verbindung über implizite Regeln erlaubt wurde. Davon ist jedoch im Regelfall abzuraten, da implizite Regeln die Ports, die für IPSec Verbindungen genutzt werden, allen Schnittstellen freigeben. |
|
5 | internal-network |
IPSec-Network |
Gewünschter Dienst oder Dienstgruppe |
HNE | Accept | Ein | |
| Existierende Regel, die den Zugriff des IPSec-Netzwerkes auf das lokale Netzwerk erlaubt Diese Regel ist nicht erforderlich, wenn die IPSec-Verbindung über implizite Regeln erlaubt wurde. Davon ist jedoch im Regelfall abzuraten, da implizite Regeln die Ports, die für IPSec Verbindungen genutzt werden, allen Schnittstellen freigeben. |
|
6 | IPSec Network |
internal-network |
Gewünschter Dienst oder Dienstgruppe |
Accept | Ein | ||
| Neue Regel, die dem Roadwarrior den Zugriff auf das IPSec-Zielnetzwerk erlaubt | |
7 | SSL-VPN-RW-Network |
IPSec Ziel |
Gewünschter Dienst oder Dienstgruppe |
HNE | Accept | Ein |
betätigt wird!
Konfiguration mit HideNat-Regel
Besteht kein Zugriff auf die Konfiguration an Standort A, kann auch eine Regel mit HideNat verwendet werden. Dies ersetzt dann die Übergabe der Netz-IP des SSL-VPN-Transfernetzes in Phase 2 der IPSec-Verbindung.
Da hierbei IP-Adressen ausgetauscht werden, kann dies zu Problemen z.B. mit VoIP oder FTP führen.
Netzwerkobjekt am Standort B anlegen
Standort B
Anlegen eines Netzwerkobjektes für das Zielnetzwerk unter Schaltfläche
| Beschriftung | Wert | Beschreibung |  |
|---|---|---|---|
| Name: | IPSec Ziel | frei wählbarer Name | |
| Typ: | Wichtig: Die SSL-VPN-Verbindung bekommt nicht mit, daß es sich um eine weitere VPN-Verbindung handelt. Daher darf hier kein VPN-Netzwerk ausgewählt werden! | ||
| Adresse: | 192.168.218.0/24 | Die Netz-IP des internen Zielnetzwerkes, auf das zugegriffen werden soll | |
| Zone: | external | ||
| Gruppen: | Ggf. kann das Netzwerkobjekt einer Gruppe hinzugefügt werden | ||
| Netzwerkobjekt mit dieser Schaltfläche speichern und hinzufügen | |||
Standort B
| Quelle | SSL-VPN-RW-Network |
Netzwerkobjekt des Roadwarrior-Netzwerkes |
| Ziel | IPSec Ziel |
Netzwerk, auf das zugegriffen werden soll |
| Dienst | xyz |
Gewünschter Dienst oder Dienstgruppe |
NAT Typ: |
Die Adressen müssen vom Roadwarrior-Netz ind das Zielnetzwerk übersetzt werden | |
NAT Netzwerkobjekt |
internal-interface |
Speichern und schließen
| # | Quelle | Ziel | Dienst | NAT | Aktion | Aktiv | |||
|
7 | SSL-VPN-RW-Network |
IPSec Ziel |
Gewünschter Dienst oder Dienstgruppe |
HN | Accept | Ein |
betätigt wird!