(Lauritzl verschob die Seite UTM/VPN/Netmap nach UTM/VPN/Netmap v11.8.7) Markierung: Neue Weiterleitung |
K (Weiterleitung auf UTM/VPN/Netmap v11.8.7 entfernt) Markierung: Weiterleitung entfernt |
||
| Zeile 1: | Zeile 1: | ||
# | {{Set_lang}} | ||
{{#vardefine:headerIcon| spicon-utm }} | |||
{{:UTM/VPN/Netmap.lang}} | |||
</div>{{Select_lang}}{{TOC2}} | |||
{{Header|09.2022 <small>(12.2.3)</small>| | |||
* {{#var:3a| Zone des Remote-Netzes korrigiert}} | |||
* {{#var:3b| LAyoutanpassungen}} | |||
|[[UTM/VPN/Netmap_v11.8.7 | 11.8.7]] | |||
[[UTM/VPN/Netmap_11.7 | 11.7]] | |||
}} | |||
---- | |||
{{#var:5|Sollten auf beiden Seiten einer VPN Verbindung die gleichen Subnetze eingesetzt werden, ist es normalerweise nicht möglich diese Verbindung einzurichten.<br> | |||
Weiterhin kann es passieren, dass hinter verschiedenen Gegenstellen die gleichen Netzwerke eingerichtet sind.<br> | |||
Mit dem NAT-Typ NETMAP und Hilfsnetzwerken (Mapnetz) die auf keinen der zu verbindenden Gegenstellen eingerichtet sind, können diese Verbindungen trotzdem erstellt werden, ohne auf eine der Seiten das Subnetz komplett zu ändern.}} | |||
---- | |||
=== {{#var:6|NATen von kompletten Subnetzen mit NETMAP}} === | |||
=== {{#var:7|Vorbereitungen}} === | |||
{{pt3|{{#var:8|UTM_v11.8.7_Firewall_Portfilter_Netzwerkobjekte_bearbeiten.png}} | {{#var:9|Netzwerkobjekt auf Adresse umstellen}} }} | |||
{{spc|utm|s|'''{{#var:Zentrale}}'''|c=grün }} & {{spc|utm|s|'''{{#var:Filiale}}'''|c=grün }} | |||
<p>{{Hinweis-neu| !! {{#var:NETMAP Bedingungen}} }}</p> | |||
<div class="Einrücken"> | |||
<li class="list--element__alert list--element__hint">{{#var:Subnetze gleiche Groesse}}</li> | |||
<li class="list--element__alert list--element__hint top-Hinweis">{{Hinweis-neu|{{#var:definierte Netzwerk IP-Adresse}} }} {{#var:Überprüfung des Netzwerkobjektes}}</li> | |||
</div> | |||
<br clear=All> | |||
---- | |||
'''{{#var:16|Ausgangslage:}}''' | |||
=== {{#var:17|Zentrale und Filiale haben das gleiche Subnetz}} === | |||
<div class="Einrücken"> | |||
{{pt3| {{#var:18|Netmap_sz1.png}} |hochkant=2.5}} | |||
{{#var:19|In diesem Fall muss das Mapping auf '''beiden Seiten''' der Verbindung eingerichtet werden.}} | |||
{| class="sptable0 pd5" | |||
|- | |||
| || {{#var:20|Lokales Netz}} || {{#var:21|Öffentliche IP}} || {{#var:22|Netmap}} | |||
|- | |||
| {{#var:10|Zentrale:}} ||172.16.3.0/24 || 192.0.2.192 || 10.0.1.0/24 | |||
|- | |||
| {{#var:11|Filiale:}} || 172.16.3.0/24 || 192.0.2.193 || 10.0.2.0/24 | |||
|} | |||
<br> | |||
'''{{#var:Die Verbindung soll über IPSec hergestellt werden}}''' | |||
</div><br clear=All> | |||
---- | |||
==== {{#var:60|VPN-Verbindung anlegen}} ==== | |||
<div class="Einrücken"> | |||
{{spc|utm|s|'''{{#var:Zentrale}} '''|c=grün }} | |||
{{pt3 | {{#var:61|UTM_v11.8.7_VPN_IPSEC-Verbindung_Schritt4.png}} |hochkant=1.2|{{spc|utm|s|'''{{#var:Zentrale}}'''|c=grün}} {{#var:62|Schritt 4 mit remote Mapnetz der Filiale}} }} | |||
{{pt3 | {{#var:63|UTM_v11.8.7_VPN_IPSEC-Verbindung_Schritt3.png}} |hochkant=1.2|{{spc|utm|s|'''{{#var:Zentrale}}'''|c=grün}} {{#var:64|Schritt 3 mit lokalem Mapnetz der Zentrale}} }} | |||
{{#var:65|Anlegen einer IPSec-Site-to-Site VPN-Verbindung, [http://wiki.securepoint.de/index.php/IPSec_Site_to_Site_v11#VPN-Verbindung_anlegen wie im Wiki beschrieben] im Menü {{Menu|VPN|IPSec}} mit der Schaltfläche {{Button|'''+''' IPSec-Verbindung hinzugügen}}.}} <br> | |||
<li class="list--element__alert list--element__hint">{{#var:Lokales Mapnetz Zentrale}}</li> | |||
<li class="list--element__alert list--element__hint">{{#var:Remote Netz Zentrale}}</li> | |||
<br clear=all> | |||
<div style="width: 30%;"><hr></div> | |||
{{spc|utm|s|'''{{#var:Filiale}}'''|c=grün }} | |||
{{pt3 | {{#var:68|UTM_v11.8.7_Firewall_Portfilter_Netzwerkobjekte_remote3.png}} |hochkant=1.2|{{spc|utm|s|'''{{#var:Filiale}}'''|c=grün}} {{#var:69|Schritt 4 mit remote Mapnetz der Zentrale}} }} | |||
{{pt3 | {{#var:70|UTM_v11.8.7_Firewall_Portfilter_Netzwerkobjekte_localvpn3.png}} |hochkant=1.2|{{spc|utm|s|'''{{#var:Filiale}}'''|c=grün}} {{#var:71|Schritt 3 mit lokalem Mapnetz der Filiale}} }} | |||
{{#var:65|Anlegen einer IPSec-Site-to-Site VPN-Verbindung, [http://wiki.securepoint.de/index.php/IPSec_Site_to_Site_v11#VPN-Verbindung_anlegen wie im Wiki beschrieben] im Menü {{Menu|VPN|IPSec}} mit der Schaltfläche {{Button|IPSec-Verbindung hinzugügen|+}}.}}<br> | |||
<li class="list--element__alert list--element__hint">{{#var:Lokales Mapnetz Filiale}}</li> | |||
<li class="list--element__alert list--element__hint">{{#var:Remote Netz Filiale}}</li> | |||
</div><br clear=all> | |||
---- | |||
==== {{#var:Netzwerkobjekte für Transfernetz erstellen}} ==== | |||
<div class="Einrücken"> | |||
{{pt3| {{#var:27|UTM_v11.8.7_Firewall_Portfilter_Netzwerkobjekte_localvpn.png}} | hochkant=1.2| {{#var:28|Netzwerkobjekt '''in der Zentrale für das eigene Netz''' (Mapnetz Lokal)}} }} | |||
{{pt3| {{#var:29|UTM_v11.8.7_Firewall_Portfilter_Netzwerkobjekte_Rmotvpn.png}} | hochkant=1.2| {{#var:29b|Netzwerkobjekt '''in der Zentrale für das Filial-Netz''' (Mapnetz Remote)}} }} | |||
<p> | |||
{{#var:30|Es müssen in der Zentrale zwei Netzwerkobjekte mit Netzwerken erstellt werden, die weder in der Zentrale noch in der Filiale eingerichtet sind.}}<br> | |||
{{spc|utm|s|'''{{#var:Zentrale}}'''|c=grün }} <br> | |||
{{Menu|{{#var:Firewall}}|{{#var:Portfilter}}|{{#var:Netzwerkobjekte}}|{{#var:Objekt hinzufügen}}|+}}</p> | |||
<p> | |||
* {{#var:32|Das Netzwerkobjekt für das ''(entfernte)'' '''Mapnetz der Filiale''' muss vom {{b|Typ}} {{Button|Netzwerk (Adresse)|dr}} sein.}} | |||
<li class="list--element__alert list--element__warning">{{#var:Zone für IP-Sec}}</li> | |||
<li class="list--element__alert list--element__hint">{{#var:SSL-VPN-Verbindungen anlegen}}</li> | |||
</p> | |||
<p>{{#var:35|Das Netzwerkobjekt erhält in unserem Beispiel die Netzwerkadresse 10.0.2.0/24}}</p> | |||
<p>{{#var:36|Das Netzwerkobjekt für das ''(eigene)'' '''Mapnetz der Zentrale''' muss sich in der Zone des internen Netzwerkes befinden und bekommt in unserem Beispiel die Netzwerkadresse 10.0.1.0/24}}</p> | |||
<br clear=all> | |||
<div style="width: 30%;"><hr></div> | |||
{{pt3|{{#var:37|UTM_v11.8.7_Firewall_Portfilter_Netzwerkobjekte_localvpn2.png}} | hochkant=1.2 | {{#var:38|Netzwerkobjekt '''in der Filiale für das eigene Netz'''}}}} | |||
{{pt3| {{#var:39|UTM_v11.8.7_Firewall_Portfilter_Netzwerkobjekte_Remotevpn2.png}} | hochkant=1.2 | {{#var:40|Netzwerkobjekt '''in der Filiale für das Netz der Zentrale'''}} }} | |||
<p>{{spc|utm|s|'''{{#var:Filiale}}'''|c=grün}}<br> | |||
{{#var:41|Auf der Seite der Filiale werden ebenfalls zwei Netzwerkobjekte erstellt.}} <br> | |||
{{#var:42|Dort ist das Netzwerk 10.0.1.0/24, das Mapnetz der Zentrale, das sich in der {{b|Zone}} {{Button|external|dr}} befindet und das Netzwerk 10.0.2.0/24 das, Mapnetz der Filiale, das mit der Zone des internen Netzwerkes {{Button|internal|dr}} angelegt wird.}} | |||
</div><br clear=all> | |||
---- | |||
==== {{#var:43|NETMAP Regel anlegen}} ==== | |||
<div class="Einrücken"> | |||
{{#var:46|Es muss auf jeder Seite eine Portfilterregel anhand der Netzwerkobjekte erstellt werden.}} <br> | |||
{{pt3| {{#var:44|UTM_v11.8.7_Firewall_Portfilter_Regel_Netmap-Zentrale.png}} |hochkant=2| {{#var:45|NETMAP Portfilterregel}} }} | |||
{| class="sptable pd5" | |||
! class="Leerzeile top" rowspan="14" | {{spc|utm|s|'''{{#var:Zentrale}}'''|c=grün }} !! colspan="2" | {{#var:47|Auf der Seite der}} {{spc|utm|s|'''{{#var:Zentrale}}'''|c=grün }} {{#var:Mapping ausgehend}} | |||
|- | |||
| {{b| {{#var:48|Quelle}} }} || {{ic| internal network|dr|icon=net|iconborder=none|class=mw15}} | |||
|- | |||
| {{b| {{#var:49|Ziel}} }} || {{ic| netmap_remotenet |dr|icon=net|iconborder=none|class=mw15}} {{#var:Mapnetz der Filiale}} | |||
|- | |||
| {{b| {{#var:51|Dienst}} }} || {{ic| any |dr|icon=other|iconborder=none|class=mw15}} {{#var:any-Dienst--desc}} | |||
|- | |||
| {{b|{{#var:Aktion}} }} || {{Button|Accept|dr|class=mw15}} {{#var:Aktion--desc}} | |||
|- | |||
| {{Kasten| <nowiki>[–]</nowiki> NAT}} {{b|{{#var:53|Typ}} }} || {{Button| NETMAP|dr|class=mw15}} | |||
|- | |||
| {{b| {{#var:54|Netzwerkobjekt}} }} || {{ic| {{#var:55|Mapnetz der Zentrale}} |dr|icon=net|iconborder=none|class=mw15}} | |||
|- | |||
| {{b| {{#var:51|Dienst}} }} || {{ic| any |dr|icon=other|iconborder=none|class=mw15}} {{#var:any-Dienst--desc}} | |||
|- | |||
! colspan="2" | {{#var:47|Auf der Seite der}} {{spc|utm|s|'''{{#var:Zentrale}}'''|c=grün }} {{#var:Mapping eingehend}} | |||
|- | |||
| {{b| {{#var:48|Quelle}} }} || {{ic| {{#var:50|Mapnetz der Filiale}} |dr|icon=net|iconborder=none|class=mw15}} | |||
|- | |||
| {{b| {{#var:49|Ziel}} }} || {{ic| internal network |dr|icon=net|iconborder=none|class=mw15}} | |||
|- | |||
| {{b| {{#var:51|Dienst}} }} || {{ic| any |dr|icon=other|iconborder=none|class=mw15}} {{#var:any-Dienst--desc}} | |||
|- | |||
| {{b|{{#var:Aktion}} }} || {{Button|Accept|dr|class=mw15}} {{#var:Aktion--desc}} | |||
|- | |||
| {{Kasten| <nowiki>[–]</nowiki> NAT}} {{b|{{#var:53|Typ}} }} || {{Hinweis-neu| {{#var:112|! Hierfür wird kein NAT vom Typ NETMAP mehr benötigt}} |gelb}} | |||
|- class="Leerzeile" | |||
| | |||
|- | |||
| class="Leerzeile top" rowspan="11" | {{spc|utm|s|'''{{#var:Filiale}}'''|c=grün }} | |||
! colspan="2" | {{#var:47|Auf der Seite der}} {{spc|utm|s|'''{{#var:Filiale}} '''|c=grün }} {{#var:Mapping ausgehend}} | |||
|- | |||
| {{b| {{#var:48|Quelle}} }} || {{ic| internal network |dr|icon=net|iconborder=none|class=mw15}} | |||
|- | |||
| {{b| {{#var:49|Ziel}} }} || {{ic| {{#var:55|Mapnetz der Zentrale}} |dr|icon=net|iconborder=none|class=mw15}} | |||
|- | |||
| {{b| {{#var:51|Dienst}} }} || {{ic| any |dr|icon=other|iconborder=none|class=mw15}} {{#var:any-Dienst--desc}} | |||
|- | |||
| {{Kasten| <nowiki>[–]</nowiki> NAT}} {{b|{{#var:53|Typ}} }} || {{Button| NETMAP|dr|class=mw15}} | |||
|- | |||
| {{b| {{#var:54|Netzwerkobjekt}} }} || {{ic| netmap_remotenet |dr|icon=net|iconborder=none|class=mw15}} {{#var:Mapnetz der Filiale}} | |||
|- | |||
! colspan="2" | {{#var:47|Auf der Seite der}} {{spc|utm|s|'''{{#var:Filiale}} '''|c=grün }} {{#var:Mapping eingehend}} | |||
|- | |||
| {{b| {{#var:48|Quelle}} }} || {{ic| {{#var:50|Mapnetz der Filiale}} |dr|icon=net|iconborder=none|class=mw15}} | |||
|- | |||
| {{b| {{#var:49|Ziel}} }} || {{ic| internal network |dr|icon=net|iconborder=none|class=mw15}} | |||
|- | |||
| {{b| {{#var:51|Dienst}} }} || {{ic| any |dr|icon=other|iconborder=none|class=mw15}} {{#var:any-Dienst--desc}} | |||
|- | |||
| {{Kasten| <nowiki>[–]</nowiki> NAT}} {{b|{{#var:53|Typ}} }} || {{Hinweis-neu| {{#var:112|! Hierfür wird kein NAT vom Typ NETMAP mehr benötigt}} |gelb}} | |||
|} | |||
</div> | |||
---- | |||
==== {{#var:Portfilterregeln}} ==== | |||
<div class="Einrücken"> | |||
{{#var:Portfilterregeln--desc}} | |||
<p>{{#var:105|Zwei Möglichkeiten stehen zur Verfügung:}}</p> | |||
===== {{#var:Implizite Regeln}} ===== | |||
<div class="Einrücken">{{pt3| {{#var:Implizite Regeln--Bild}} | {{#var:Implizite Regeln--cap}} }} | |||
{{spc|utm|s|'''{{#var:Zentrale}}'''|c=grün }} & {{spc|utm|s|'''{{#var:jede Filiale}}'''|c=grün }}<br> | |||
{{#var:106|Menü {{Menu | Firewall|Implizite Regeln}} → Gruppe {{ic|IpsecTraffic}} → Regel {{ic|Acceppt}} {{ButtonAn|Ein}}<br> | |||
<p>In diesem Falle werden Regeln im Hintergrund angelegt, die alle Dienste für alle Rechner auf beiden Seiten zulassen. <small>'''(Default)'''</small><br>}} | |||
</div><br clear=all> | |||
<div style="width: 30%;"><hr></div> | |||
===== {{#var:Dedizierte Portfilter Regeln}} ===== | |||
<div class="Einrücken"> | |||
<p>{{Hinweis-neu|! {{#var:Empfohlen}}|gr}} </p> | |||
<!-- {{pt3| {{#var:107|UTM_v11.8.7_Firewall_Portfilter_Regel_Netmap-Filiale2.png}} }} --> | |||
{{Gallery3 | | <p>{{#var:109|Eigene Portfilterregeln…}}</p>'''{{#var:ipsec-Netzwerkobjekt}}''' | |||
| {{#var:ipsec-Netzwerkobjekt Zentrale--Bild}} | {{#var:ipsec-Netzwerkobjekt Zentrale--desc}} | Abb2={{#var:ipsec-Netzwerkobjekt Zentrale--cap}} | |||
| {{#var:ipsec-Netzwerkobjekt Filiale--Bild}} | {{#var:ipsec-Netzwerkobjekt Filiale--desc}} | Abb3={{#var:ipsec-Netzwerkobjekt Filiale--cap}} | |||
|i=3| class-cell1=blank noborder}} | |||
<br clear=all> | |||
{| class="sptable pd5" | |||
! class="Leerzeile top" rowspan=6" | {{spc|utm|s|'''{{#var:Zentrale}}'''|c=grün }} !! colspan="2" | {{#var:47|Auf der Seite der}} {{spc|utm|s|'''{{#var:Zentrale}}'''|c=grün }} {{#var:für eingehenden Netzwerkverkehr}} | |||
| class="Bild" rowspan="10" | {{Bild | {{#var:Portfilter IPSec-Regel Zentrale--Bild}}|{{#var:Portfilter IPSec-Regel Zentrale--cap}} }} | |||
|- | |||
| {{b| {{#var:48|Quelle}} }} || {{ic| ipsec_remotenet |dr|icon=vpn-network|iconborder=none|class=mw15}} {{#var:111|(Mapnetz der VPN Gegenstelle)}} | |||
|- | |||
| {{b| {{#var:49|Ziel}} }} || {{ic| internal network |dr|icon=net|iconborder=none|class=mw15}} | |||
|- | |||
| {{b| {{#var:51|Dienst}} }} || {{ic| ms-rdp |dr|icon=tcp|iconborder=none|class=mw15}} {{#var:91|Benötigte Dienste}} | |||
|- class="Leerzeile" | |||
| || {{Hinweis-neu|! {{#var:101|Es wird für jede Filiale eine eigene Regel benötigt.}} }} | |||
{{Hinweis-neu| {{#var:112|! Hierfür wird kein NAT vom Typ NETMAP mehr benötigt}} |gelb}} | |||
{{#var:Zentrale ausgehende Regel}} | |||
|- class="Leerzeile" | |||
| | |||
|- | |||
! class="Leerzeile top" rowspan=5" | {{spc|utm|s|'''{{#var:Filiale}}'''|c=grün }} !! colspan="2" | {{#var:47|Auf der Seite der}} {{spc|utm|s|'''{{#var:Filiale}}'''|c=grün }} für ausgehenden Netzwerkverkehr | |||
|- | |||
| {{b| {{#var:48|Quelle}} }} || {{ic| internal network |dr|icon=net|iconborder=none|class=mw15}} | |||
|- | |||
| {{b| {{#var:49|Ziel}} }} || {{ic| ipsec_remotenet |dr|icon=vpn-network|iconborder=none|class=mw15}} {{#var:111|(Mapnetz der VPN Gegenstelle)}} | |||
|- | |||
| {{b| {{#var:51|Dienst}} }} || {{ic| ms-rdp |dr|icon=tcp|iconborder=none|class=mw15}} {{#var:91|Benötigte Dienste}} | |||
|- class="Leerzeile" | |||
| | |||
|} | |||
</div></div> | |||
---- | |||
==== {{#var:71|Erreichbarkeit von Hosts der Gegenstelle}} ==== | |||
<div class="Einrücken"> | |||
{{#var:72|Ein Rechner mit der IP-Adresse 172.16.3.10 in der Filiale wird von der Zentrale aus mit der IP-Adresse 10.0.2.10 angesprochen.<br> | |||
Einen Rechner mit der IP-Adresse 172.16.3.120 in der Zentrale wird von der Filiale aus mit der IP-Adresse 10.0.1.120 angesprochen.}} | |||
</div> | |||
<div style="width: 100%; height:10px; background: {{Farbe|rot}}"></div> | |||
'''{{#var:16|Ausgangslage:}} ''' | |||
=== {{#var:73|Mehrere Filialen haben das gleiche Subnetz}} === | |||
<div class="Einrücken"> | |||
{{pt3|{{#var:74|Netmap_sz2.png}} |hochkant=2}} | |||
{| class="sptable0 pd5" | |||
|- | |||
| || {{#var:75|Lokales Netz}} || {{#var:76|Öffentliche IP}} || {{#var:77|Netmap}} | |||
|- | |||
| {{#var:10|Zentrale:}} ||172.16.'''0'''.0/24 || 192.0.2.192 || ''{{#var:78|nicht erforderlich}} '' | |||
|- | |||
| {{#var:Filiale}} 1: || 172.16.'''3'''.0/24 || 192.0.2.193 || ''{{#var:78|nicht erforderlich}}'' | |||
|- | |||
| {{#var:Filiale}} 2: || 172.16.'''3'''.0/24 || 192.0.2.194 || 10.0.1.0/24 | |||
|} | |||
<br> | |||
{{#var:79|Hierbei wird das Mapping nur auf den Filialen eingerichtet, die das gleiche Netzwerk nutzen wie auf einer schon eingerichteten VPN-Verbindung. In der Zentrale wird kein Mapping benötigt, sofern sich das interne Netz der Zentrale von denen der Filiale unterscheidet. Ebenfalls kann in einer Filiale das vorhandene Netz ohne Mapping verwendet werden.}} | |||
</div><br clear=all> | |||
---- | |||
==== {{#var:60|VPN-Verbindung anlegen}} ==== | |||
<div class="xnop"> | |||
{{pt3| {{#var:93|UTM_v11.8.7_VPN_IPSEC-Verbindung_Schritt4b.png}} | hochkant=1.6| {{#var:93b|Schritt 4 mit Remotenetz}} }} | |||
{{pt3 | {{#var:94|UTM_v11.8.7_VPN_IPSEC-Verbindung_Schritt3.png}} | hochkant=1.6| {{#var:95|Schritt 3 in {{spc|utm|s|'''Filiale 2'''|c=grün }} mit lokalem '''Map'''netz}} }} | |||
<p>{{#var:65|Anlegen einer IPSec-Site-to-Site VPN-Verbindung, [http://wiki.securepoint.de/index.php/IPSec_Site_to_Site_v11#VPN-Verbindung_anlegen wie im Wiki beschrieben].}}<br></p><br> | |||
<p>{{spc|utm|s|'''{{#var:Filiale}} 1'''|c=grün }} <small>{{#var:nicht abgebildet}}</small> | |||
<div class="Einrücken"> | |||
* {{#var:Filiale1 behält Subnetz}} | |||
<li class="list--element__alert list--element__hint">{{#var:96|In Schritt 3 muss das lokale Netz (ohne mapping) freigegeben werden.<br>Im Beispiel: }} {{cb|172.16.3.0/24}}</li> | |||
</div></p><br> | |||
<p>{{spc|utm|s|'''{{#var:Filiale}} 2'''|c=grün }} <small>{{#var:97|(und ggf. weitere Filialen)}}</small> | |||
<div class="Einrücken"> | |||
<li class="list--element__alert list--element__hint">{{#var:Schritt 3 lokales Mapnetz freigeben}} {{cb|10.0.1.0/24}} </li> | |||
</div></p><br> | |||
<p>{{spc|utm|s|'''{{#var:jede Filiale}} '''|c=grün }} | |||
<div class="Einrücken"> | |||
<li class="list--element__alert list--element__hint">{{#var:Remote-Netz der Zentrale freigeben}} {{cb|172.16.0.0/24}}</li> | |||
</div></p><br> | |||
<p>{{spc|utm|s|'''{{#var:Zentrale}}'''|c=grün }} | |||
<div class="Einrücken"> | |||
<li class="list--element__alert list--element__warning">{{#var:101|Es wird für '''jede Filiale''' eine Verbindung benötigt.}}</li> | |||
* {{#var:102|In Schritt 3 muss das lokale Netz freigegeben werden.<br>Im Beispiel:}} {{cb|172.16.0.0/24}} | |||
* {{#var:103|in Schritt 4 wird das gemapte Remote-Netz der entsprechenden Filiale freigegeben.<br>Im Beispiel:}} {{cb|10.0.1.0/24}} | |||
</div></p> | |||
</div> | |||
<br clear=all> | |||
---- | |||
==== {{#var:26|Netzwerkobjekte erstellen}} ==== | |||
<div class="Einrücken"> | |||
{{pt3| {{#var:83|UTM_v11.8.7_Firewall_Portfilter_Netzwerkobjekte_localnet-filiale2.png}} | hochkant=1.2| {{#var:84|Netzwerkobjekt in der Filiale 2 für das eigene Mapnetz (Lokal). So wird die '''Filiale 2''' für die Zentrale gemapt.}} }} | |||
{{pt3 | {{#var:83b| UTM_v11.8.7_Netzwerk_Portfilter_Netzwerkobjekte_f2z.png }} | hochkant=1.2 | {{#var:84b| Netzwerkobjekt in der Filiale 2 für das Netz der Zentrale }} }} | |||
<p>{{#var:mapnet der Zentrale für Filialen}}</p> | |||
<p>{{#var:Lokales Mapnetz für Filialen}}</p> | |||
<li class="list--element__alert list--element__warning">{{#var:Lokales Mapnetz für Filialen--Hinweis}}</li> | |||
</div><br clear=All> | |||
<div style="width: 30%;"><hr></div> | |||
==== {{#var:86|NETMAP Regel anlegen}} ==== | |||
{{pt3| {{#var:87|UTM_v11.8.7_Firewall_Portfilter_Regel_Netmap-Filiale.png}} |{{#var:88|NETMAP Portfilterregel}} }} | |||
{{#var:89|Portfilterregeln in der '''Filiale 2''' (und in jeder weiteren Filiale, die ein bereits genutztes Subnetz verwendet)}} | |||
{| class="sptable pd5" | |||
! class="Leerzeile top" rowspan="14" | {{spc|utm|s|'''{{#var:Filialen}}'''|c=grün }} !! colspan="2" | {{#var:47|Auf der Seite der}} {{spc|utm|s|'''{{#var:Filialen}}'''|c=grün }} {{#var:Mapping ausgehend}} | |||
|- | |||
| {{b| {{#var:48|Quelle}} }} || {{ic| internal network|dr|icon=net|iconborder=none|class=mw15}} | |||
|- | |||
| {{b| {{#var:49|Ziel}} }} || {{ic| {{#var:mapnet_remotenet_Zentrale}} |dr|icon=vpn-network|iconborder=none|class=mw15}} | |||
|- | |||
| {{b| {{#var:51|Dienst}} }} || {{ic| any |dr|icon=other|iconborder=none|class=mw15}} {{#var:any-Dienst--desc}} | |||
|- | |||
| {{b|{{#var:Aktion}} }} || {{Button|Accept|dr|class=mw15}} {{#var:Aktion--desc}} | |||
|- | |||
| {{Kasten| <nowiki>[–]</nowiki> NAT}} {{b|{{#var:53|Typ}} }} || {{Button| NETMAP|dr|class=mw15}} | |||
|- | |||
| {{b| {{#var:54|Netzwerkobjekt}} }} || {{ic| {{#var:mapnet_localnet_Filiale2}} |dr|icon=net|iconborder=none|class=mw15}} | |||
|- | |||
| {{b| {{#var:51|Dienst}} }} || {{ic| any |dr|icon=other|iconborder=none|class=mw15}} {{#var:any-Dienst--desc}} | |||
|} | |||
<br clear=All> | |||
---- | |||
==== {{#var:Portfilterregeln}} ==== | |||
<div class="Einrücken"> | |||
{{#var:Portfilterregeln--desc}} | |||
<p>{{#var:105|Zwei Möglichkeiten stehen zur Verfügung:}}</p> | |||
===== {{#var:Implizite Regeln}} ===== | |||
<div class="Einrücken">{{pt3| {{#var:Implizite Regeln--Bild}} | {{#var:Implizite Regeln--cap}} }} | |||
{{spc|utm|s|'''{{#var:Zentrale}}'''|c=grün }} & {{spc|utm|s|'''{{#var:jede Filiale}}'''|c=grün }}<br> | |||
{{#var:106|Menü {{Menu | Firewall|Implizite Regeln}} → Gruppe {{ic|IpsecTraffic}} → Regel {{ic|Acceppt}} {{ButtonAn|Ein}}<br> | |||
<p>In diesem Falle werden Regeln im Hintergrund angelegt, die alle Dienste für alle Rechner auf beiden Seiten zulassen. <small>'''(Default)'''</small><br>}} | |||
</div><br clear=all> | |||
<div style="width: 30%;"><hr></div> | |||
===== {{#var:Dedizierte Portfilter Regeln}} ===== | |||
<div class="Einrücken"> | |||
<p>{{Hinweis-neu|! {{#var:Empfohlen}}|gr}} </p> | |||
<!-- {{pt3| {{#var:107|UTM_v11.8.7_Firewall_Portfilter_Regel_Netmap-Filiale2.png}} }} --> | |||
{{Gallery3 | | <p>{{#var:109|Eigene Portfilterregeln…}}</p>'''{{#var:ipsec-Netzwerkobjekt}}''' | |||
| {{#var:Netzwerkobjekt ipsec-vpn Filiale2 in Zentrale--Bild}} | {{#var:Netzwerkobjekt ipsec-vpn Filiale2 in Zentrale--desc}} | Abb2={{#var:Netzwerkobjekt ipsec-vpn Filiale2 in Zentrale--cap}} | |||
| {{#var:Netzwerkobjekt ipsec-vpn Zentrale in Filiale2--Bild}} | {{#var:ipsec-Netzwerkobjekt Filiale2--desc}} | Abb3={{#var:Netzwerkobjekt ipsec-vpn Zentrale in Filiale2--cap}} | |||
|i=3| class-cell1=blank noborder}} | |||
<br clear=all> | |||
{| class="sptable2 spezial pd5 tr--bc__white zh1" | |||
|- class="bold small no1cell" | |||
| class="Leerzeile bc__default" |<big>{{spc|utm|s|{{#var:Zentrale}}|c=grün }}</big> {{#var:Übersicht der Portfilterregeln}} || || <nowiki>#</nowiki> || style="min-width:12em;"| {{#var:Quelle}} || style="min-width:12em;"| {{#var:Ziel}} || style="min-width:12em;"| {{#var:Dienst}} || style="min-width:6em;"| NAT || {{#var:Aktion}} || {{#var:Aktiv}} ||style="min-width:5em;"| | |||
|- | |||
| class="bc__default" | {{#var:Eingehender Netzwerkverkehr in der Zentrale von Filiale}}1 || {{spc|drag|o|-}} || 4 || {{spc|vpn-network|o|-}} ipsec_remotenet_{{#var:Filiale}}1 || {{spc|net|o|-}} internal network || {{spc|tcp|o|-}} ms-rdp || || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}} | |||
|- | |||
| class="bc__default" | {{#var:Eingehender Netzwerkverkehr in der Zentrale von Filiale}}2 || {{spc|drag|o|-}} || 5 || {{spc|vpn-network|o|-}} ipsec_remotenet_{{#var:Filiale}}2 || {{spc|net|o|-}} internal network || {{spc|tcp|o|-}} ms-rdp || || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}} | |||
|- class="Leerzeile bc__default" | |||
| <br> | |||
|- class="bold small no1cell" | |||
| class="Leerzeile bc__default" | <big>{{spc|utm|s|{{#var:Filiale}}1|c=grün }}</big> {{#var:Übersicht der Portfilterregeln}}|| || <nowiki>#</nowiki> || style="min-width:12em;"| {{#var:Quelle}} || style="min-width:12em;"| {{#var:Ziel}} || style="min-width:12em;"| {{#var:Dienst}} || style="min-width:6em;"| NAT || {{#var:Aktion}} || {{#var:Aktiv}} ||style="min-width:5em;"| | |||
|- | |||
| class="bc__default" | {{#var:Ausgehender Netzwerkverkehr in der Filiale}}1 {{#var:zur Zentrale}}|| {{spc|drag|o|-}} || 5 || {{spc|network|o|-}} internal-network || {{spc|vpn-network|o|-}} IPSec-Network || {{spc|tcp|o|-}} ms-rdp || || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}} | |||
|- class="Leerzeile bc__default" | |||
| <br> | |||
|- class="small bold no1cell" | |||
| class="Leerzeile bc__default" | <big>{{spc|utm|s|{{#var:Filiale}}2|c=grün }}</big> {{#var:Übersicht der Portfilterregeln}} || || <nowiki>#</nowiki> || style="min-width:12em;" class=bold | {{#var:Quelle}} || style="min-width:12em;"| {{#var:Ziel}} || style="min-width:12em;"| {{#var:Dienst}} || style="min-width:6em;"| NAT || {{#var:Aktion}} || {{#var:Aktiv}} ||style="min-width:5em;"| | |||
|- | |||
| class="bc__default" | {{#var:Mapnetz Regel in Filiale}}2, {{#var:um das eigene lokale Netz zu mappen}} || {{spc|drag|o|-}} || 4 || {{spc|net|o|-}} internal network || {{spc|net|o|-}} mapnet_remotenet_Zentrale || {{spc|other|o|-}} any || {{Kasten|NM|blau}} || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}} | |||
|- | |||
| class="bc__default" | {{#var:Ausgehender Netzwerkverkehr in der Filiale}}2 {{#var:zur Zentrale}}|| {{spc|drag|o|-}} || 5 || {{spc|network|o|-}} internal-network || {{spc|vpn-network|o|-}} IPSec-Network || {{spc|tcp|o|-}} ms-rdp || || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}} | |||
|} | |||
---- | |||
<!-- | |||
{| class="sptable pd5" | |||
! class="Leerzeile top" rowspan=6" | {{spc|utm|s|'''{{#var:Zentrale}}'''|c=grün }} !! colspan="2" | {{#var:47|Auf der Seite der}} {{spc|utm|s|'''{{#var:Zentrale}}'''|c=grün }} {{#var:für eingehenden Netzwerkverkehr}} | |||
| class="Bild" rowspan="10" | {{Bild | {{#var:Portfilter IPSec-Regel Zentrale--Bild}}|{{#var:Portfilter IPSec-Regel Zentrale--cap}} }} | |||
|- | |||
| {{b| {{#var:48|Quelle}} }} || {{ic| ipsec_remotenet |dr|icon=vpn-network|iconborder=none|class=mw15}} {{#var:111|(Mapnetz der VPN Gegenstelle)}} | |||
|- | |||
| {{b| {{#var:49|Ziel}} }} || {{ic| internal network |dr|icon=net|iconborder=none|class=mw15}} | |||
|- | |||
| {{b| {{#var:51|Dienst}} }} || {{ic| ms-rdp |dr|icon=tcp|iconborder=none|class=mw15}} {{#var:91|Benötigte Dienste}} | |||
|- class="Leerzeile" | |||
| || {{Hinweis-neu|! {{#var:101|Es wird für jede Filiale eine eigene Regel benötigt.}} }} | |||
{{Hinweis-neu| {{#var:112|! Hierfür wird kein NAT vom Typ NETMAP mehr benötigt}} |gelb}} | |||
{{#var:Zentrale ausgehende Regel}} | |||
|- class="Leerzeile" | |||
| | |||
|- | |||
! class="Leerzeile top" rowspan=5" | {{spc|utm|s|'''{{#var:Filiale}}'''|c=grün }} !! colspan="2" | {{#var:47|Auf der Seite der}} {{spc|utm|s|'''{{#var:Filiale}}'''|c=grün }} für ausgehenden Netzwerkverkehr | |||
|- | |||
| {{b| {{#var:48|Quelle}} }} || {{ic| internal network |dr|icon=net|iconborder=none|class=mw15}} | |||
|- | |||
| {{b| {{#var:49|Ziel}} }} || {{ic| ipsec_remotenet |dr|icon=vpn-network|iconborder=none|class=mw15}} {{#var:111|(Mapnetz der VPN Gegenstelle)}} | |||
|- | |||
| {{b| {{#var:51|Dienst}} }} || {{ic| ms-rdp |dr|icon=tcp|iconborder=none|class=mw15}} {{#var:91|Benötigte Dienste}} | |||
|- class="Leerzeile" | |||
| | |||
|} | |||
--> | |||
<!-- | |||
---- | |||
<div class="Einrücken"> | |||
{{pt3| {{#var:80|UTM_v11.8.7_Firewall_Portfilter_Netzwerkobjekte_localnet-zentrale.png}} |hochkant=1.2| {{spc|utm|s|'''{{#var:Filiale}} 1'''|c=grün }}<br>{{#var:81|Netzwerkobjekt in den Filialen für das Netz der Zentrale. Es kann direkt das Subnetz der Zentrale verwendet werden.}} }} | |||
In {{spc|utm|s|'''{{#var:Filiale}} 1'''|c=grün }} {{#var:82|(und in jeder weiteren Filiale) wird ein IPSec-Netzwerkobjekt für die Zentrale eingerichtet.<br> | |||
Das Netzwerkobjekt für das Netz der Gegenstelle muss sich in der Zone vpn-ipsec befinden und hat in unserem Beispiel die Netzwerkadresse 172.16.0.0/24.}} | |||
<br clear=all> | |||
{{pt3| {{#var:107|UTM_v11.8.7_Firewall_Portfilter_Regel_Netmap-Filiale2.png}} }} | |||
* {{Hinweis|! {{#var:108|Besser:}}|gr}} {{#var:109|Eigene Portfilterregeln, die nur die Dienste zuzulassen, die auch benötigt werden.<br>Dazu wird im Menü {{Menu|Firewall|Implizite Regeln}} im Abschnitt {{ic|IpsecTraffic}} die Option {{ic|Accept}} deaktiviert {{ButtonAus|Aus}} und Portfilterregeln manuell angelegt.<br>Beispiel:}} | |||
{| class="sptable pt5 einrücken" | |||
! colspan="2" | {{#var:47|Auf der Seite der}} {{spc|utm|s|'''{{#var:Zentrale}}'''|c=grün }} | |||
|- | |||
| {{Kasten| {{#var:48|Quelle}} }} || {{Button| {{#var:110|mapnet_remotenet_Filiale''1''}} |blau}} {{#var:111|(Mapnetz der VPN Gegenstelle)}} | |||
|- | |||
| {{Kasten| {{#var:49|Ziel}} }} || {{Button| internal network |blau}} | |||
|- | |||
| {{Kasten| {{#var:51|Dienst}} }} || {{Button| {{#var:91|Benötigte Dienste}} |blau}} | |||
|- | |||
| colspan="2" | {{Hinweis|! {{#var:101|Es wird für jede Filiale eine eigene Regel benötigt.}} }}<br> | |||
{{Hinweis| {{#var:112|! Hierfür wird kein NAT vom Typ NETMAP mehr benötigt}} |gelb}}. | |||
|- | |||
| class="Leerzeile" | | |||
|- | |||
! colspan="2" | {{#var:47|Auf der Seite der}} {{spc|utm|s|'''{{#var:11|Filialen}}'''|c=grün }} | |||
|- | |||
| {{Kasten| {{#var:48|Quelle}} }} || {{Button| ipsec_remotenet |blau}} {{#var:113|(Netz der Zentrale)}} | |||
|- | |||
| {{Kasten| {{#var:49|Ziel}} }} || {{Button| internal network |blau}} | |||
|- | |||
| {{Kasten| {{#var:51|Dienst}} }} || {{Button| {{#var:91|Benötigte Dienste}} |blau}} | |||
|} | |||
--> | |||
==== {{#var:114|Erreichbarkeit von Hosts der Gegenstelle}} ==== | |||
{{#var:115|Ein Rechner mit der IP-Adresse 172.16.3.10 in der Filiale 1 wird von der Zentrale aus mit eben dieser IP-Adresse (172.1.6.3.10) angesprochen.<br> | |||
Ein Rechner mit der IP-Adresse 172.16.3.10 in der Filiale 2 wird von der Zentrale aus mit der gemapten IP-Adresse 10.0.1.10 angesprochen.<br> | |||
Einen Rechner mit der IP-Adresse 172.16.0.120 in der Zentrale wird von der Filiale aus mit der IP-Adresse 172.16.0.120 angesprochen.}} | |||
Version vom 8. September 2022, 11:23 Uhr
Verbinden von VPN-Netzen mit den gleichen Broadcast-Domains (IP-Bereiche)
Letzte Anpassung: 09.2022 (12.2.3)
Neu:
- Zone des Remote-Netzes korrigiert
- LAyoutanpassungen
Sollten auf beiden Seiten einer VPN Verbindung die gleichen Subnetze eingesetzt werden, ist es normalerweise nicht möglich diese Verbindung einzurichten.
Weiterhin kann es passieren, dass hinter verschiedenen Gegenstellen die gleichen Netzwerke eingerichtet sind.
Mit dem NAT-Typ NETMAP und Hilfsnetzwerken (Mapnetz) die auf keinen der zu verbindenden Gegenstellen eingerichtet sind, können diese Verbindungen trotzdem erstellt werden, ohne auf eine der Seiten das Subnetz komplett zu ändern.
NATen von kompletten Subnetzen mit NETMAP
Vorbereitungen
Zentrale & Filiale
Zur Nutzung der NETMAP Funktion sind folgende Bedingungen zu beachten:
Alle beteiligten Objekte müssen eine definierte Netzwerk IP-Adresse eingetragen haben.
Es dürfen keine Schnittstellen für die Festlegung des Netzwerkobjektes ausgewählt werden.Das Netzwerkobjekt des internen Netzwerkes muss überprüft und gegebenenfalls als Ziel: die Netz-IP des internen Netzes, das gemappt werden soll, eingetragen werden.
In diesem Beispiel wird auf beiden Seiten das Netzwerk 172.16.3.0/24 verwendet.
Ausgangslage:
Zentrale und Filiale haben das gleiche Subnetz
In diesem Fall muss das Mapping auf beiden Seiten der Verbindung eingerichtet werden.
| Lokales Netz | Öffentliche IP | Netmap | |
| Zentrale: | 172.16.3.0/24 | 192.0.2.192 | 10.0.1.0/24 |
| Filiale: | 172.16.3.0/24 | 192.0.2.193 | 10.0.2.0/24 |
Die Verbindung soll über IPSec hergestellt werden.
VPN-Verbindung anlegen
Zentrale
Anlegen einer IPSec-Site-to-Site VPN-Verbindung, wie im Wiki beschrieben im Menü mit der Schaltfläche .
Hier »10.0.1.0/24
und das remote Mapnetz der Filiale als freigegebenes Netzwerk.
Hier »10.0.2.0/24
Filiale
Anlegen einer IPSec-Site-to-Site VPN-Verbindung, wie im Wiki beschrieben im Menü mit der Schaltfläche .
Hier »10.0.2.0/24
und das remote Mapnetz der Zentrale als freigegebenes Netzwerk.
Hier »10.0.1.0/24
Netzwerkobjekte für Transfernetz erstellen
Es müssen in der Zentrale zwei Netzwerkobjekte mit Netzwerken erstellt werden, die weder in der Zentrale noch in der Filiale eingerichtet sind.
Zentrale
Reiter Netzwerkobjekte Schaltfläche
- Das Netzwerkobjekt für das (entfernte) Mapnetz der Filiale muss vom Typ sein.
Das Netzwerkobjekt muss dann mit dieser Zone angelegt werden.
Das Netzwerkobjekt erhält in unserem Beispiel die Netzwerkadresse 10.0.2.0/24
Das Netzwerkobjekt für das (eigene) Mapnetz der Zentrale muss sich in der Zone des internen Netzwerkes befinden und bekommt in unserem Beispiel die Netzwerkadresse 10.0.1.0/24
Filiale
Auf der Seite der Filiale werden ebenfalls zwei Netzwerkobjekte erstellt.
Dort ist das Netzwerk 10.0.1.0/24, das Mapnetz der Zentrale, das sich in der Zone befindet
NETMAP Regel anlegen
Es müssen auf jeder Seite zwei Paketfilterregeln erstellt werden, die das Mapping ausgehend sowie ausgehend durchführen.
NETMAP Paketfilterregel
Das Mapnetz kann als Netzwerkobjekt nicht ausgewählt werden, wenn es noch mit einer Schnittstelle anstatt mit einer IP-Adresse verknüpft ist.
| Zentrale | Auf der Seite der Zentrale für ausgehendes Mapping | |
|---|---|---|
| Quelle |  internal network
| |
| Ziel | netmap_remotenet Mapnetz der Filiale
| |
| Dienst |  any Ausnahmsweise ist hier eine any-Regel sinnvoll
| |
| Aktion | ||
[–] NAT Typ |
||
| Netzwerkobjekt | Mapnetz der Zentrale
| |
| Dienst | any Ausnahmsweise ist hier eine any-Regel sinnvoll
| |
| Auf der Seite der Zentrale für eingehendes Mapping | ||
| Quelle | Mapnetz der Filiale
| |
| Ziel | internal network
| |
| Dienst | any Ausnahmsweise ist hier eine any-Regel sinnvoll
| |
| Aktion | ||
[–] NAT Typ |
Hierfür wird kein NAT vom Typ NETMAP mehr benötigt
| |
| Filiale | Auf der Seite der Filiale für ausgehendes Mapping | |
| Quelle | internal network
| |
| Ziel | Mapnetz der Zentrale
| |
| Dienst | any Ausnahmsweise ist hier eine any-Regel sinnvoll
| |
[–] NAT Typ |
||
| Netzwerkobjekt | netmap_remotenet Mapnetz der Filiale
| |
| Auf der Seite der Filiale für eingehendes Mapping | ||
| Quelle | Mapnetz der Filiale
| |
| Ziel | internal network
| |
| Dienst | any Ausnahmsweise ist hier eine any-Regel sinnvoll
| |
[–] NAT Typ |
Hierfür wird kein NAT vom Typ NETMAP mehr benötigt
| |
Zwei Möglichkeiten stehen zur Verfügung:
Implizite Regeln
Zentrale & jede Filiale
In diesem Falle werden Regeln im Hintergrund angelegt, die alle Dienste für alle Rechner auf beiden Seiten zulassen. (Default)
Empfohlen
Eigene Paketfilterregeln, die nur die Dienste zuzulassen, die auch benötigt werden.
Dazu wird im Menü im Abschnitt IpsecTraffic die Option Accept deaktiviert Aus und Paketfilterregeln manuell angelegt.
Im Beispiel wird davon ausgegangen, das aus der Filiale heraus auf Server der Zentrale zugegriffen werden soll.
Es wird auf jeder Seite ein Netzwerkobjekt für das jeweils entfernte VPN-Netzwerk benötigt
Netzwerkobjekt in der Zentrale für das VPN-Netzwerk
Einstellungen für das Netzwerkobjekt
Typ:
Typ:
Adresse: Netz-IP des Transfernetzes der Filiale
Zone:
Netzwerkobjekt in der Filiale für das VPN-Netzwerk
Einstellungen für das Netzwerkobjekt
Typ:
Typ:
Adresse: Netz-IP des Transfernetzes der Zentrale
Zone:
| Zentrale | Auf der Seite der Zentrale für eingehenden Netzwerkverkehr | [[Datei: ]] | |
|---|---|---|---|
| Quelle |  ipsec_remotenet (ipsec Netz der VPN Gegenstelle)
| ||
| Ziel | internal network
| ||
| Dienst |  ms-rdp nur wirklich benötigte Dienste
| ||
| Es wird für jede Filiale eine Verbindung benötigt.
Hierfür wird kein NAT vom Typ NETMAP mehr benötigt
Soll auch von der Zentrale aus, auf die Filiale zugegriffen werden, sind entsprechend weitere Regeln notwendig (z.B. um VoIP-Verbindungen aufbauen zu können). | |||
| Filiale | Auf der Seite der Filiale für ausgehenden Netzwerkverkehr | ||
| Quelle | internal network
| ||
| Ziel | ipsec_remotenet (ipsec Netz der VPN Gegenstelle)
| ||
| Dienst | ms-rdp nur wirklich benötigte Dienste
| ||
Erreichbarkeit von Hosts der Gegenstelle
Ein Rechner mit der IP-Adresse 172.16.3.10 in der Filiale wird von der Zentrale aus mit der IP-Adresse 10.0.2.10 angesprochen. (Erforderliche Regel wird im Beispiel nicht gezeigt!)
Ein Rechner mit der IP-Adresse 172.16.3.120 in der Zentrale wird von der Filiale aus mit der IP-Adresse 10.0.1.120 angesprochen.
Ausgangslage:
Mehrere Filialen haben das gleiche Subnetz
| Lokales Netz | Öffentliche IP | Netmap | |
| Zentrale: | 172.16.0.0/24 | 192.0.2.192 | nicht erforderlich |
| Filiale 1: | 172.16.3.0/24 | 192.0.2.193 | nicht erforderlich |
| Filiale 2: | 172.16.3.0/24 | 192.0.2.194 | 10.0.1.0/24 |
Hierbei wird das Mapping nur auf den Filialen eingerichtet, die das gleiche Netzwerk nutzen wie auf einer schon eingerichteten VPN-Verbindung. In der Zentrale wird kein Mapping benötigt, sofern sich das interne Netz der Zentrale von denen der Filialen unterscheidet. Ebenfalls kann in einer Filiale das vorhandene Netz ohne Mapping verwendet werden.
VPN-Verbindung anlegen
Anlegen einer IPSec-Site-to-Site VPN-Verbindung, wie im Wiki beschrieben im Menü mit der Schaltfläche .
Filiale 1 nicht abgebildet
- Filiale1 behält ihr ursprüngliches lokales Netz bei:
Im Beispiel: »172.16.3.0/24
Filiale 2 (und ggf. weitere Filialen)
Im Beispiel: »10.0.1.0/24
jede Filiale
Im Beispiel: »172.16.0.0/24
Zentrale
- In Schritt 3 muss das lokale Netz freigegeben werden.
Im Beispiel: »172.16.0.0/24 - In Schritt 4 wird das gemappte Remote-Netz der entsprechenden Filiale freigegeben.
Im Beispiel: »10.0.1.0/24
Netzwerkobjekte erstellen
In der Filiale 2 (und in jeder weiteren Filiale, die ein auch an anderer Stelle genutztes lokales Netz verwendet) wird ein Netzwerkobjekt für die Zentrale in der Zone
benötigt, mit dem das Mapping durchgeführt werden kann.
Hier kann direkt das genutze lokale Netz der Zentrale verwendet werden.
Im Beispiel 172.16.0.0/24
Zusätzlich wird ein zweites Netzwerkobjekt für das lokale Netz der jeweiligen Filiale erstellt, das gemappt wird.
Das Netzwerkobjekt für das Mapnetz in der Filiale muss sich in der Zone des internen Netzwerkes befinden und bekommt im Beispiel die Netz-IP 10.0.1.0/24.
(Weitere Filialen erhalten an dieser Stelle ein anderes Mapnet!)
NETMAP Regel anlegen
Paketfilterregeln in der Filiale 2
| alle Filialen | Auf der Seite der alle Filialen für ausgehendes Mapping | |
|---|---|---|
| Quelle | internal network
| |
| Ziel | netmap_remotenet_Zentrale
| |
| Dienst | any Ausnahmsweise ist hier eine any-Regel sinnvoll
| |
| Aktion | ||
[–] NAT Typ |
||
| Netzwerkobjekt | netmap_localnet_Filiale2
| |
| Dienst | any Ausnahmsweise ist hier eine any-Regel sinnvoll
| |
Zwei Möglichkeiten stehen zur Verfügung:
Implizite Regeln
Zentrale & jede Filiale
In diesem Falle werden Regeln im Hintergrund angelegt, die alle Dienste für alle Rechner auf beiden Seiten zulassen. (Default)
Empfohlen
Eigene Paketfilterregeln, die nur die Dienste zuzulassen, die auch benötigt werden.
Dazu wird im Menü im Abschnitt IpsecTraffic die Option Accept deaktiviert Aus und Paketfilterregeln manuell angelegt.
Im Beispiel wird davon ausgegangen, das aus der Filiale heraus auf Server der Zentrale zugegriffen werden soll.
Es wird auf jeder Seite ein Netzwerkobjekt für das jeweils entfernte VPN-Netzwerk benötigt
Netzwerkobjekt für die Filiale2 in der Zentrale
Einstellungen für das Netzwerkobjekt
Typ:
Typ:
Adresse: Netz-IP des Transfernetzes der Filiale2
Zone:
Netzwerkobjekt für die Zentrale in Filiale2
Einstellungen für das Netzwerkobjekt
Typ:
Typ:
Adresse: Netz-IP des lokalen Netzes der Zentrale
Zone:
| Zentrale | # | Quelle | Ziel: | Dienst: | NAT | Aktion | Aktiv | ||
| Eingehender Netzwerkverkehr in der Zentrale von Filiale1 |  |
4 | ipsec_remotenet_Filiale1 |
internal network |
ms-rdp |
Accept | Ein | ||
| Eingehender Netzwerkverkehr in der Zentrale von Filiale2 | |
5 | ipsec_remotenet_Filiale2 |
internal network |
ms-rdp |
Accept | Ein | ||
| Filiale1 | # | Quelle | Ziel: | Dienst: | NAT | Aktion | Aktiv | ||
| Ausgehender Netzwerkverkehr in der Filiale1 zur Zentrale | |
5 | internal-network |
IPSec-Network |
ms-rdp |
Accept | Ein | ||
| Filiale2 | # | Quelle | Ziel: | Dienst: | NAT | Aktion | Aktiv | ||
| 2, um das eigene lokale Netz zu mappen | |
4 | internal network |
mapnet_remotenet_Zentrale |
any |
NM | Accept | Ein | |
| Ausgehender Netzwerkverkehr in der Filiale2 zur Zentrale | |
5 | internal-network |
IPSec-Network |
ms-rdp |
Accept | Ein |
Erreichbarkeit von Hosts der Gegenstelle
Ein Rechner mit der IP-Adresse 172.16.3.10 in der Filiale 1 wird von der Zentrale aus mit eben dieser IP-Adresse (172.1.6.3.10) angesprochen.
Ein Rechner mit der IP-Adresse 172.16.3.10 in der Filiale 2 wird von der Zentrale aus mit der gemappten IP-Adresse 10.0.1.10 angesprochen.
Einen Rechner mit der IP-Adresse 172.16.0.120 in der Zentrale wird von der Filiale aus mit der IP-Adresse 172.16.0.120 angesprochen.