UTM/NET/GRE: Unterschied zwischen den Versionen

Version vom 2. November 2022, 12:01 Uhr

Generic Routing Encapsulation anlegen

Letzte Anpassung zur Version: 12.2.3

Neu:

notempty

Dieser Artikel bezieht sich auf eine Resellerpreview

Einleitung

Über das GRE (=Generic Routing Encapsulation) Protokoll, lassen sich andere Protokolle einkapseln und über Tunnel transportieren. Dabei ist zu beachten, dass die Pakete nicht verschlüsselt werden.

Mögliche Verwendung des GRE Protokolls:

Bei PPTP VPN

GRE - Tunnel anlegen

In diesem Beispiel hat die Firewall "Zentrale" auf LAN1 die IP-Adresse 203.0.113.204/24 und die Gegenstelle "Standort-01" die IP-Adresse 203.0.113.203/24 auf LAN1.

Die lokalen Subnetze sind bei "Zentrale" 10.0.0.0/24 sowie 10.1.0.0/24 bei "Standort-01".

Um diese Verbindung aufzubauen, wird noch ein Transfer-Netzwerk benötigt, welches in diesem Beispiel 10.250.0.0/24 lautet.

GRE - Interface anlegen
Menü Netzwerk Netzwerkkonfiguration Assistenten + GRE starten


Name:	gretun0	Hier kann der gewünschte Name für den GRE-Tunnel eingetragen werden
Lokale IP-Adresse:	10.250.0.1/24	Lokale IP des Transfernetzes, das hiermit festgelegt wird
Lokaler Tunnelendpunkt:	203.0.113.204	Öffentliche IP-Adresse des lokalen Tunnelendpunktes

Entfernter Tunnelendpunkt
Entfernter Tunnelendpunkt:	203.0.113.203/---	Öffentliche IP-Adresse des entfernten Tunnelendpunktes	Entfernter Tunnelendpunkt
			Entfernter Tunnelendpunkt
Zonen
Zonen:	external firewall-external firewall-internal dmz1	Hier können die gewünschten Zonen ausgewählt werden	Zonen
Neue Zone hinzufügen:	Ja gre	Bei Bedarf kann hier eine neue Zone erstellt werden
Regeln generieren:	Nein	Autogenerierte Regeln, die ggf. ersetzt werden müssen
Zurück	Durch klicken auf die Schaltfläche können vorherige Schritte wieder bearbeitet werden
Fertig	Durch klicken auf die Schaltfläche werden die Eingaben gespeichert und die Schnittstelle hinzugefügt
Abbrechen	Durch klicken auf die Schaltfläche wird der Vorgang abgebrochen, die Eingaben gelöscht und der Dialog geschlossen

Routing
Im Menü Netzwerk Netzwerkkonfiguration Bereich Routing auswählen Eine neue Route hinzufügen: Route hinzufügen
Quellnetzwerk:	/24	Die Angabe ist optional	Route hinzufügen
\|\| gretun0 \|\|
Zielnetzwerk:	10.1.0.0/24	Zielnetzwerk ist das entfernte Netz der Gegenstelle
Gewichtung	0	Hier kann eine höhere Gewichtung eingetragen werden
Speichern	Durch klicken auf die Schaltfläche werden die Eingaben gespeichert und die Route hinzugefügt
Schließen	Durch klicken auf die Schaltfläche wird der Vorgang abgebrochen, die Eingaben gelöscht und der Dialog geschlossen

Firewallregel erstellen

Die einfache Variante, die Netze miteinander zu verbinden, ist unter Verwendung der Netzwerkobjekte der gesamten Netze und dem Dienst any.

Sicherheit und Kontrolle erhält man jedoch immer nur dann, wenn man dediziert arbeitet.

Deshalb sollten die Dienste der Paketfilter der Anwendung entsprechend angepasst werden. Im Testszenario lässt sich default-internet verwenden, dann sehen die zwei Paketfilter wie folgt aus:

Dedizierte Firewallregel erstellen

Natürlich ist es auch hier ratsam dediziert zu arbeiten, d.h. für jede benötigte Verbindung einzelne Netzwerkobjekte anzulegen und ausschließlich die benötigten Dienste in der Portfilterregel freizuschalten.

In diesem Beispiel soll aus dem Netz "Zentrale" per "smtp" der Mailserver in "Standort-01" erreicht werden. Zusätzlich sollen Clients aus dem Netz der "Standort-01" per RDP auf den Terminalserver der "Zentrale" zugreifen.

Unter Firewall Paketfilter Bereich Netzwerkobjekte öffnen
Ein neues Objekt hinzufügen:

Name:	xsrv-GRE-mail-01	Hier kann der jeweilige gewünschte Name für das Netzwerkobjekt gewählt werden.	Netzwerkobjekt hinzufügen
Typ:	Host	Den jeweiligen Typen auswählen
Adresse:	10.1.0.10/---	Hier wird die IP-Adresse eingetragen
Zone:	gre	Hier wurde die zuvor erstellte Zone "gre" ausgewählt
\|\| \|\|
Speichern	Hier werden die Eingaben gespeichert und das Netzwerkobjekt hinzugefügt.
Speichern und schließen	Hier werden die Eingaben gespeichert, das Netzwerkobjekt angelegt und der Bearbeitungsdialog geschlossen.
Schließen	Hier wird der Vorgang abgebrochen, die Eingaben gelöscht und der Dialog geschlossen.

Anschließend müssen folgende Paketfilterregeln unter Firewall Paketfilter Schaltfläche Regel hinzufügen hinzugefügt werden:			Zugriff vom internen Netz zum Mailserver der Gegenstelle erlauben

Eine weitere Regel hinzufügen Quelle ist das entfernte Netz gre-network Ziel ist srv-lg-rdp-01 Als Dienst beim Zugriff auf den Terminalserver ms-rdp wählen Hinzufügen und schließen klicken (Siehe oben)

Das Regelwerk			Die Regelgruppe mit den Portfilterregeln

Konfiguration der Gegenstelle

Auf der entfernten UTM müssen die Einstellungen umgekehrt vorgenommen werden.

Name:	gretun0	Hier kann der gewünschte Name für den GRE-Tunnel eingetragen werden
Lokale IP-Adresse:	10.250.0.2/24	Lokale IP des Transfernetzes, das hiermit festgelegt wird
Lokaler Tunnelendpunkt:	203.0.113.203	Öffentliche IP-Adresse des lokalen Tunnelendpunktes

Entfernter Tunnelendpunkt:	203.0.113.204/---	Was in der "Zentrale" lokal (local) ist, ist im "Standort-01" entfernt (remote).	Entfernter Tunnelendpunkt
			Entfernter Tunnelendpunkt
Zonen:	external firewall-external firewall-internal dmz1	Hier können die gewünschten Zonen ausgewählt werden	Zonen
Neue Zone hinzufügen:	Ja gre	Bei Bedarf kann hier eine neue Zone erstellt werden
Regeln generieren:	Nein	Autogenerierte Regeln, die ggf. ersetzt werden müssen
Zurück	Durch klicken auf die Schaltfläche können vorherige Schritte wieder bearbeitet werden
Fertig	Durch klicken auf die Schaltfläche werden die Eingaben gespeichert und die Schnittstelle hinzugefügt
Abbrechen	Durch klicken auf die Schaltfläche wird der Vorgang abgebrochen, die Eingaben gelöscht und der Dialog geschlossen

Regel hinzufügen
Für eingehende und ausgehende Paketfilterregeln müssen entsprechend benötigte Dienste angelegt werden. Regeln, die in "Zentrale" ausgehend gestaltet wurden, müssen an "Standort-01" eingehend erstellt werden.			Konfiguration der Gegenstelle - Regel hinzufügen
			Konfiguration der Gegenstelle - Regel hinzufügen

@@ Zeile 1: / Zeile 1: @@
-#WEITERLEITUNG [[UTM/NET/GRE v11.7]]
+{{Set_lang}}
+{{#vardefine:headerIcon|spicon-utm}}
+{{:UTM/NET/GRE.lang}}
+</div>{{TOC2}}
+{{Header|12.2.3|
+* {{#var:Artikel- und Layoutanpassungen}}
+|[[UTM/NET/GRE_v11.7 | 11.7 ]]
+}}
+----
+=={{#var:Einleitung}}==
+{{#var:Einleitung--desc}}
+=={{#var:GRE - Tunnel anlegen}}==
+{{#var:GRE - Tunnel anlegen--desc}}
+{| class="sptable2 pd5 zh1 Einrücken"
+|- class="Leerzeile"
+| colspan="3" |
+==={{#var:GRE - Interface anlegen}}===
+|- class="Leerzeile"
+| colspan="3" | {{#var:GRE - Interface anlegen--desc}}
+|- class="Leerzeile"
+|
+|- class="Leerzeile"
+| colspan="3" |
+==== {{#var:Name und lokale IP-Adressen}} ====
+|-
+| {{b|{{#var:Name}}:}} || {{ic|gretun0|class=available}} || {{#var:Name-Schritt 1--desc}}
+| class="Bild" rowspan="4" | {{ Bild | {{#var:Schritt 1--Bild}} | {{#var:Name und lokale IP-Adressen}} }}
+|-
+| {{b|{{#var:Lokale IP-Adresse}}:}} || {{ic|10.250.0.1/24|class=available}} || {{#var:Lokale IP-Adresse-Schritt 1--desc}}
+|-
+| {{b|{{#var:Lokaler Tunnelendpunkt}}:|class=mw12}} || {{ic|203.0.113.204|class=mw9|dr}}{{Button||stift}} || {{#var:Lokaler Tunnelendpunkt-Schritt 1--desc}}
+|- class="Leerzeile"
+|
+|- class="Leerzeile"
+| colspan="3" |
+==== {{#var:Entfernter Tunnelendpunkt}} ====
+|-
+| {{b|{{#var:Entfernter Tunnelendpunkt}}:}} || {{ic|203.0.113.203|rechts|icon=/--- |iconw=x|iconbc=hgrau}} || {{#var:Entfernter Tunnelendpunkt-Schritt 2--desc}}
+| class="Bild" rowspan="2" | {{ Bild | {{#var:Schritt 2--Bild}} | {{#var:Entfernter Tunnelendpunkt}} }}
+|- class="Leerzeile"
+|
+|- class="Leerzeile"
+| colspan="3" |
+===={{#var:Zonen}}====
+|-
+| {{b|{{#var:Zonen}}:}} || {{ic| {{cb| external |-}} {{cb| firewall-external |-}} <br/>{{cb| firewall-internal |-}} {{cb| dmz1 |-}} |cb}} || {{#var:Zonen-Schritt 3--desc}}
+| class="Bild" rowspan="8" | {{ Bild | {{#var:Schritt 3--Bild}} | {{#var:Zonen}} }}
+|-
+| {{b|{{#var:Neue Zone hinzufügen}}:}} || {{ButtonAn|{{#var:Ja}}}}<br>{{ic|gre|class=mw8}} || {{#var:Neue Zone hinzufügen-Schritt 3--desc}}
+|-
+| {{b|{{#var:Regeln generieren}}:}} || {{ButtonAus|{{#var:Nein}}}} || {{#var:Regeln generieren-Schritt 3--desc}}
+|- class="Leerzeile"
+| {{Button|{{#var:Zurück}} }} || colspan="2" | {{#var:Zurück-Schritt 3--desc}}
+|- class="Leerzeile"
+| {{Button|{{#var:Fertig}} }} || colspan="2" | {{#var:Fertig-Schritt 3--desc}}
+|- class="Leerzeile"
+| {{Button|{{#var:Abbrechen}} }} || colspan="2" | {{#var:Abbrechen-Schritt 3--desc}}
+|- class="Leerzeile"
+|
+|- class="Leerzeile"
+| colspan="3" |
+===Routing===
+|- class="Leerzeile"
+| colspan="3" | {{#var:Routing--desc}}
+|- class="Leerzeile"
+|-
+| {{b|{{#var:Quellnetzwerk}}:}} || {{ic| /24||class=available}} || {{#var:Quellnetzwerk-Routing--desc}}
+| class="Bild" rowspan="6" | {{ Bild | {{#var:Routing--Bild}} | {{#var:Routing--cap}} }}
+|-
+| {{b|{{#var:Gateway-Schnittstelle}}:}} || {{Button|gretun0|dr|class=available}} || {{#var:Gateway-Schnittstelle--desc}}
+|-
+| {{b|{{#var:Zielnetzwerk}}:}} || {{ic| 10.1.0.0/24|class=available}} || {{#var:Zielnetzwerk-Routing--desc}}
+|-
+| {{b|{{#var:Gewichtung}}}} || {{ic|0|class=available}} || {{#var:Gewichtung-Routing--desc}}
+|- class="Leerzeile"
+| {{Button|{{#var:Speichern}} }} || colspan="2" | {{#var:Speichern-Routing--desc}}
+|- class="Leerzeile"
+| {{Button|{{#var:Schließen}} }} || colspan="2" | {{#var:Schließen-Routing--desc}}
+|- class="Leerzeile"
+|}
+=={{#var:Portfilter}}==
+==={{#var:Firewallregel erstellen}}===
+{{#var:Firewallregel erstellen--desc}}
+==={{#var:Dedizierte Firewallregel erstellen}}===
+{{#var:Dedizierte Firewallregel erstellen--desc}}
+<br clear=all>
+{| class="sptable2 pd5 zh1 Einrücken"
+|-
+| {{b|{{#var:Name}}:}} || {{ic|xsrv-GRE-mail-01|class=available}} || {{#var:Name-firewall--desc}}
+| class="Bild" rowspan="8" | {{Bild| {{#var:Dedizierte Firewallregel erstellen--Bild}} | {{#var:Dedizierte Firewallregel erstellen--cap}} }}
+|-
+| {{b|{{#var:Typ}}:}} || {{Button|Host|dr|class=available}} || {{#var:Typ-firewall-desc}}
+|-
+| {{b|{{#var:Adresse}}:}} ||  {{ic|10.1.0.10|rechts|icon=/--- |iconw=x|iconbc=hgrau|class=available}} || {{#var:Adresse-firewall--desc}}
+|-
+| {{b|{{#var:Zone}}:}} || {{Button|gre|dr|class=available}} || {{#var:Zone-firewall--desc}}
+|-
+| {{b|{{#var:Gruppe}}:}} || {{ic| |class=available}} || {{#var:Gruppe-firewall--desc}}
+|- class="Leerzeile"
+| {{Button|{{#var:Speichern}} }} || colspan="2" | {{#var:Speichern-firewall--desc}}
+|- class="Leerzeile"
+| {{Button|{{#var:Speichern und schließen}} }} || colspan="2" | {{#var:Speichern und schließen--desc}}
+|- class="Leerzeile"
+| {{Button|{{#var:Schließen}} }} || colspan="2" | {{#var:Schließen-firewall--desc}}
+|- class="Leerzeile"
+|
+|- class="Leerzeile"
+| colspan="3" | {{#var:Internes Netz zum Mailserver--desc}}
+| class="Bild" rowspan="2" | {{Bild| {{#var:Internes Netz zum Mailserver--Bild}} | {{#var:Internes Netz zum Mailserver--cap}} }}
+|- class="Leerzeile"
+|
+|- class="Leerzeile"
+| colspan="3" | {{#var:Entferntes Netz zum Terminalserver--desc}}
+|- class="Leerzeile"
+|
+|- class="Leerzeile"
+| colspan="3" | {{#var:Das Regelwerk}}
+| class="Bild" rowspan="2" | {{Bild| {{#var:Das Regelwerk--Bild}} | {{#var:Das Regelwerk--cap}} }}
+|- class="Leerzeile"
+|
+|- class="Leerzeile"
+|}
+{| class="sptable pd5 zh1 Einrücken"
+|- class="Leerzeile"
+| colspan="3" |
+=={{#var:Konfiguration der Gegenstelle}}==
+|- class="Leerzeile"
+| <br clear=al>
+|- class="Leerzeile"
+| colspan="3" | {{#var:Konfiguration der Gegenstelle - Schritt 1--desc}}
+|- class="Leerzeile"
+|
+|-
+| {{b|{{#var:Name}}:}} || {{ic|gretun0|class=available}} || {{#var:Name-Schritt 1--desc}}
+| class="Bild" rowspan="4" | {{ Bild | {{#var:Konfiguration der Gegenstelle - Schritt 1--Bild}} | {{#var:Name und lokale IP-Adressen}} }}
+|-
+| {{b|{{#var:Lokale IP-Adresse}}:}} || {{ic|10.250.0.2/24|class=available}} || {{#var:Lokale IP-Adresse-Schritt 1--desc}}
+|-
+| {{b|{{#var:Lokaler Tunnelendpunkt}}:}} || {{ic|203.0.113.203|dr}} || {{#var:Lokaler Tunnelendpunkt-Schritt 1--desc}}
+|- class="Leerzeile"
+|
+|-
+| {{b|{{#var:Entfernter Tunnelendpunkt}}:}} || {{ic|203.0.113.204|rechts|icon=/--- |iconw=x|iconbc=hgrau}} || {{#var:KdG-Entfernter Tunnelpunkt--desc}}
+| class="Bild" rowspan="2" | {{Bild|{{#var:KdG-Entfernter Tunnelpunkt--Bild}} |{{#var:Entfernter Tunnelendpunkt}} }}
+|- class="Leerzeile"
+|
+|-
+| {{b|{{#var:Zonen}}:}} || {{ic| {{cb| external |-}} {{cb| firewall-external |-}} <br/>{{cb| firewall-internal |-}} {{cb| dmz1 |-}} |cb}} || {{#var:Zonen-Schritt 3--desc}}
+| class="Bild" rowspan="7" | {{Bild|{{#var:Schritt 3--Bild}} |{{#var:Zonen}} }}
+|-
+| {{b|{{#var:Neue Zone hinzufügen}}:}} || {{ButtonAn|{{#var:Ja}} }}<br> {{ic|gre|class=mw10}} || {{#var:Neue Zone hinzufügen-Schritt 3--desc}}
+|-
+| {{b|{{#var:Regeln generieren}}:}} || {{ButtonAus|{{#var:Nein}} }} || {{#var:Regeln generieren-Schritt 3--desc}}
+|- class="Leerzeile"
+| {{Button|{{#var:Zurück}} }} || colspan="2" | {{#var:Zurück-Schritt 3--desc}}
+|- class="Leerzeile"
+| {{Button|{{#var:Fertig}} }} || colspan="2" | {{#var:Fertig-Schritt 3--desc}}
+|- class="Leerzeile"
+| {{Button|{{#var:Abbrechen}} }} || colspan="2" | {{#var:Abbrechen-Schritt 3--desc}}
+|- class="Leerzeile"
+| <br clear=all>
+|- class="Leerzeile"
+| colspan="3" | {{Reiter|{{#var:Regel hinzufügen}} }}
+|- class="Leerzeile"
+| colspan="3" | {{#var:Regel hinzufügen--desc}}
+| class="Bild" rowspan="2" | {{Bild| {{#var:Regel hinzufügen--Bild}}|{{#var:Regel hinzufügen--cap}} }}
+|- class="Leerzeile"
+|
+|- class="Leerzeile"
+|}