UTM/VPN/IPSec-S2S Beispiele: Unterschied zwischen den Versionen

Bei einer IPSec Verbindung gibt es für jeden Netzaufbau empfohlene Konfigurationen, damit ein Tunnel aufgebaut werden kann.
Dabei wird unterschieden, ob die öffentliche IP auf der UTM liegt, oder ob die Verbindung "genattet" ist. Auch, ob es mehrere Internetleitungen gibt, spielt hierbei eine Rolle.

Im folgenden wird erklärt, wie eine IPSec-VPN Konfiguration aussieht, wenn an beiden Seiten der Verbindung jeweils nur eine Internetleitung vorhanden ist und öffentliche IP-Adressen direkt an den UTM anliegen. Dieses ist zum Beispiel der Fall, wenn an der externen Schnittstelle ein ADSL-Modem angeschlossen ist.

Für den Anschluss eines Modems an der UTM wird eine PPPoE-Schnittstelle und eine Default-Route über diese Schnittstelle eingerichtet.
In unserem Fall ist es die erste PPPoE-Schnittstelle, die dann die Bezeichnung wan0 erhält.

Die Default-Route kann mit Klick auf Netzwerk Netzwerkkonfiguration  Bereich Routing Schaltfläche + Default-Route hinzufügen angelegt werden, wobei die zuvor angelegte PPPoE-Schnittstelle als Gateway ausgewählt wird.

Mit Klick auf VPN IPSec  Bereich Verbindungen Schaltfläche + IPSec Verbindung hinzufügen kann eine IPSec-Verbindung hinzugefügt werden. Eine genau Anleitung dazu findet sich hier.
Wenn anschließend auf Phase 1 geklickt wird, sieht der Dialog wie folgt aus:

Für den Anschluss eines Modems an der UTM wird eine PPPoE-Schnittstelle und eine Default-Route über diese Schnittstelle eingerichtet.
In unserem Fall ist es die erste PPPoE-Schnittstelle, die dann die Bezeichnung wan0 erhält.

Die Default-Route kann mit Klick auf Netzwerk Netzwerkkonfiguration  Bereich Routing Schaltfläche + Default-Route hinzufügen angelegt werden, wobei die zuvor angelegte PPPoE-Schnittstelle als Gateway ausgewählt wird.

Mit Klick auf VPN IPSec  Bereich Verbindungen Schaltfläche + IPSec Verbindung hinzufügen kann eine IPSec-Verbindung hinzugefügt werden. Eine genau Anleitung dazu findet sich hier.
Wenn anschließend auf Phase 1 geklickt wird, sieht der Dialog wie folgt aus:

Im folgenden wird erklärt, wie eine IPSec-VPN Konfiguration aussieht, wenn an beiden Seiten der Verbindung jeweils nur eine Internetleitung vorhanden ist, aber nur auf einer Seite eine öffentliche IP-Adresse direkt an den UTM anliegt. Die andere steht hinter einem Router, welcher der UTM über ein Transfernetz den Internetzugang ermöglicht. Dieses ist zum Beispiel der Fall, wenn an der externen Schnittstelle der UTM der ADSL-Router eines Internet-Providers angeschlossen ist.

Für den Anschluss eines Modems an der UTM wird eine PPPoE-Schnittstelle und eine Default-Route über diese Schnittstelle eingerichtet.
In unserem Fall ist es die erste PPPoE-Schnittstelle, die dann die Bezeichnung wan0 erhält.

Die Default-Route kann mit Klick auf Netzwerk Netzwerkkonfiguration  Bereich Routing Schaltfläche + Default-Route hinzufügen angelegt werden, wobei die zuvor angelegte PPPoE-Schnittstelle als Gateway ausgewählt wird.

Sobald eine IPSec-VPN-Verbindung auf mindestens einer Seite, zum Beispiel durch einen Router "genattet" wird, empfehlen wir, statt eines Pre-Shared Key die Verwendung von RSA-Schlüsseln.
Dadurch kann bei jeder weiteren VPN-Verbindung ein eigener Schlüssel und auch wieder die Gateway ID als zweites Authentifizierungsmerkmal verwendet werden.
Das Erstellen eines RSA-Schlüsselpaares erfolgt unter Authentifizierung Schlüssel  Schaltfläche + Schlüssel hinzufügen (siehe auch RSA-Keys).
Dann muss noch der öffentliche Schlüssel der Zentrale im PEM, HEX oder Base64 Format exportiert und in die UTM der Filiale importiert werden. Der Öffentliche Schlüssel der Filiale wird ebenfalls exportiert und in die UTM der Zentrale importiert.

Mit Klick auf VPN IPSec  Bereich Verbindungen Schaltfläche + IPSec Verbindung hinzufügen kann eine IPSec-Verbindung hinzugefügt werden. Eine genau Anleitung dazu findet sich hier.
Wenn anschließend auf Phase 1 geklickt wird, sieht der Dialog wie folgt aus:

In diesem Szenario ist die Seite der Filiale die Gegenstelle der IPSec-Verbindung, die durch einen ADSL-Router über das Transfernetz zusätzlich "genattet" werden muss.
Die Öffentliche IP-Adresse liegt also nicht direkt auf der externen Schnittstelle der UTM.

In der Standard-Route wird die IP-Adresse des ADSL Router als Gateway eingetragen.

Mit Klick auf VPN IPSec  Bereich Verbindungen Schaltfläche + IPSec Verbindung hinzufügen kann eine IPSec-Verbindung hinzugefügt werden. Eine genau Anleitung dazu findet sich hier.
Wenn anschließend auf Phase 1 geklickt wird, sieht der Dialog wie folgt aus:

Im folgenden wird erklärt, wie eine IPSec-VPN Konfiguration aussieht, wenn an beiden Seiten der Verbindung jeweils nur eine Internetleitung vorhanden ist und beide Seiten der Verbindung hinter einem Router stehen, welcher der UTM über ein Transfernetz den Internetzugang ermöglicht. Dies ist zum Beispiel der Fall, wenn an der externen Schnittstelle der UTM der ADSL-Router eines Internet-Providers angeschlossen ist.

Diese Konfiguration wird von Securepoint nicht empfohlen, da sie in der Regel instabil ist, wenn sie denn überhaupt aufgebaut wird. Empfohlen wird für dieses Szenario eine OpenVPN Site to Site Verbindung.

In diesem Szenario soll die Zentrale die IPSec-Verbindung über eine Internetleitung aufbauen, die durch einen ADSL-Router über das Transfernetz zusätzlich "genattet" werden muss. Die Öffentliche IP-Adresse liegt also nicht direkt auf der externen Schnittstelle der UTM.

In der Standard-Route wird die IP-Adresse des ADSL Router als Gateway eingetragen.

Mit Klick auf VPN IPSec  Bereich Verbindungen Schaltfläche + IPSec Verbindung hinzufügen kann eine IPSec-Verbindung hinzugefügt werden. Eine genau Anleitung dazu findet sich hier.
Wenn anschließend auf Phase 1 geklickt wird, sieht der Dialog wie folgt aus:

In diesem Szenario muss die Seite der Filiale, als IPSec-VPN Gegenstelle, durch einen ADSL Router über das Transfernetz ebenfalls "genattet" werden. Die Öffentliche IP-Adresse liegt also nicht direkt auf der externen Schnittstelle der UTM.

In der Standard-Route wird die IP-Adresse des ADSL Router als Gateway eingetragen.

Sobald eine IPSec-VPN-Verbindung auf mindestens einer Seite, zum Beispiel durch einen Router "genattet" wird, empfehlen wir, statt eines Pre-Shared Key die Verwendung von RSA-Schlüsseln.
Dadurch kann bei jeder weiteren VPN-Verbindung ein eigener Schlüssel und auch wieder die Gateway ID als zweites Authentifizierungsmerkmal verwendet werden.
Das Erstellen eines RSA-Schlüsselpaares erfolgt unter Authentifizierung Schlüssel  Schaltfläche + Schlüssel hinzufügen (siehe auch RSA-Keys).
Dann muss noch der öffentliche Schlüssel der Zentrale im PEM, HEX oder Base64 Format exportiert und in die UTM der Filiale importiert werden. Der Öffentliche Schlüssel der Filiale wird ebenfalls exportiert und in die UTM der Zentrale importiert.

Mit Klick auf VPN IPSec  Bereich Verbindungen Schaltfläche + IPSec Verbindung hinzufügen kann eine IPSec-Verbindung hinzugefügt werden. Eine genau Anleitung dazu findet sich hier.
Wenn anschließend auf Phase 1 geklickt wird, sieht der Dialog wie folgt aus:

Im folgenden wird erklärt, wie eine IPSec-VPN Konfiguration aussieht, wenn auf einer Seite mehrere Internetleitungen vorhanden sind und auf beiden Seiten öffentliche IP-Adressen direkt an den UTM anliegen. Dieses ist zum Beispiel der Fall, wenn an der externen Schnittstelle ein ADSL-Modem angeschlossen ist.

In diesem Szenario hat die Zentrale mehrere Anschlüsse zum Internet.
Hier soll die IPSec-VPN Verbindung über einen Internetzugang mit direkt angeschlossenem DSL-Modem aufgebaut werden. In diesem Fall ist es die erste PPPoE Schnittstelle, die dann die Bezeichnung wan0 erhält.
Wichtig ist an dieser Stelle auch, dass die VPN Zonen vpn-ipsec und firewall-vpn-ipsec auf der Schnittstelle liegen, über die die VPN-Verbindung erstellt werden soll.

Da hier mehrere Internetverbindungen gleichzeitig genutzt werden, bestehen auch mehrere Standard Routen (Multipath-Routing), da es ansonsten Probleme mit den Paketfilterregeln geben wird.
Sollen unterschiedliche VPN-Verbindungen über unterschiedliche Internetverbindungen aufgebaut werden, müssen weitere VPN Zonen angelegt werden.

Mit Klick auf VPN IPSec  Bereich Verbindungen Schaltfläche + IPSec Verbindung hinzufügen kann eine IPSec-Verbindung hinzugefügt werden. Eine genau Anleitung dazu findet sich hier.
Wenn anschließend auf Phase 1 geklickt wird, sieht der Dialog wie folgt aus:

Auch hier wurde ein Modem an der UTM angeschlossen, eine PPPoE Schnittstelle und eine Standard Route über diese Schnittstelle eingerichtet.
Auch in diesem Fall ist es die erste PPPoE Schnittstelle, die dann die Bezeichnung wan0 erhält.

Mit Klick auf VPN IPSec  Bereich Verbindungen Schaltfläche + IPSec Verbindung hinzufügen kann eine IPSec-Verbindung hinzugefügt werden. Eine genau Anleitung dazu findet sich hier.
Wenn anschließend auf Phase 1 geklickt wird, sieht der Dialog wie folgt aus:

Im folgenden wird erklärt, wie eine IPSec-VPN Konfiguration aussieht, wenn auf einer Seite mehrere Internetleitungen vorhanden sind und dort öffentliche IP-Adressen direkt an den UTM anliegen. Die andere Seite steht hinter einem Router, welcher der UTM über ein Transfernetz den Internetzugang ermöglicht. Dieses ist zum Beispiel der Fall, wenn an der externen Schnittstelle der UTM der ADSL-Router eines Internet-Providers angeschlossen ist.

In diesem Szenario hat die Zentrale mehrere Anschlüsse zum Internet.
Hier soll die IPSec-VPN Verbindung über einen Internetzugang mit direkt angeschlossenem DSL-Modem aufgebaut werden. In diesem Fall ist es die erste PPPoE Schnittstelle, die dann die Bezeichnung wan0 erhält.
Wichtig ist an dieser Stelle auch, dass die VPN Zonen vpn-ipsec und firewall-vpn-ipsec auf der Schnittstelle liegen, über die die VPN-Verbindung erstellt werden soll.

Da hier mehrere Internetverbindungen gleichzeitig genutzt werden, bestehen auch mehrere Standard Routen (Multipath-Routing), da es ansonsten Probleme mit den Paketfilterregeln geben wird.
Sollen unterschiedliche VPN-Verbindungen über unterschiedliche Internetverbindungen aufgebaut werden, müssen weitere VPN Zonen angelegt werden.

Sobald eine IPSec-VPN-Verbindung auf mindestens einer Seite, zum Beispiel durch einen Router "genattet" wird, empfehlen wir, statt eines Pre-Shared Key die Verwendung von RSA-Schlüsseln.
Dadurch kann bei jeder weiteren VPN-Verbindung ein eigener Schlüssel und auch wieder die Gateway ID als zweites Authentifizierungsmerkmal verwendet werden.
Das Erstellen eines RSA-Schlüsselpaares erfolgt unter Authentifizierung Schlüssel  Schaltfläche + Schlüssel hinzufügen (siehe auch RSA-Keys).
Dann muss noch der öffentliche Schlüssel der Zentrale im PEM, HEX oder Base64 Format exportiert und in die UTM der Filiale importiert werden. Der Öffentliche Schlüssel der Filiale wird ebenfalls exportiert und in die UTM der Zentrale importiert.

Mit Klick auf VPN IPSec  Bereich Verbindungen Schaltfläche + IPSec Verbindung hinzufügen kann eine IPSec-Verbindung hinzugefügt werden. Eine genau Anleitung dazu findet sich hier.
Wenn anschließend auf Phase 1 geklickt wird, sieht der Dialog wie folgt aus:

In diesem Szenario ist die Filiale über einen ADSL Router mit dem Internet verbunden. Dadurch gibt es ein Transfernetz, in unserem Beispiel 192.168.2.0/24, über das zusätzlich "genattet" werden muss. Die Öffentliche IP-Adresse liegt also nicht direkt auf der externen Schnittstelle der UTM.

In der Standard-Route wird die IP-Adresse des ADSL Router als Gateway eingetragen.

Sobald eine IPSec-VPN-Verbindung auf mindestens einer Seite, zum Beispiel durch einen Router "genattet" wird, empfehlen wir, statt eines Pre-Shared Key die Verwendung von RSA-Schlüsseln.
Dadurch kann bei jeder weiteren VPN-Verbindung ein eigener Schlüssel und auch wieder die Gateway ID als zweites Authentifizierungsmerkmal verwendet werden.
Das Erstellen eines RSA-Schlüsselpaares erfolgt unter Authentifizierung Schlüssel  Schaltfläche + Schlüssel hinzufügen (siehe auch RSA-Keys).
Dann muss noch der öffentliche Schlüssel der Zentrale im PEM, HEX oder Base64 Format exportiert und in die UTM der Filiale importiert werden. Der Öffentliche Schlüssel der Filiale wird ebenfalls exportiert und in die UTM der Zentrale importiert.

Mit Klick auf VPN IPSec  Bereich Verbindungen Schaltfläche + IPSec Verbindung hinzufügen kann eine IPSec-Verbindung hinzugefügt werden. Eine genau Anleitung dazu findet sich hier.
Wenn anschließend auf Phase 1 geklickt wird, sieht der Dialog wie folgt aus:

Im folgenden wird erklärt, wie eine IPSec-VPN Konfiguration aussieht, wenn auf einer Seite mehrere Internetleitungen vorhanden sind und beide Seiten der Verbindung hinter einem Router stehen, welcher der UTM über ein Transfernetz den Internetzugang ermöglicht. Dies ist zum Beispiel der Fall, wenn an der externen Schnittstelle der UTM der ADSL-Router eines Internet-Providers angeschlossen ist.
Diese Konfiguration wird von Securepoint nicht empfohlen, da diese in der Regel instabil ist, wenn sie denn überhaupt aufgebaut wird. Empfohlen wir für dieses Szenario eine OpenVPN Site to Site Verbindung.

In diesem Szenario nehmen wir den Fall an, dass die Zentrale mehrere Anschlüsse zum Internet hat.
Hier soll die Zentrale die IPSec-Verbindung über eine Internetleitung aufbauen, die durch einen ADSL Router über das Transfernetz zusätzlich "genattet" werden muss. Die öffentliche IP-Adresse liegt also nicht direkt auf der externen Schnittstelle der UTM.

In der Standard-Route wird die IP-Adresse des ADSL Router als Gateway eingetragen.

Sobald eine IPSec-VPN-Verbindung auf mindestens einer Seite, zum Beispiel durch einen Router "genattet" wird, empfehlen wir, statt eines Pre-Shared Key die Verwendung von RSA-Schlüsseln.
Dadurch kann bei jeder weiteren VPN-Verbindung ein eigener Schlüssel und auch wieder die Gateway ID als zweites Authentifizierungsmerkmal verwendet werden.
Das Erstellen eines RSA-Schlüsselpaares erfolgt unter Authentifizierung Schlüssel  Schaltfläche + Schlüssel hinzufügen (siehe auch RSA-Keys).
Dann muss noch der öffentliche Schlüssel der Zentrale im PEM, HEX oder Base64 Format exportiert und in die UTM der Filiale importiert werden. Der Öffentliche Schlüssel der Filiale wird ebenfalls exportiert und in die UTM der Zentrale importiert.

Mit Klick auf VPN IPSec  Bereich Verbindungen Schaltfläche + IPSec Verbindung hinzufügen kann eine IPSec-Verbindung hinzugefügt werden. Eine genau Anleitung dazu findet sich hier.
Wenn anschließend auf Phase 1 geklickt wird, sieht der Dialog wie folgt aus:

In diesem Szenario ist die Filiale ebenfalls über einen ADSL-Router mit dem Internet verbunden. Dadurch gibt es ein Transfernetz über das zusätzlich "genattet" werden muss. Die öffentliche IP-Adresse liegt also nicht direkt auf der externen Schnittstelle der UTM.

In der Standard-Route wird die IP-Adresse des ADSL Router als Gateway eingetragen.

Sobald eine IPSec-VPN-Verbindung auf mindestens einer Seite, zum Beispiel durch einen Router "genattet" wird, empfehlen wir, statt eines Pre-Shared Key die Verwendung von RSA-Schlüsseln.
Dadurch kann bei jeder weiteren VPN-Verbindung ein eigener Schlüssel und auch wieder die Gateway ID als zweites Authentifizierungsmerkmal verwendet werden.
Das Erstellen eines RSA-Schlüsselpaares erfolgt unter Authentifizierung Schlüssel  Schaltfläche + Schlüssel hinzufügen (siehe auch RSA-Keys).
Dann muss noch der öffentliche Schlüssel der Zentrale im PEM, HEX oder Base64 Format exportiert und in die UTM der Filiale importiert werden. Der Öffentliche Schlüssel der Filiale wird ebenfalls exportiert und in die UTM der Zentrale importiert.

Mit Klick auf VPN IPSec  Bereich Verbindungen Schaltfläche + IPSec Verbindung hinzufügen kann eine IPSec-Verbindung hinzugefügt werden. Eine genau Anleitung dazu findet sich hier.
Wenn anschließend auf Phase 1 geklickt wird, sieht der Dialog wie folgt aus: