UTM/VPN/IPSec-S2S Beispiele v11.7: Unterschied zwischen den Versionen

← Zum vorherigen Versionsunterschied Zum nächsten Versionsunterschied →

Version vom 22. Juni 2016, 08:27 Uhr

Beispiele zur Konfiguration von IPSec-VPN Site to Site Verbindungen

Bei einer IPSec Verbindung gibt es für jeden Netzaufbau empfohlene Konfigurationen, damit ein Tunnel aufgebaut werden kann. Dabei wird unterschieden, ob die öffentliche IP auf der UTM liegt oder ob die Verbindung genattet ist. Auch ob es mehrere Internetleitungen gibt spielt hierbei eine Rolle.

Single-Path mit öffentlichen IP-Adressen

Im folgenden wird erklärt, wie eine IPSec-VPN Konfiguration aussieht, wenn an beiden Seiten der Verbindung jeweils nur eine Internetleitung vorhanden ist und öffentliche IP-Adressen direkt an den UTM anliegen. Dieses ist zum Beispiel der Fall, wenn an der externen Schnittstelle ein ADSL-Modem angeschlossen ist.

Zentrale

Netzwerkvorgaben

IPSec Phase1

Filiale

Netzwerkvorgaben

IPSec Phase1

Single-Path mit einer genatteten Seite

Im folgenden wird erklärt, wie eine IPSec-VPN Konfiguration aussieht, wenn an beiden Seiten der Verbindung jeweils nur eine Internetleitung vorhanden ist aber nur auf einer eine öffentliche IP-Adressen direkt an den UTM anliegt. Die andere steht hinter einem Router, welcher der UTM über ein Transfernetz den Internetzugang ermöglicht. Dieses ist zum Beispiel der Fall, wenn an der externen Schnittstelle der UTM der ADSL-Router eines Internet-Providers angeschlossen ist.

Zentrale

Netzwerkvorgaben

RSA-Schlüssel

IPSec Phase1

Filiale

Netzwerkvorgaben

RSA-Schlüssel

IPSec Phase1

Single-Path beidseitig genattet

Im folgenden wird erklärt, wie eine IPSec-VPN Konfiguration aussieht, wenn an beiden Seiten der Verbindung jeweils nur eine Internetleitung vorhanden ist und beide Seiten der Verbindung stehen hinter einem Router, welcher der UTM über ein Transfernetz den Internetzugang ermöglicht. Dieses ist zum Beispiel der Fall, wenn an der externen Schnittstelle der UTM der ADSL-Router eines Internet-Providers angeschlossen ist.

Diese Konfiguration wird von Securepoint nicht empfohlen, da diese in der Regel instabil ist, wenn sie denn überhaupt aufgebaut wird. Empfohlen wir für dieses Szenario eine OpenVPN Site to Site Verbindung.

Zentrale

Netzwerkvorgaben

RSA-Schlüssel

IPSec Phase1

Filiale

Netzwerkvorgaben

RSA-Schlüssel

IPSec Phase1

Multipath mit öffentlichen IP-Adressen

Im folgenden wird erklärt, wie eine IPSec-VPN Konfiguration aussieht, wenn auf einer Seite mehrere Internetleitungen vorhanden sind und öffentliche IP-Adressen direkt an den UTM anliegen. Dieses ist zum Beispiel der Fall, wenn an der externen Schnittstelle ein ADSL Modem angeschlossen ist.

Zentrale

Netzwerkvorgaben

IPSec Phase1

Filiale

Netzwerkvorgaben

IPSec Phase1

Multipath mit einer genatteten Seite

Im folgenden wird erklärt, wie eine IPSec-VPN Konfiguration aussieht, wenn auf einer Seite mehrere Internetleitungen vorhanden sind aber nur auf einer eine öffentliche IP-Adressen direkt an den UTM anliegt. Die andere steht hinter einem Router, welcher der UTM über ein Transfernetz den Internetzugang ermöglicht. Dieses ist zum Beispiel der Fall, wenn an der externen Schnittstelle der UTM der ADSL-Router eines Internet-Providers angeschlossen ist.

Zentrale

Netzwerkvorgaben

RSA-Schlüssel

IPSec Phase1

Filiale

Netzwerkvorgaben

RSA-Schlüssel

IPSec Phase1

Multipath beidseitig genattet

Im folgenden wird erklärt, wie eine IPSec-VPN Konfiguration aussieht, wenn auf einer Seite mehrere Internetleitungen vorhanden sind und beide Seiten der Verbindung stehen hinter einem Router, welcher der UTM über ein Transfernetz den Internetzugang ermöglicht. Dieses ist zum Beispiel der Fall, wenn an der externen Schnittstelle der UTM der ADSL-Router eines Internet-Providers angeschlossen ist.

Diese Konfiguration wird von Securepoint nicht empfohlen, da diese in der Regel instabil ist, wenn sie denn überhaupt aufgebaut wird. Empfohlen wir für dieses Szenario eine OpenVPN Site to Site Verbindung.

Zentrale

Netzwerkvorgaben

RSA-Schlüssel

IPSec Phase1

Filiale

Netzwerkvorgaben

RSA-Schlüssel

IPSec Phase1

@@ Zeile 12: / Zeile 12: @@
 =====Netzwerkvorgaben=====
 [[Datei:singlepath_pppoe_zentrale_nk.png|600px|center]]
-[[Datei:singlepath_pppoe_zentrale_dr.png|600px|center]]
+[[Datei:singlepath_pppoe_beide_dr.png|600px|center]]
+=====IPSec Phase1=====
+[[Datei:singlepath_ipsec_p1_zentrale.png|300px|right]]
+====Filiale====
+=====Netzwerkvorgaben=====
+[[Datei:singlepath_pppoe_filiale_nk.png|600px|center]]
+[[Datei:singlepath_pppoe_beide_dr.png|600px|center]]
+=====IPSec Phase1=====
+[[Datei:singlepath_ipsec_p1_filiale.png|300px|right]]
 ===Single-Path mit einer genatteten Seite===
@@ Zeile 23: / Zeile 33: @@
 =====Netzwerkvorgaben=====
 [[Datei:singlepath_pppoe_zentrale_nk.png|600px|center]]
-[[Datei:singlepath_pppoe_zentrale_dr.png|600px|center]]
+[[Datei:singlepath_pppoe_beide_dr.png|600px|center]]
+=====RSA-Schlüssel=====
+[[Datei:ipsec_rsakeys-zentrale.png|600px|center]]
+=====IPSec Phase1=====
+[[Datei:singlepath_ipsec_p1_zentrale_nat-rsa.png|300px|right]]
+====Filiale====
+=====Netzwerkvorgaben=====
+[[Datei:singlepath_nat_filiale_nk.png|600px|center]]
+[[Datei:singlepath_nat_filiale_dr.png|600px|center]]
+=====RSA-Schlüssel=====
+[[Datei:ipsec_rsakeys-filiale.png|600px|center]]
+=====IPSec Phase1=====
+[[Datei:singlepath_ipsec_p1_filiale_nat-rsa.png|300px|right]]
 ===Single-Path beidseitig genattet===
@@ Zeile 34: / Zeile 62: @@
 ====Zentrale====
 =====Netzwerkvorgaben=====
+[[Datei:singlepath_zentrale_nat_nk.png|600px|center]]
+[[Datei:singlepath_zentrale_nat_dr.png|600px|center]]
+=====RSA-Schlüssel=====
+[[Datei:ipsec_rsakeys-zentrale.png|600px|center]]
+=====IPSec Phase1=====
+[[Datei:singlepath_ipsec_p1_zentrale_nat-rsa.png|300px|right]]
+====Filiale====
+=====Netzwerkvorgaben=====
+[[Datei:singlepath_nat_filiale_nk.png|600px|center]]
+[[Datei:singlepath_nat_filiale_dr.png|600px|center]]
+=====RSA-Schlüssel=====
+[[Datei:ipsec_rsakeys-filiale.png|600px|center]]
+=====IPSec Phase1=====
+[[Datei:singlepath_ipsec_p1_filiale_nat-rsa.png|300px|right]]
 ===Multipath mit öffentlichen IP-Adressen===
@@ Zeile 42: / Zeile 90: @@
 ====Zentrale====
 =====Netzwerkvorgaben=====
+[[Datei:multipath_zentrale_nk.png|600px|center]]
+[[Datei:multipath_zentrale_dr.png|600px|center]]
+=====IPSec Phase1=====
+[[Datei:multipath_ipsec_p1_zentrale.png|300px|right]]
+====Filiale====
+=====Netzwerkvorgaben=====
+[[Datei:singlepath_pppoe_filiale_nk.png|600px|center]]
+[[Datei:singlepath_pppoe_beide_dr.png|600px|center]]
+=====IPSec Phase1=====
+[[Datei:singlepath_ipsec_p1_filiale.png|300px|right]]
 ===Multipath mit einer genatteten Seite===
@@ Zeile 50: / Zeile 112: @@
 ====Zentrale====
 =====Netzwerkvorgaben=====
+[[Datei:multipath_zentrale_nk.png|600px|center]]
+[[Datei:multipath_zentrale_dr.png|600px|center]]
+=====RSA-Schlüssel=====
+[[Datei:ipsec_rsakeys_zentrale.png|600px|center]]
+=====IPSec Phase1=====
+[[Datei:multipath_ipsec_p1_zentrale_nat_rsa_filiale.png|300px|right]]
+====Filiale====
+=====Netzwerkvorgaben=====
+[[Datei:singlepath_nat_filiale_nk.png|600px|center]]
+[[Datei:singlepath_nat_filiale_dr.png|600px|center]]
+=====RSA-Schlüssel=====
+[[Datei:ipsec_rsakeys_filiale.png|600px|center]]
+=====IPSec Phase1=====
+[[Datei:singlepath_ipsec_p1_filiale_nat_rsa.png|300px|right]]
 ===Multipath beidseitig genattet===
@@ Zeile 60: / Zeile 143: @@
 ====Zentrale====
 =====Netzwerkvorgaben=====
+[[Datei:multipath_zentrale_nat_nk.png|600px|center]]
+[[Datei:multipath_zentrale_nat_dr.png|600px|center]]
+=====RSA-Schlüssel=====
+[[Datei:ipsec_rsakeys_zentrale.png|600px|center]]
+=====IPSec Phase1=====
+[[Datei:multipath_ipsec_p1_zentrale_nat_rsa_beide.png|300px|right]]
+====Filiale====
+=====Netzwerkvorgaben=====
+[[Datei:singlepath_nat_filiale_nk.png|600px|center]]
+[[Datei:singlepath_nat_filiale_dr.png|600px|center]]
+=====RSA-Schlüssel=====
+[[Datei:ipsec_rsakeys_filiale.png|600px|center]]
+=====IPSec Phase1=====
+[[Datei:singlepath_ipsec_p1_filiale_nat_rsa.png|300px|right]]