(Die Seite wurde neu angelegt: „{{Set_lang}} {{#vardefine:headerIcon|spicon-utm}} {{:UTM/VPN/SSL VPN-RW an S2S-BestPractice.lang}} </div><div class="new_design"></div><!--{{Select_lang}}-->{{TOC2}} {{Header|12.2024|new=true}} ---- == {{#var:Vorbemerkung}} == <div class="Einrücken"> <p>{{#var:Vorbemerkung--desc}}</p> </div> <!-- {| class="sptable2 pd5" |- ! RW Transfer-Netz !! VPN-Server !! S2S Transfer-Netz !! VPN-Client |- | 192.168.192.0/24 || Internes Netz: 192.168.175.0/24 ||…“) |
KKeine Bearbeitungszusammenfassung |
||
| Zeile 151: | Zeile 151: | ||
==== {{#var:Transfernetze eintragen}} ==== | ==== {{#var:Transfernetze eintragen}} ==== | ||
{{Host| {{#var:Standort}} A }} | |||
* {{#var:B4-5-Transfernetze eintragen SSL--desc}} | * {{#var:B4-5-Transfernetze eintragen SSL--desc}} | ||
* {{#var:Dienst neu starten | * {{#var:Dienst neu starten}}<br>{{#var:Dienst neu starten--Menu}}<br> | ||
* {{#var:B4-5-Transfernetze eintragen WG--desc}} | * {{#var:B4-5-Transfernetze eintragen WG--desc}} | ||
* {{#var:Wiregard Neustarten}} | |||
{{Host| {{#var:Standort}} B }} | |||
* {{#var:B4-Transfernetze eintragen WG-B}} | * {{#var:B4-Transfernetze eintragen WG-B}} | ||
* {{#var:Wiregard Neustarten}} | |||
==== {{#var:Paketfilterregeln erstellen}} ==== | ==== {{#var:Paketfilterregeln erstellen}} ==== | ||
{| class="sptable2 Paketfilter pd5 tr--bc__white zh1 einrücken" | {| class="sptable2 Paketfilter pd5 tr--bc__white zh1 einrücken" | ||
|- class="noborder bc__default" | |- class="noborder bc__default" | ||
| colspan= | | colspan=10 | {{#var:B4-Routen und Paketfilterregeln erstellen--desc2}} | ||
<div class=Ausrücken><i class="host utm">{{#var:Standort}} A</i></div> | |||
|- class="bold small no1cell" | |- class="bold small no1cell" | ||
| class="noborder bc__default" | || <nowiki>#</nowiki> || class=mw12 | {{#var:Quelle}} || class=mw12 | {{#var:Ziel}} || class=mw12 | {{#var:Dienst}} || class=mw6 | NAT || Logging || {{#var:Aktion}} || {{#var:Aktiv}} || class=mw5 | | | class="noborder bc__default" | || <nowiki>#</nowiki> || class=mw12 | {{#var:Quelle}} || class=mw12 | {{#var:Ziel}} || class=mw12 | {{#var:Dienst}} || class=mw6 | NAT || Logging || {{#var:Aktion}} || {{#var:Aktiv}} || class=mw5 | | ||
|- | |- | ||
| {{spc|drag|o|-}} || || {{spc|network|o|-}} | | {{spc|drag|o|-}} || || {{spc|vpn-network|o|-}} {{#var:RW-Transfer-Netz}} || {{spc|network|o|-}} {{#var:WireGuard-Netz}}<br>{{#var:B4-WireGuard-Netz--Hinweis}} || {{spc|dienste|o|-}} default-internet || || {{Logging-Slider}} || {{Kasten|ACCEPT|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||class=fas fa-chart-bar icon|fs=14}}{{Button||copy|fs=14}}{{Button||w|fs=14}}{{Button||trash|fs=14}} | ||
|- class="noborder bc__default" | |||
| colspan=11 class=Ausrücken | <i class="host utm">{{#var:Standort}} B</i> | |||
|- | |- | ||
| {{spc|drag|o|-}} || || {{spc| | | {{spc|drag|o|-}} || || {{spc|network|o|-}} {{#var:RW-Transfer-Netz}}<br>{{#var:B4-RW-Transfernetz Zone--Hinweis}} || {{spc|network|o|-}} internal-network || {{spc|dienste|o|-}} default-internet || || {{Logging-Slider}} || {{Kasten|ACCEPT|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||class=fas fa-chart-bar icon|fs=14}}{{Button||copy|fs=14}}{{Button||w|fs=14}}{{Button||trash|fs=14}} | ||
|- class="noborder bc__default" | |- class="noborder bc__default" | ||
| colspan= | | colspan="11" | <br>{{#var:B4--Regelhinweis}}<div class=Ausrücken><i class="host utm">{{#var:Standort}} B</i></div> | ||
|- | |- | ||
| {{spc|drag|o|-}} || || {{spc| | | {{spc|drag|o|-}} || || {{spc|network|o|-}} internal-network || {{spc|network|o|-}} {{#var:RW-Transfer-Netz}}<br>{{#var:B4-RW-Transfernetz Zone--Hinweis}} || {{spc|dienste|o|-}} default-internet || || {{Logging-Slider}} || {{Kasten|ACCEPT|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||class=fas fa-chart-bar icon|fs=14}}{{Button||copy|fs=14}}{{Button||w|fs=14}}{{Button||trash|fs=14}} | ||
|} | |} | ||
---- | ---- | ||
| Zeile 191: | Zeile 208: | ||
* {{#var:Dienst neu starten}}<br>{{Host| {{#var:Standort}} A }}<br>{{#var:Dienst neu starten--Menu}} | * {{#var:Dienst neu starten}}<br>{{Host| {{#var:Standort}} A }}<br>{{#var:Dienst neu starten--Menu}} | ||
* {{#var:B4-5-Transfernetze eintragen WG--desc}} | * {{#var:B4-5-Transfernetze eintragen WG--desc}} | ||
<!-- | |||
<br> | <br> | ||
* {{Host|{{#var:Standort}} B }}<br>{{#var:B5-Transfernetze eintragen B}} | * {{Host|{{#var:Standort}} B }}<br>{{#var:B5-Transfernetze eintragen B}} | ||
--> | |||
</div> | </div> | ||
==== {{#var:Paketfilterregeln erstellen}} ==== | ==== {{#var:Paketfilterregeln erstellen}} ==== | ||
{| class="sptable2 Paketfilter pd5 tr--bc__white zh1 einrücken" | {| class="sptable2 Paketfilter pd5 tr--bc__white zh1 einrücken" | ||
<!-- | |||
|- class="noborder bc__default" | |- class="noborder bc__default" | ||
| colspan=11 | {{#var:B5-Routen und Paketfilterregeln erstellen--desc}} | | colspan=11 | {{#var:B5-Routen und Paketfilterregeln erstellen--desc}} | ||
--> | |||
|- class="bold small no1cell" | |- class="bold small no1cell" | ||
| class="noborder bc__default" | || <nowiki>#</nowiki> || class=mw12 | {{#var:Quelle}} || class=mw12 | {{#var:Ziel}} || class=mw12 | {{#var:Dienst}} || class=mw6 | NAT || Logging || {{#var:Aktion}} || {{#var:Aktiv}} || class=mw5 | | | class="noborder bc__default" | || <nowiki>#</nowiki> || class=mw12 | {{#var:Quelle}} || class=mw12 | {{#var:Ziel}} || class=mw12 | {{#var:Dienst}} || class=mw6 | NAT || Logging || {{#var:Aktion}} || {{#var:Aktiv}} || class=mw5 | | ||
Aktuelle Version vom 18. Dezember 2024, 13:55 Uhr
SSL-VPN mit einem Roadwarrior an S2S Verbindungen - Beispielszenarien
Neuer Artikel: 12.2024
Dieser Artikel bezieht sich auf eine Resellerpreview
-
Vorbemerkung
Im Beispiel wird die Dienstgruppe 
default-internet verwendet.
In realen Konfigurationen muss diese Gruppe natürlich angepasst werden. Ggf. empfiehlt sich eine neue Dienstgruppe.
Eine Regel mit 
any sollte nur dann verwendet werden, wenn alle beteiligten Netze und Geräte zu 100% vertrauenswürdig sind und eine Kompromittierung ausgeschlossen werden kann.
Voraussetzung
- Konfiguriertes S2S-VPN
- Konfigurierte S2E-Verbindung
| RW Transfer-Netz | 192.168.192.0/24 |
|---|---|
| VPN-Server Internes Netz | 192.168.175.0/24 |
| S2S Transfer-Netz | 192.168.190.0/24 |
| VPN-Client Internes Netz | 192.168.174.0/24 |
Beispielszenarien
SSL-RW an S2S-Serverseite verbinden
Beispielszenario 1: SSL-RW an S2S-Serverseite verbinden
Transfernetze eintragen
Die Transfernetze müssen auf den UTMs hinterlegt werden:
- Hierzu wird das RW-Transfernetz auf der S2S-Serverseite in die Server Netzfreigabe eingetragen:
VPN Server
S2S Server gewünschte Verbindung bearbeiten Bereich Allgemein Servernetzwerke global freigeben: »192.168.192.0/24 - und das S2S-Clientnetz in der RW-Netz-Freigabe eingetragen:
VPN Server
RW Server gewünschte Verbindung bearbeiten Bereich Allgemein Servernetzwerke freigeben: »192.168.190.0/24
- Dienst neu starten um Änderungen vollständig zu übernehmen und Routen zu pushen:
VPN Server
die Anwendung SSL-VPN stoppen und anschließend starten
Paketfilterregeln erstellen
Es werden insgesamt 4 Paketfilterregeln benötigt. Zwei auf VPN Clientseite, die wie folgt aussehen: | ||||||||||
| Pos. | # | Quelle | Ziel | Dienst | NAT | Logging | Aktion | Aktiv | ||
 |
 RW-Transfer-NetzObjekt erstellen mit Zone des S2S-Tunnels |
 internes Zielnetz |
default-internet |
3/Min  |
ACCEPT | Ein | ||||
|
internes Zielnetz |
RW-Transfer-Netz Objekt erstellen mit Zone des S2S-Tunnels |
default-internet |
3/Min |
ACCEPT | Ein | ||||
Zwei weitere Paketfilterregeln werden auf der VPN Serverseite benötigt, die wie folgt aussehen: VPN Server | ||||||||||
|
RW-Transfer-Netz |
S2S-Netz der Clientseite |
default-internet |
3/Min |
ACCEPT | Ein | ||||
|
S2S-Netz der Clientseite |
RW-Transfer-Netz |
default-internet |
3/Min |
ACCEPT | Ein | ||||
SSL-RW an S2S-Clientseite verbinden
Beispielszenario 2: SSL-RW an S2S-Clientseite verbinden
Transfernetze eintragen
Die Transfernetze müssen auf den UTMs hinterlegt werden:
- Hierzu wird das RW-Transfernetz auf der S2S-Serverseite in die Client Netzfreigabe eingetragen:
VPN Server
S2S Server Client-Gegenstellen gewünschten Client bearbeiten Clientnetzwerke freigeben: »192.168.192.0/24 - und das S2S-Servernetz in der RW-Netz-Freigabe eingetragen:
VPN Server
RW Server gewünschte Verbindung bearbeiten Bereich Allgemein Servernetzwerke global freigeben: »192.168.175.0/24
- Dienst neu starten um Änderungen vollständig zu übernehmen und Routen zu pushen:
VPN Server
die Anwendung SSL-VPN stoppen und anschließend starten
Paketfilterregeln erstellen
Es werden insgesamt 4 Paketfilterregeln benötigt. Zwei auf VPN Clientseite, die wie folgt aussehen: | ||||||||||
| # | Quelle | Ziel | Dienst | NAT | Logging | Aktion | Aktiv | |||
|
RW-Transfer-Netz |
S2S-Netz der Serverseite |
default-internet |
3/Min |
ACCEPT | Ein | ||||
|
S2S-Netz der Serverseite |
RW-Transfer-Netz |
default-internet |
3/Min |
ACCEPT | Ein | ||||
Zwei weitere Paketfilterregeln werden auf der VPN Serverseite benötigt, die wie folgt aussehen: VPN Server | ||||||||||
|
RW-Transfer-Netz Objekt erstellen mit Zone des S2S-Tunnels |
internes Zielnetz |
default-internet |
3/Min |
ACCEPT | Ein | ||||
|
internes Zielnetz |
RW-Transfer-Netz Objekt erstellen mit Zone des S2S-Tunnels |
default-internet |
3/Min |
ACCEPT | Ein | ||||
SSL-RW durch IPSec-S2S
Beispielszenario 3: SSL-RW durch IPSec-S2S
Transfernetze eintragen
- Zunächst wird das lokale Netz am Standort B, auf das der Roadwarrior letztlich zugreifen können soll, im RW-Tunnel eingegeben.
Standort A
RW Server gewünschte Verbindung bearbeiten Bereich Allgemein Servernetzwerke global freigeben: »192.168.175.0/24 - Anschließend wird ein Netzwerkobjekt für das lokale Netz an Standort B (hinter der IPSec-Verbindung) erstellt.
Standort A
Schaltfläche
Name: Zielnetz Standort B
Wichtig:
Die SSL-VPN-Verbindung bekommt nicht mit, daß es sich um eine weitere VPN-Verbindung handelt.
Daher darf hier kein VPN-Netzwerk ausgewählt werden!
Daher darf hier kein VPN-Netzwerk ausgewählt werden!
- Dienst neu starten um Änderungen vollständig zu übernehmen und Routen zu pushen:
Standort A
die Anwendung SSL-VPN stoppen und anschließend starten
Phase 2 bearbeiten
- In Phase 2 der Verbindung muss die SSL-Roadwarrior IP-Adresse als Subnetz eingetragen werden.
Standort A | Standort B
Bereich Verbindungen Phase 2 der gewünschten Verbindung bearbeiten → Bereich Subnetze Schaltfläche
- Standort B
Besteht kein administrativer Zugriff auf den entfernten Standort, muss am lokalen Standort A zusätzlicheine HideNat-Regel angelegt werden.
Dazu gibt es eine eigene Anleitung. Achtung: Hier ist der lokale Standort der Standort B !
Paketfilterregel anlegen
| Außerdem müssen die folgenden Paketfilterregeln angelegt werden. Dabei kann der Wiki-Artikel zu IPSec S2S-Ziele mit SSL-VPN erreichen nützlich sein. | ||||||||||
| # | Quelle | Ziel | Dienst | NAT | Logging | Aktion | Aktiv | |||
|
RW-Netz |
Zielnetz Standort B |
default-internet |
3/Min |
ACCEPT | Ein | ||||
|
Zielnetz Standort B |
RW-Netz |
default-internet |
3/Min |
ACCEPT | Ein | ||||
SSL-RW durch WG-S2S (SP zu SP)
Beispielszenario 4: SSL-RW durch WG-S2S (SP zu SP)
Der SSL-RW befindet sich bei Standort A und möchte auf ein Gerät bei Standort B zugreifen.
Transfernetze eintragen
Standort A
- Zunächst wird das lokale Netz aus Standort B, auf das der Roadwarrior letztlich zugreifen können soll, im RW-Tunnel eingegeben.
RW Server gewünschte Verbindung bearbeiten Bereich Allgemein Servernetzwerke global freigeben: »192.168.175.0/24 - Dienst neu starten um Änderungen vollständig zu übernehmen und Routen zu pushen:
die Anwendung SSL-VPN stoppen und anschließend starten
- Außerdem wird bei Standort A das SSL-RW Transfernetz in die WireGuard Servernetzwerke eingetragen.
gewünschte Verbindung bearbeiten Servernetzwerke global freigeben: »192.168.192.0/24 - Anschließend Wiregard
Standort B
- Bei Standort B wird ebenfalls das SSL-RW Transfernetz eingetragen - allerdings in die WireGuard Peernetzwerke .
Peers gewünschten Peer bearbeiten Peernetzwerke freigeben: »192.168.192.0/24 - Anschließend Wiregard
Paketfilterregeln erstellen
| Außerdem müssen Paketfilterregeln erstellt werden.
Standort A
| ||||||||||
| # | Quelle | Ziel | Dienst | NAT | Logging | Aktion | Aktiv | |||
|
RW-Transfer-Netz |
WireGuard-Netz der Gegenstelle (Standort B) |
default-internet |
3/Min |
ACCEPT | Ein | ||||
| Standort B | ||||||||||
|
RW-Transfer-Netz in der Zone des WG-Tunnels zu Standort A |
internal-network |
default-internet |
3/Min |
ACCEPT | Ein | ||||
Soll aus dem Zielnetz heraus ein lokales Gerät am Roadwarrior Client (z.B. ein Drucker) oder der Roadwarrior selbst erreicht werden können, bedarf es einer weiteren Regel: Standort B
| ||||||||||
|
internal-network |
RW-Transfer-Netz in der Zone des WG-Tunnels zu Standort A |
default-internet |
3/Min |
ACCEPT | Ein |
| |||
SSL-RW durch WG-S2S (SP zu Fremd)
Beispielszenario 5: SSL-RW durch WG-S2S (SP zu Fremd)
Der SSL-RW befindet sich bei Standort A und möchte auf ein Gerät bei Standort B zugreifen.
Transfernetze eintragen
- Zunächst wird das lokale Netz aus Standort B, auf das der Roadwarrior letztlich zugreifen können soll, im RW-Tunnel eingegeben.
RW Server gewünschte Verbindung bearbeiten Bereich Allgemein Servernetzwerke global freigeben: »192.168.175.0/24 - Dienst neu starten um Änderungen vollständig zu übernehmen und Routen zu pushen:
Standort A
die Anwendung SSL-VPN stoppen und anschließend starten - Außerdem wird bei Standort A das SSL-RW Transfernetz in die WireGuard Servernetzwerke eingetragen.
gewünschte Verbindung bearbeiten Servernetzwerke global freigeben: »192.168.192.0/24
Paketfilterregeln erstellen
| # | Quelle | Ziel | Dienst | NAT | Logging | Aktion | Aktiv | ||
|
RW-Transfer-Netz |
WireGuard-Netz der Gegenstelle (Standort B) |
default-internet |
HN mit internal interface |
3/Min |
ACCEPT | Ein |