Wechseln zu:Navigation, Suche
Wiki

UTM/VPN/SSL VPN zu IPSec-Ziel: Unterschied zwischen den Versionen

Aus Securepoint Wiki
← Zum vorherigen Versionsunterschied
K Textersetzung - „sptable2 spezial“ durch „sptable2 Paketfilter“
KKeine Bearbeitungszusammenfassung
 
Zeile 4: Zeile 4:
{{:UTM/VPN/SSL VPN zu IPSec-Ziel.lang}}
{{:UTM/VPN/SSL VPN zu IPSec-Ziel.lang}}


{{var | neu--An BestPractice angeglichen
| Beispiel an [[UTM/VPN/SSL_VPN-RW_an_S2S-BestPractice#SSL-RW_durch_IPSec-S2S|Best Practice]] angeglichen (Grafik, Standorte, IP-Adressen)
| Example adapted to [{{#var:host}}UTM/VPN/SSL_VPN-RW_an_S2S-BestPractice Best Practice] (graphic, locations, IP addresses) }}


</div><div class="new_design"></div>{{TOC2| Bild={{#var:Ausgangslage3--Bild}} | cap={{#var:Ausgangslage--cap}}|class=noborder blank}}{{Select_lang}}
</div><div class="new_design"></div>{{TOC2| Bild={{#var:Ausgangslage3--Bild}} | cap={{#var:Ausgangslage--cap}}|class=noborder blank}}{{Select_lang}}
Zeile 9: Zeile 12:
* {{#var:neu--rwi}}
* {{#var:neu--rwi}}
|[[UTM/VPN/SSL_VPN_zu_IPSec-Ziel_04.2022 | 04.2022]]
|[[UTM/VPN/SSL_VPN_zu_IPSec-Ziel_04.2022 | 04.2022]]
|zuletzt=02.2025
* {{#var:neu--An BestPractice angeglichen}}
}}
}}
----


=== {{#var:Ausgangslage}} ===
=== {{#var:Ausgangslage}} ===
<div class="Einrücken">
<div class="Einrücken">
{{#var:Ausgangslage--desc}}
{{#var:Ausgangslage--desc}}
</div>


==== {{#var:IPSec Verbindung einrichten}} ====
==== {{#var:IPSec Verbindung einrichten}} ====
<div class="Einrücken">
{{#var:IPSec Verbindung einrichten--desc}}
{{#var:IPSec Verbindung einrichten--desc}}
</div>


==== {{#var:SSL-VPN Verbindung einrichten}} ====
==== {{#var:SSL-VPN Verbindung einrichten}} ====
<div class="Einrücken">
{{#var:SSL-VPN Verbindung einrichten--desc}}
{{#var:SSL-VPN Verbindung einrichten--desc}}
</div>
</div>
<br clear=all><!--
<!--
{{pt3| {{#var:Ausgangslage2--Bild}}| {{#var:Ausgangslage--cap}}|class=noborder blank}}
{{pt3| {{#var:Ausgangslage2--Bild}} |{{#var:Ausgangslage--cap}}|class=noborder blank}}
{{pt3| {{#var:Ausgangslage--Bild}}| {{#var:Ausgangslage--cap}} }}
{{pt3| {{#var:Ausgangslage--Bild}} |{{#var:Ausgangslage--cap}} }}
<br clear=all> -->
-->


=== {{#var:Anpassen der Konfiguration}} ===
=== {{#var:Anpassen der Konfiguration}} ===
Zeile 35: Zeile 46:
==== {{#var:SSL-VPN-Verbindung bearbeiten}} ====
==== {{#var:SSL-VPN-Verbindung bearbeiten}} ====
<div class="Einrücken">
<div class="Einrücken">
<i class="host utm">{{#var:Standort}} B</i><br>{{#var:SSL-VPN-Verbindung bearbeiten--desc}}
<i class="host utm">{{#var:Standort}} B</i>
{{#var:SSL-VPN-Verbindung bearbeiten--desc}}
</div>


{| class="sptable2 pd5 zh1"
{| class="sptable2 pd5 zh1 Einrücken"
|-
|-
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}} || class="Bild" rowspan="5" | {{Bild|{{#var:SSL-VPN-Verbindung bearbeiten--Bild}}|{{#var:SSL-VPN-Verbindung bearbeiten--cap}}||{{#var:SSL-VPN-Verbindung bearbeiten}}|VPN|SSL-VPN|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}}
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}}  
| class="Bild" rowspan="5" | {{Bild| {{#var:SSL-VPN-Verbindung bearbeiten--Bild}} |{{#var:SSL-VPN-Verbindung bearbeiten--cap}} ||{{#var:SSL-VPN-Verbindung bearbeiten}}|VPN|SSL-VPN|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}}
|-
|-
| {{b|{{#var:Servernetzwerke freigeben}} }} || class=mw8 | {{ic|{{cb|192.168.219.0/24}}{{cb|192.168.218.0/24}} |cb}} || {{#var:Servernetzwerke freigeben--desc}}
| {{b|{{#var:Servernetzwerke freigeben}} }} || class=mw8 | {{ic|{{cb|192.168.175.0/24}}{{cb|192.168.174.0/24}} |cb}} || {{#var:Servernetzwerke freigeben--desc}}
|-  
|-  
| colspan="2" | {{Button-dialog||fa-floppy-disk-circle-xmark|hover={{#var:Speichern und schließen}}}} || {{#var:Speichern--desc}}
| colspan="2" | {{Button-dialog||fa-floppy-disk-circle-xmark|hover={{#var:Speichern und schließen}}}} || {{#var:Speichern--desc}}
Zeile 49: Zeile 63:
|
|
|}
|}
</div>
----
 


----


==== {{#var:Konfiguration ohne HideNat}} ====
==== {{#var:Konfiguration ohne HideNat}} ====
<div class="Einrücken">
<div class="Einrücken">
{{#var:Konfiguration ohne HideNat--desc}}
{{#var:Konfiguration ohne HideNat--desc}}
</div>


===== {{#var:Anpassen der IPSec-Verbindung}} =====
===== {{#var:Anpassen der IPSec-Verbindung}} =====
{| class="sptable2 pd5 zh1 Einrücken"
{| class="sptable2 pd5 zh1 Einrücken"
|- class="Leerzeile"
|- class="Leerzeile"
| colspan="3" | <i class="host utm">{{#var:Standort}} A</i>
| colspan="3" | <i class="host utm">{{#var:Standort}} A</i>
|-
|-
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}} || class="Bild th-width-l" rowspan="5" | {{Bild|{{#var:Phase2 Subnetz hinzufügenA--Bild}}|{{#var:Phase2 Subnetz hinzufügenA--cap}}||{{#var:Subnetz hinzufügen}}|VPN|IPSec|{{#var:Phase 2 bearbeiten}}|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}}{{Bild| {{#var:Phase2 SubnetzeA--Bild}}|{{#var:Phase2 SubnetzeA--cap}}||{{#var:Phase 2 bearbeiten}}|VPN|IPsec|icon=fa-floppy-disk-circle-xmark|icon2=fa-close|style="margin-top:0.5em;"}}</p>
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}}  
| class="Bild th-width-l" rowspan="5" | {{Bild| {{#var:Phase2 Subnetz hinzufügenA--Bild}} |{{#var:Phase2 Subnetz hinzufügenA--cap}}||{{#var:Subnetz hinzufügen}}|VPN|IPSec|{{#var:Phase 2 bearbeiten}}|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}}{{Bild| {{#var:Phase2 SubnetzeA--Bild}}|{{#var:Phase2 SubnetzeA--cap}}||{{#var:Phase 2 bearbeiten}}|VPN|IPsec|icon=fa-floppy-disk-circle-xmark|icon2=fa-close|style="margin-top:0.5em;"}}</p>
|-
|-
| class=mw10 | {{b|{{#var:Lokales Netzwerk}} }} || {{ic|192.168.218.0|rechts|icon=/24 |iconw=x|class=available}} || {{#var:Lokales NetzwerkA--desc}}
| class=mw10 | {{b|{{#var:Lokales Netzwerk}} }} || {{ic|192.168.174.0|rechts|icon=/24 |iconw=x|class=available}} || {{#var:Lokales NetzwerkA--desc}}
|-
|-
| {{b|{{#var:Remote Netzwerk}} }} || {{ic|10.10.10.0|rechts|icon=/24 |iconw=x|class=available}} || {{#var:Remote NetzwerkA--desc}}
| {{b|{{#var:Remote Netzwerk}} }} || {{ic|192.168.192.0|rechts|icon=/24 |iconw=x|class=available}} || {{#var:Remote NetzwerkA--desc}}
|- class="Leerzeile"
|- class="Leerzeile"
| colspan="3" | {{#var:Speichern x2}}
| colspan="3" | {{#var:Speichern x2}}
|- class="Leerzeile"
|- class="Leerzeile"
| <br><br>
|
|- class="Leerzeile"
|- class="Leerzeile"
| colspan="3" | <i class="host utm">{{#var:Standort}} B</i>
| colspan="3" | <i class="host utm">{{#var:Standort}} B</i>
|-
|-
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}} || class="Bild th-width-l" rowspan="5" | {{Bild | {{#var:Phase2 Subnetz hinzufügenB--Bild}}|{{#var:Phase2 Subnetz hinzufügenB--cap}}||{{#var:Subnetz hinzufügen}}|VPN|IPSec|{{#var:Phase 2 bearbeiten}}|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}}<br>{{Bild| {{#var:Phase2 SubnetzeB--Bild}}|{{#var:Phase2 SubnetzeB--cap}}||{{#var:Phase 2 bearbeiten}}|VPN|IPsec|icon=fa-floppy-disk-circle-xmark|icon2=fa-close|style="margin-top:0.5em;"}}
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}}  
| class="Bild th-width-l" rowspan="5" | {{Bild| {{#var:Phase2 Subnetz hinzufügenB--Bild}} |{{#var:Phase2 Subnetz hinzufügenB--cap}}||{{#var:Subnetz hinzufügen}}|VPN|IPSec|{{#var:Phase 2 bearbeiten}}|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}}<br>{{Bild| {{#var:Phase2 SubnetzeB--Bild}}|{{#var:Phase2 SubnetzeB--cap}}||{{#var:Phase 2 bearbeiten}}|VPN|IPsec|icon=fa-floppy-disk-circle-xmark|icon2=fa-close|style="margin-top:0.5em;"}}
|-
|-
| {{b|{{#var:Lokales Netzwerk}} }} || {{ic|10.10.10.0|rechts|icon=/24 |iconw=x|class=available}} || {{#var:Lokales NetzwerkB--desc}}
| {{b|{{#var:Lokales Netzwerk}} }} || {{ic|192.168.192.0|rechts|icon=/24 |iconw=x|class=available}} || {{#var:Lokales NetzwerkB--desc}}
|-
|-
| {{b|{{#var:Remote Netzwerk}} }} || {{ic|192.168.218.0|rechts|icon=/24 |iconw=x|class=available}} || {{#var:Remote NetzwerkB--desc}}
| {{b|{{#var:Remote Netzwerk}} }} || {{ic|192.168.174.0|rechts|icon=/24 |iconw=x|class=available}} || {{#var:Remote NetzwerkB--desc}}
|- class="Leerzeile"
|- class="Leerzeile"
| colspan="3" | {{#var:Speichern x2}}
| colspan="3" | {{#var:Speichern x2}}
Zeile 85: Zeile 102:
|
|
|}
|}




===== {{#var:Netzwerkobjekt anlegen Standort A}} =====
===== {{#var:Netzwerkobjekt anlegen Standort A}} =====
<div class="Einrücken">
<div class="Einrücken">
<i class="host utm">{{#var:Standort}} A</i><br>{{#var:Nicht erforderlich bei impliziten Regeln}}<br>
<i class="host utm">{{#var:Standort}} A</i>
{{#var:Netzwerkobjekt--Menu}}<br>
{{#var:Nicht erforderlich bei impliziten Regeln}}<br>
{| class="sptable2 pd5 zh1"
{{#var:Netzwerkobjekt--Menu}}
</div>
 
{| class="sptable2 pd5 zh1 Einrücken"
|-
|-
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}}  
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}}  
| class="Bild" rowspan="7" | {{Bild | {{#var:Netzwerkobjekt anlegen Standort A--Bild}}|{{#var:Netzwerkobjekt anlegen Standort A--cap}}||{{#var:Netzwerkobjekt hinzufügen}}|Firewall|{{#var:Netzwerkobjekte}}|icon=fa-save|icon2=fa-floppy-disk-circle-xmark|icon3=fa-close}}
| class="Bild" rowspan="7" | {{Bild| {{#var:Netzwerkobjekt anlegen Standort A--Bild}} |{{#var:Netzwerkobjekt anlegen Standort A--cap}}||{{#var:Netzwerkobjekt hinzufügen}}|Firewall|{{#var:Netzwerkobjekte}}|icon=fa-save|icon2=fa-floppy-disk-circle-xmark|icon3=fa-close}}
|-
|-
| {{b|{{#var:Name}} }} || {{ic|SSL-VPN-RW-Network|class=mw10}} || {{#var:Name--desc}}
| {{b|Name}} || {{ic|SSL-VPN-RW-Network|class=mw10}} || {{#var:Name--desc}}
|-
|-
| {{b|{{#var:Typ}} }} || {{Button| {{#var:Typ Standort A--val}}|dr|class=mw10}} || {{#var:Typ Standort A--desc}}
| {{b|{{#var:Typ}} }} || {{Button| {{#var:Typ Standort A--val}}|dr|class=mw10}} || {{#var:Typ Standort A--desc}}
|-
|-
| {{b|{{#var:Adresse}} }} || {{ic|10.10.10.0|rechts|rechts|icon=/24 |iconw=x|class=mw10}} || {{#var:Adresse Standort A--desc}}
| {{b|{{#var:Adresse}} }} || {{ic|192.168.192.0|rechts|rechts|icon=/24 |iconw=x|class=mw10}} || {{#var:Adresse Standort A--desc}}
|-
|-
| {{b|{{#var:Zone}} }} || {{Button|vpn-ipsec|dr|class=mw10}} || {{#var:Zone Standort A--desc}}
| {{b|Zone:}} || {{Button|vpn-ipsec|dr|class=mw10}} || {{#var:Zone Standort A--desc}}
|-
|-
| {{b|{{#var:Gruppen}} }} || {{ic||cb|class=mw10}} || {{#var:Gruppen--desc}}
| {{b|{{#var:Gruppen}} }} || {{ic||cb|class=mw10}} || {{#var:Gruppen--desc}}
|-
|-
| colspan="2" |{{Button-dialog||fa-floppy-disk-circle-xmark|hover={{#var:Speichern und schließen}}}} || {{#var:Speichern und schließen--desc}}
| colspan="2" |{{Button-dialog||fa-floppy-disk-circle-xmark|hover={{#var:Speichern und schließen}} }} || {{#var:Speichern und schließen--desc}}
|- class="Leerzeile"
|- class="Leerzeile"
|
|
|-
|-
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}} || class="Bild" rowspan="7" | {{Bild |{{#var:Netzwerkobjekt IPSec Ziel anlegen Standort A--Bild}}|{{#var:Netzwerkobjekt anlegen--cap}}||{{#var:Netzwerkobjekt hinzufügen}}|Firewall|{{#var:Netzwerkobjekte}}|icon=fa-save|icon2=fa-floppy-disk-circle-xmark|icon3=fa-close}}
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}}  
| class="Bild" rowspan="7" | {{Bild| {{#var:Netzwerkobjekt IPSec Ziel anlegen Standort A--Bild}} |||{{#var:Netzwerkobjekt hinzufügen}}|Firewall|{{#var:Netzwerkobjekte}}|icon=fa-save|icon2=fa-floppy-disk-circle-xmark|icon3=fa-close}}
|-
|-
| {{b|{{#var:Name}} }} || {{ic|{{#var:Name--val}}|class=mw10}} || {{#var:Name--desc}}
| {{b|Name:}} || {{ic|{{#var:Name--val}}|class=mw10}} || {{#var:Name--desc}}
|-
|-
| {{b|{{#var:Typ}} }} || {{Button| {{#var:Typ-ipsec--val}}|dr|class=mw10}} || {{#var:Typ-ipsec--desc}}
| {{b|{{#var:Typ}} }} || {{Button| {{#var:Typ-ipsec--val}}|dr|class=mw10}} ||  
|-
|-
| {{b|{{#var:Adresse}} }} || {{ic|192.168.219.0|rechts|icon=/24 |iconw=x|class=mw10}} || {{#var:Adresse--desc}}
| {{b|{{#var:Adresse}} }} || {{ic|192.168.175.0|rechts|icon=/24 |iconw=x|class=mw10}} || {{#var:Adresse--desc}}
|-
|-
| {{b|{{#var:Zone}} }} || {{Button|vpn-ipsec|dr|class=mw10}} || {{#var:Zone Standort A--desc}}
| {{b|Zone:}} || {{Button|vpn-ipsec|dr|class=mw10}} || {{#var:Zone Standort A--desc}}
|-
|-
| {{b|{{#var:Gruppen}} }} || {{ic||cb|class=mw10}} || {{#var:Gruppen--desc}}
| {{b|{{#var:Gruppen}} }} || {{ic||cb|class=mw10}} || {{#var:Gruppen--desc}}
|-
|-
| colspan="2" |{{Button-dialog||fa-floppy-disk-circle-xmark|hover={{#var:Speichern und schließen}}}} || {{#var:Speichern und schließen--desc}}
| colspan="2" | {{Button-dialog||fa-floppy-disk-circle-xmark|hover={{#var:Speichern und schließen}} }} || {{#var:Speichern und schließen--desc}}
|- class="Leerzeile"
|- class="Leerzeile"
|
|
|}
|}
</div>




===== {{#var:Paketfilter Regel Standort A}} =====
===== {{#var:Paketfilter Regel Standort A}} =====
<div class="Einrücken">
<div class="Einrücken">
<i class="host utm">{{#var:Standort}} A</i>
{{#var:Paketfilter Regel--desc}}
</div>


<i class="host utm">{{#var:Standort}} A</i> {{#var:Paketfilter Regel--desc}}<br>
{| class="sptable2 Paketfilter pd5 zh1 Einrücken"
{| class="sptable2 Paketfilter pd5 zh1"
| {{b|{{#var:Quelle}} }} || {{ic| SSL-VPN-RW-Network|dr|class=mw15|icon=vpn-network}} || {{#var: regel--quelle--desc}}
| {{b| {{#var:Quelle}} }} || {{ic| SSL-VPN-RW-Network|dr|class=mw15|icon=vpn-network}} || {{#var: regel--quelle--desc| Roadwarrior -Host oder -Netzwerk }}
|-
|-
| {{b| {{#var:Ziel}} }} || {{ic| internal-network |dr|class=mw15|icon=network}} || {{#var: Zielnetzwerk-StandortA--desc }}
| {{b|{{#var:Ziel}} }} || {{ic|internal-network|dr|class=mw15|icon=network}} || {{#var:Zielnetzwerk-StandortA--desc}}
|-
|-
| {{b| {{#var:Dienst}} }} || {{ic| xyz|dr|class=mw15|icon=dienste}} || {{#var: regel--dienst--desc| Gewünschter Dienst oder Dienstgruppe }}
| {{b|{{#var:Dienst}} }} || {{ic| xyz|dr|class=mw15|icon=dienste}} || {{#var: regel--dienst--desc}}
|- class="Leerzeile"
|
|}
|}




Zeile 150: Zeile 169:
{| class="sptable2 Paketfilter pd5 tr--bc__white zh1"
{| class="sptable2 Paketfilter pd5 tr--bc__white zh1"
|- class="bold small no1cell"
|- class="bold small no1cell"
| class="Leerzeile bc__default" | || ||<nowiki>#</nowiki> || style="min-width:12em;"| {{#var:Quelle}} || style="min-width:12em;"| {{#var:Ziel}} || style="min-width:12em;"| {{#var:Dienst}} || style="min-width:6em;"| NAT || {{#var:Aktion}} || {{#var:Aktiv}} ||style="min-width:5em;"|  
| class="Leerzeile bc__default" | || || <nowiki>#</nowiki> || style="min-width:12em;"| {{#var:Quelle}} || style="min-width:12em;"| {{#var:Ziel}} || style="min-width:12em;"| {{#var:Dienst}} || style="min-width:6em;"| NAT || {{#var:Aktion}} || {{#var:Aktiv}} ||style="min-width:5em;"|  
 
|-  
|-  
| class="bc__default" | {{#var:IPSec-Regel-external-interface--desc}}{{Einblenden|&emsp;|{{#var:hide}}|info}} {{#var:Nicht erforderlich bei impliziten Regeln}} </div></span>
| class="bc__default" | {{#var:IPSec-Regel-external-interface--desc}}{{Einblenden|&emsp;|{{#var:hide}}|info}} {{#var:Nicht erforderlich bei impliziten Regeln}} </div></span>
| {{spc|drag|o|-}} || 4 || {{spc|world|o|-}} internet || {{spc|interface|o|-}} external-interface || {{spc|dienste|o|-}} ipsec ||  || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}}
| {{spc|drag|o|-}} || 4 || {{spc|world|o|-}} internet || {{spc|interface|o|-}} external-interface || {{spc|dienste|o|-}} ipsec ||  || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}}
 
|-  
|-  
| class="bc__default" | {{#var:Zugriff auf IPSec-Netzwerk--desc}}{{Einblenden|&emsp;|{{#var:hide}}|info}} {{#var:Nicht erforderlich bei impliziten Regeln}} </div></span> || {{spc|drag|o|-}} || 5 || {{spc|network|o|-}} internal-network || {{spc|vpn-network|o|-}} IPSec-Network || {{spc|dienste|o|-}}  {{#var:regel--dienst--desc}} || {{Kasten|HNE|blau}} || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}}
| class="bc__default" | {{#var:Zugriff auf IPSec-Netzwerk--desc}}{{Einblenden|&emsp;|{{#var:hide}}|info}} {{#var:Nicht erforderlich bei impliziten Regeln}} </div></span> || {{spc|drag|o|-}} || 5 || {{spc|network|o|-}} internal-network || {{spc|vpn-network|o|-}} IPSec-Network || {{spc|dienste|o|-}}  {{#var:regel--dienst--desc}} || {{Kasten|HNE|blau}} || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}}
|-  
|-  
| class="bc__default" | {{#var:Zugriff auf lokales Netzwerk--desc}}{{Einblenden|&emsp;|{{#var:hide}}|info}} {{#var:Nicht erforderlich bei impliziten Regeln}} </div></span> || {{spc|drag|o|-}} || 6 || {{spc|vpn-network|o|-}} IPSec Network || {{spc|network|o|-}} internal-network || {{spc|dienste|o|-}}  {{#var:regel--dienst--desc}} ||  || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}}
| class="bc__default" | {{#var:Zugriff auf lokales Netzwerk--desc}}{{Einblenden|&emsp;|{{#var:hide}}|info}} {{#var:Nicht erforderlich bei impliziten Regeln}} </div></span> || {{spc|drag|o|-}} || 6 || {{spc|vpn-network|o|-}} IPSec Network || {{spc|network|o|-}} internal-network || {{spc|dienste|o|-}}  {{#var:regel--dienst--desc}} ||  || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}}
|- class="redborder"
|- class="redborder"
| class="bc__default" | {{#var:Neue Regel--SSL-VPN--desc}} || {{spc|drag|o|-}} || 7 || {{spc|vpn-network|o|-}} SSL-VPN-RW-Network || {{spc|network|o|-}} internal-network || {{spc|dienste|o|-}}  {{#var:regel--dienst--desc}} ||  || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}}
| class="bc__default" | {{#var:Neue Regel--SSL-VPN--desc}} || {{spc|drag|o|-}} || 7 || {{spc|vpn-network|o|-}} SSL-VPN-RW-Network || {{spc|network|o|-}} internal-network || {{spc|dienste|o|-}}  {{#var:regel--dienst--desc}} ||  || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}}
|}
|}
<li class="list--element__alert list--element__hint">{{#var:Regeln aktualisieren--desc}}</li><br><br>
<div class="Einrücken">
<li class="list--element__alert list--element__hint">{{#var:Regeln aktualisieren--desc}}</li>
</div>
</div>


Zeile 171: Zeile 187:
===== {{#var:Netzwerkobjekt anlegen}} =====
===== {{#var:Netzwerkobjekt anlegen}} =====
<div class="Einrücken">
<div class="Einrücken">
<i class="host utm">{{#var:Standort}} B</i><br>{{#var:Netzwerkobjekt anlegen--desc}}
<i class="host utm">{{#var:Standort}} B</i>
{| class="sptable2 pd5 zh1"
{{#var:Netzwerkobjekt anlegen--desc}}
</div>
 
{| class="sptable2 pd5 zh1 Einrücken"
|-
|-
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}} || class="Bild" rowspan="7" | {{Bild | {{#var:Netzwerkobjekt anlegen-ipsec--Bild}}|{{#var:Netzwerkobjekt anlegen--cap}}||{{#var:Netzwerkobjekt hinzufügen}}|Firewall|{{#var:Netzwerkobjekte}}|icon=fa-save|icon2=fa-floppy-disk-circle-xmark|icon3=fa-close}}
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}}  
| class="Bild" rowspan="7" | {{Bild| {{#var:Netzwerkobjekt anlegen-ipsec--Bild}} |||{{#var:Netzwerkobjekt hinzufügen}}|Firewall|{{#var:Netzwerkobjekte}}|icon=fa-save|icon2=fa-floppy-disk-circle-xmark|icon3=fa-close}}
|-
|-
| {{b|{{#var:Name}} }} || {{ic|{{#var:Name--val}}|class=mw10}} || {{#var:Name--desc}}
| {{b|Name:}} || {{ic|{{#var:Name--val}}|class=mw10}} || {{#var:Name--desc}}
|-
|-
| {{b|{{#var:Typ}} }} || {{Button| {{#var:Typ-ipsec--val}}|dr|class=mw10}} || {{#var:Typ-ipsec--desc}}
| {{b|{{#var:Typ}} }} || {{Button| {{#var:Typ-ipsec--val}}|dr|class=mw10}} ||  
|-
|-
| {{b|{{#var:Adresse}} }} || {{ic|192.168.218.0|rechts|icon=/24 |iconw=x|class=mw10}} || {{#var:Adresse--desc}}
| {{b|{{#var:Adresse}} }} || {{ic|192.168.174.0|rechts|icon=/24 |iconw=x|class=mw10}} || {{#var:Adresse--desc}}
|-
|-
| {{b|{{#var:Zone}} }} || {{Button|vpn-ipsec|dr|class=mw10}} || {{#var:Zone Standort A--desc}}
| {{b|Zone:}} || {{Button|vpn-ipsec|dr|class=mw10}} || {{#var:Zone Standort A--desc}}
|-
|-
| {{b|{{#var:Gruppen}} }} || {{ic||cb|class=mw10}} || {{#var:Gruppen--desc}}
| {{b|{{#var:Gruppen}} }} || {{ic||cb|class=mw10}} || {{#var:Gruppen--desc}}
|-
|-
| colspan="2" |{{Button-dialog||fa-floppy-disk-circle-xmark|hover={{#var:Speichern und schließen}}}} || {{#var:Speichern und schließen--desc}}
| colspan="2" | {{Button-dialog||fa-floppy-disk-circle-xmark|hover={{#var:Speichern und schließen}} }} || {{#var:Speichern und schließen--desc}}
|- class="Leerzeile"
|- class="Leerzeile"
|
|
|}</div>
|}




===== {{#var:Paketfilter Regel}} =====
===== {{#var:Paketfilter Regel}} =====
<div class="Einrücken">
<div class="Einrücken">
<i class="host utm">{{#var:Standort}} B</i><br>{{#var:Paketfilter Regel--desc}}
<i class="host utm">{{#var:Standort}} B</i>
{| class="sptable2 Paketfilter pd5 zh1"
{{#var:Paketfilter Regel--desc}}
| {{b| {{#var:Quelle}} }} || {{ic| SSL-VPN-RW-Network|icon=vpn-network|dr|class=mw15}} || {{#var: regel--quelle--desc| Roadwarrior -Host oder -Netzwerk }}
</div>
 
{| class="sptable2 Paketfilter pd5 zh1 Einrücken"
| {{b|{{#var:Quelle}} }} || {{ic| SSL-VPN-RW-Network|icon=vpn-network|dr|class=mw15}} || {{#var: regel--quelle--desc}}
|-
|-
| {{b| {{#var:Ziel}} }} || {{ic| {{#var:Name--val}} |icon=vpn-network|dr|class=mw15}} || {{#var: regel--ziel--desc| Netzwerk, auf das zugegriffen werden soll. }}
| {{b| {{#var:Ziel}} }} || {{ic| {{#var:Name--val}} |icon=vpn-network|dr|class=mw15}} || {{#var: regel--ziel--desc}}
|-
|-
| {{b| {{#var:Dienst}} }} || {{ic| xyz|icon=dienste|dr|class=mw15}} || {{#var: regel--dienst--desc| Gewünschter Dienst oder Dienstgruppe }}
| {{b| {{#var:Dienst}} }} || {{ic| xyz|icon=dienste|dr|class=mw15}} || {{#var: regel--dienst--desc}}
|}
|}
<div class="Einrücken">
{{#var:Hinzufügen und schließen--desc}}
{{#var:Hinzufügen und schließen--desc}}


Zeile 208: Zeile 233:
{| class="sptable2 Paketfilter pd5 tr--bc__white zh1"
{| class="sptable2 Paketfilter pd5 tr--bc__white zh1"
|- class="bold small no1cell"
|- class="bold small no1cell"
| class="Leerzeile bc__default" | || ||<nowiki>#</nowiki> || style="min-width:12em;"| {{#var:Quelle}} || style="min-width:12em;"| {{#var:Ziel}} || style="min-width:12em;"| {{#var:Dienst}} || style="min-width:6em;"| NAT || {{#var:Aktion}} || {{#var:Aktiv}} ||style="min-width:5em;"|  
| class="Leerzeile bc__default" | || || <nowiki>#</nowiki> || style="min-width:12em;"| {{#var:Quelle}} || style="min-width:12em;"| {{#var:Ziel}} || style="min-width:12em;"| {{#var:Dienst}} || style="min-width:6em;"| NAT || {{#var:Aktion}} || {{#var:Aktiv}} ||style="min-width:5em;"|  
|-  
|-  
 
| class="bc__default" | {{#var:IPSec-Regel-external-interface--desc}}{{Einblenden|&emsp;|{{#var:hide}}|info}} {{#var:Nicht erforderlich bei impliziten Regeln}} </div></span> || {{spc|drag|o|-}} || 4 || {{spc|world|o|-}} internet || {{spc|interface|o|-}} external-interface || {{spc|dienste|o|-}} ipsec ||  || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}}
| class="bc__default" | {{#var:IPSec-Regel-external-interface--desc}}{{Einblenden|&emsp;|{{#var:hide}}|info}} {{#var:Nicht erforderlich bei impliziten Regeln}} </div></span> || {{spc|drag|o|-}} || 4 || {{spc|world|o|-}} internet || {{spc|interface|o|-}} external-interface || {{spc|dienste|o|-}} ipsec ||  || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}}
 
|-  
|-  
| class="bc__default" | {{#var:Zugriff auf IPSec-Netzwerk--desc}}{{Einblenden|&emsp;|{{#var:hide}}|info}} {{#var:Nicht erforderlich bei impliziten Regeln}} </div></span> || {{spc|drag|o|-}} || 5 || {{spc|network|o|-}} internal-network || {{spc|vpn-network|o|-}} IPSec-Network || {{spc|dienste|o|-}}  {{#var:regel--dienst--desc}} || {{Kasten|HNE|blau}} || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}}
| class="bc__default" | {{#var:Zugriff auf IPSec-Netzwerk--desc}}{{Einblenden|&emsp;|{{#var:hide}}|info}} {{#var:Nicht erforderlich bei impliziten Regeln}} </div></span> || {{spc|drag|o|-}} || 5 || {{spc|network|o|-}} internal-network || {{spc|vpn-network|o|-}} IPSec-Network || {{spc|dienste|o|-}}  {{#var:regel--dienst--desc}} || {{Kasten|HNE|blau}} || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}}
|-  
|-  
| class="bc__default" | {{#var:Zugriff auf lokales Netzwerk--desc}}{{Einblenden|&emsp;|{{#var:hide}}|info}} {{#var:Nicht erforderlich bei impliziten Regeln}} </div></span> || {{spc|drag|o|-}} || 6 || {{spc|vpn-network|o|-}} IPSec Network || {{spc|network|o|-}} internal-network || {{spc|dienste|o|-}} {{#var:regel--dienst--desc}} ||  || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}}
| class="bc__default" | {{#var:Zugriff auf lokales Netzwerk--desc}}{{Einblenden|&emsp;|{{#var:hide}}|info}} {{#var:Nicht erforderlich bei impliziten Regeln}} </div></span> || {{spc|drag|o|-}} || 6 || {{spc|vpn-network|o|-}} IPSec Network || {{spc|network|o|-}} internal-network || {{spc|dienste|o|-}} {{#var:regel--dienst--desc}} ||  || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}}
 
|- class="redborder"
|- class="redborder"
| class="bc__default" | {{#var:Neue Regel Standort B--SSL-VPN--desc}}  || {{spc|drag|o|-}} || 7 || {{spc|vpn-network|o|-}} SSL-VPN-RW-Network || {{spc|network|o|-}} {{#var:Name--val}} || {{spc|dienste|o|-}}  {{#var:regel--dienst--desc}} ||  || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}}
| class="bc__default" | {{#var:Neue Regel Standort B--SSL-VPN--desc}}  || {{spc|drag|o|-}} || 7 || {{spc|vpn-network|o|-}} SSL-VPN-RW-Network || {{spc|network|o|-}} {{#var:Name--val}} || {{spc|dienste|o|-}}  {{#var:regel--dienst--desc}} ||  || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}}
|}
|}
<li class="list--element__alert list--element__hint">{{#var:Regeln aktualisieren--desc}}</li><br><br>
<li class="list--element__alert list--element__hint">{{#var:Regeln aktualisieren--desc}}</li>
</div>
</div>
</div>
----
----




==== {{#var:Konfiguration mit HideNat-Regel}} ====
==== {{#var:Konfiguration mit HideNat-Regel}} ====
<div class="Einrücken">
{{#var:Konfiguration mit HideNat-Regel--desc}}<br>
{{#var:Konfiguration mit HideNat-Regel--desc}}<br>
{{Hinweis-box|{{#var:Konfiguration mit HideNat-Regel--Hinweis}} }}
</div>


{{Hinweis| ! {{#var:Konfiguration mit HideNat-Regel--Hinweis}} }}
<br clear=all>


===== {{#var:Netzwerkobjekt anlegen}} =====
===== {{#var:Netzwerkobjekt anlegen}} =====
<div class="Einrücken">
<div class="Einrücken">
<i class="host utm">{{#var:Standort}} B</i><br>{{#var:Netzwerkobjekt anlegen--desc}}
<i class="host utm">{{#var:Standort}} B</i>
{| class="sptable2 pd5 zh1"
{{#var:Netzwerkobjekt anlegen--desc}}
</div>
 
{| class="sptable2 pd5 zh1 Einrücken"
|-
|-
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}} || class="Bild" rowspan="7" | {{Bild | {{#var:Netzwerkobjekt anlegen--Bild}}|{{#var:Netzwerkobjekt anlegen--cap}}||{{#var:Netzwerkobjekt hinzufügen}}|Firewall|{{#var:Netzwerkobjekte}}|icon=fa-save|icon2=fa-floppy-disk-circle-xmark|icon3=fa-close}}
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}}
| class="Bild" rowspan="7" | {{Bild| {{#var:Netzwerkobjekt anlegen--Bild}} |||{{#var:Netzwerkobjekt hinzufügen}}|Firewall|{{#var:Netzwerkobjekte}}|icon=fa-save|icon2=fa-floppy-disk-circle-xmark|icon3=fa-close}}
|-
|-
| {{b|{{#var:Name}} }} || {{ic|{{#var:Name--val}}|class=mw10}} || {{#var:Name--desc}}
| {{b|Name:}} || {{ic|{{#var:Name--val}}|class=mw10}} || {{#var:Name--desc}}
|-
|-
| {{b|{{#var:Typ}} }} || {{Button| {{#var:Typ--val}}|dr|class=mw10}} || {{#var:Typ--desc}}
| {{b|{{#var:Typ}} }} || {{Button| {{#var:Typ--val}}|dr|class=mw10}} || {{#var:Typ--desc}}
|-
|-
| {{b|{{#var:Adresse}} }} || {{ic|192.168.218.0|rechts|icon=/24 |iconw=x|class=mw10}} || {{#var:Adresse--desc}}
| {{b|{{#var:Adresse}} }} || {{ic|192.168.174.0|rechts|icon=/24 |iconw=x|class=mw10}} || {{#var:Adresse--desc}}
|-
|-
| {{b|{{#var:Zone}} }} || {{Button|external|dr|class=mw10}} || {{#var:Zone--desc}}
| {{b|Zone:}} || {{Button|external|dr|class=mw10}} || external
|-
|-
| {{b|{{#var:Gruppen}} }} || {{ic||cb|class=mw10}} || {{#var:Gruppen--desc}}
| {{b|{{#var:Gruppen}} }} || {{ic||cb|class=mw10}} || {{#var:Gruppen--desc}}
Zeile 255: Zeile 279:
|- class="Leerzeile"
|- class="Leerzeile"
|
|
|}</div>
|}




===== {{#var:Paketfilter Regel}} =====
<div class="Einrücken">
<div class="Einrücken">
===== {{#var:Paketfilter Regel}} =====
<i class="host utm">{{#var:Standort}} B</i>
<i class="host utm">{{#var:Standort}} B</i><br>{{#var:Paketfilter Regel--desc}}
{{#var:Paketfilter Regel--desc}}
</div>


{| class="sptable2 Paketfilter pd5 zh1"
{| class="sptable2 Paketfilter pd5 zh1 Einrücken"
| {{b| {{#var:Quelle}} }} || {{ic| SSL-VPN-RW-Network|icon=vpn-network|dr|class=mw15}} || {{#var: regel--quelle--desc| Roadwarrior -Host oder -Netzwerk }}
| {{b|{{#var:Quelle}} }} || {{ic| SSL-VPN-RW-Network|icon=vpn-network|dr|class=mw15}} || {{#var:regel--quelle--desc}}
|-
|-
| {{b| {{#var:Ziel}} }} || {{ic| {{#var:Name--val}}|dr|class=mw15 |icon=host}} || {{#var: regel--ziel--desc| Netzwerk, auf das zugegriffen werden soll. }}
| {{b|{{#var:Ziel}} }} || {{ic|{{#var:Name--val}}|dr|class=mw15 |icon=host}} || {{#var: regel--ziel--desc}}
|-
|-
| {{b| {{#var:Dienst}} }} || {{ic| xyz|dr|class=mw15|icon=dienste}} || {{#var: regel--dienst--desc| Gewünschter Dienst oder Dienstgruppe }}
| {{b|{{#var:Dienst}} }} || {{ic|xyz|dr|class=mw15|icon=dienste}} || {{#var: regel--dienst--desc}}
|-
|-
| {{Kasten|NAT}} {{b|{{#var:Typ}} }}|| {{Button|Hidenat|dr|class=mw15}} || {{#var:Typ-Hidenat--desc}}
| {{Kasten|NAT}} {{b|{{#var:Typ}} }}|| {{Button|Hidenat|dr|class=mw15}} || {{#var:Typ-Hidenat--desc}}
Zeile 273: Zeile 299:
| {{Kasten|NAT}} {{b|{{#var:Netzwerkobjekt}} }}|| {{ic|internal-interface|dr|class=mw15|icon=interface}} || <li class="list--element__alert list--element__warning">{{#var:Netzwerkobjekt--desc}}</li>
| {{Kasten|NAT}} {{b|{{#var:Netzwerkobjekt}} }}|| {{ic|internal-interface|dr|class=mw15|icon=interface}} || <li class="list--element__alert list--element__warning">{{#var:Netzwerkobjekt--desc}}</li>
|}
|}
<div class="Einrücken">
{{#var:Hinzufügen und schließen--desc}}
{{#var:Hinzufügen und schließen--desc}}


Zeile 279: Zeile 307:
{| class="sptable2 Paketfilter pd5 tr--bc__white zh1"
{| class="sptable2 Paketfilter pd5 tr--bc__white zh1"
|- class="bold small no1cell"
|- class="bold small no1cell"
| class="Leerzeile bc__default" | || ||<nowiki>#</nowiki> || style="min-width:12em;"| {{#var:Quelle}} || style="min-width:12em;"| {{#var:Ziel}} || style="min-width:12em;"| {{#var:Dienst}} || style="min-width:6em;"| NAT || {{#var:Aktion}} || {{#var:Aktiv}} ||style="min-width:5em;"|  
| class="Leerzeile bc__default" | || || <nowiki>#</nowiki> || style="min-width:12em;"| {{#var:Quelle}} || style="min-width:12em;"| {{#var:Ziel}} || style="min-width:12em;"| {{#var:Dienst}} || style="min-width:6em;"| NAT || {{#var:Aktion}} || {{#var:Aktiv}} ||style="min-width:5em;"|  
|-  
|-  
| class="bc__default noborder" | || {{spc|drag|o|-}} || 7 || {{spc|vpn-network|o|-}} SSL-VPN-RW-Network || {{spc|host|o|-}} {{#var:Name--val}} || {{spc|dienste|o|-}}  {{#var:regel--dienst--desc}} || {{Kasten|HN|blau}} || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}}
| class="bc__default noborder" | || {{spc|drag|o|-}} || 7 || {{spc|vpn-network|o|-}} SSL-VPN-RW-Network || {{spc|host|o|-}} {{#var:Name--val}} || {{spc|dienste|o|-}}  {{#var:regel--dienst--desc}} || {{Kasten|HN|blau}} || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}}
|}
|}
<li class="list--element__alert list--element__hint">{{#var:Regeln aktualisieren--desc}}</li><br><br>
<li class="list--element__alert list--element__hint">{{#var:Regeln aktualisieren--desc}}</li>
</div>
</div>
----
----

Aktuelle Version vom 4. Februar 2025, 10:23 Uhr




























In dieser Seite werden die Variablen für unterschiedliche Sprachen definiert.
Diese Seite wird auf folgenden Seiten eingebunden























































Netzwerkskizze Ausgangslage









Mit einem SSL-VPN Roadwarrior auf ein Netzwerk hinter einer IPSec Site-to-Site Verbindung zugreifen

Letzte Anpassung zur Version: 12.6.0

Neu:
  • Aktualisierung zum Redesign des Webinterfaces
Zuletzt aktualisiert: 
    02.2025
    • Beispiel an Best Practice angeglichen (Grafik, Standorte, IP-Adressen)
notempty
Dieser Artikel bezieht sich auf eine Beta-Version


Ausgangslage

  • Ein Netzwerk am Standort A ist über eine IPSec-Site-to-Site-Verbindung mit einem Netzwerk an Standort B verbunden
  • Es besteht eine SSL-VPN-Verbindung von einem Roadwarrior zu dem Netzwerk an Standort B

Ziel:

  • Das Interne Netzwerk an Standort A soll für den Roadwarrior über die SSL-VPN-Verbindung zu Standort B erreichbar sein.


Konfiguration:

  • Standort A:
    Internes Netzwerk: 192.168.174.0/24
  • Standort B:
    Internes Netzwerk: 192.168.175.0/24
  • Roadwarrior:
    SSL-VPN-Verbindung zu Standort B
    Transfernetz-IP: 192.168.192.0/24


IPSec Site-to-Site Verbindung einrichten

Ein Anleitung zur Konfiguration einer IPSec-Site-to-Site Verbindung gibt es in diesem Wiki.


SSL-VPN Verbindung einrichten

Ein Anleitung zur Konfiguration einer SSL-VPN Verbindung für Roadwarrior gibt es in diesem Wiki.

Anpassen der Konfiguration

SSL-VPN-Verbindung bearbeiten

Standort B Anpassen der SSL-VPN-Roadwarrior Verbindung unter VPN SSL-VPN  Schaltfläche der Verwendeten Verbindung, Reiter Allgemein

Beschriftung Wert Beschreibung SSL-VPN-Verbindung bearbeiten UTMbenutzer@firewall.name.fqdnVPNSSL-VPN Servernetzwerke hinzufügen
Servernetzwerke freigeben: »192.168.175.0/24»192.168.174.0/24 In diesem Beispiel wurde das interne Netzwerk des Standortes B (192.168.175.0/24) bereits durch die SSL-VPN-Verbindung freigegeben.
Zusätzlich muss nun noch das interne Zielnetzwerk an Standort A, auf das der Roadwarrior zugreifen soll freigegeben werden.
Speichern und schließen Angaben mit der Schaltfläche Speichern übernehmen
SSL-VPN Verbindung neu starten mit der Schaltfläche Neustarten
  • Die SSL-VPN-Verbindung auf dem Roadwarrior muss einmal beendet und neu aufgebaut werden, damit das neue Servernetzwerk gepuscht werden kann


    • Konfiguration mit Anpassung der IPSec-Verbindung

    Das Transfernetz des Roadwarriors muss auf beiden UTMs in der Phase 2 der IPSec Verbindung eingetragen werden.
    Konfiguration unter VPN IPSec  Schaltfläche Phase 2 der verwendeten Verbindung, Bereich Subnetze, Schaltfläche IPSec Verbindung hinzufügen


    Anpassen der IPSec-Verbindung
    Standort A
    Beschriftung Wert Beschreibung Subnetz hinzufügen UTMbenutzer@firewall.name.fqdnVPNIPSecPhase 2 bearbeiten Subnetz hinzufügen in Phase 2 / Standort A Phase 2 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPsec Ergänzte Subnetze in Phase 2 / Standort A

    Lokales Netzwerk: 192.168.174.0/24 Das lokale Zielnetzwerk muss am Standort A als Lokales Netzwerk eingetragen werden
    Remote Netzwerk: 192.168.192.0/24 Das Transfernetz des Roadwarriors (hier 192.168.192.0/24) muss am Standort A als Remote-Netzwerk eingetragen werden
    Subnetze hinzufügen mit Speichern und schließen
    Änderungen der Phase 2 übernehmen ebenfalls mit der Schaltfläche
    IPSec-Verbindung neu starten mit der Schaltfläche Neustarten
    Standort B
    Beschriftung Wert Beschreibung Subnetz hinzufügen UTMbenutzer@firewall.name.fqdnVPNIPSecPhase 2 bearbeiten Subnetz hinzufügen in Phase 2 / Standort B
    Phase 2 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPsec Ergänzte Subnetze in Phase 2 / Standort B
    Lokales Netzwerk: 192.168.192.0/24 Das Transfernetz des Roadwarriors (hier 192.168.192.0/24) muss am Standort B als Lokales Netzwerk eingetragen werden
    Remote Netzwerk: 192.168.174.0/24 Das interne Zielnetzwerk (in Standort A) muss am Standort B als Remote-Netzwerk eingetragen werden
    Subnetze hinzufügen mit Speichern und schließen
    Änderungen der Phase 2 übernehmen ebenfalls mit der Schaltfläche
    IPSec-Verbindung neu starten mit der Schaltfläche Neustarten


    Netzwerkobjekt am Standort A anlegen

    Standort A Diese Regel ist nicht erforderlich, wenn die IPSec-Verbindung über implizite Regeln erlaubt wurde.
    Davon ist jedoch im Regelfall abzuraten, da implizite Regeln die Ports, die für IPSec Verbindungen genutzt werden, allen Schnittstellen freigeben.
    Netzwerkobjekt anlegen im Reiter Firewall Netzwerkobjekte  Schaltfläche Objekt hinzufügen

    Beschriftung Wert Beschreibung Netzwerkobjekt hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte
    Name SSL-VPN-RW-Network frei wählbarer Name
    Typ: VPN-Netzwerk Auch, wenn es sich nur um einen einzigen Roadwarrior handelt, wird für die Anbindung eine Tunnel-Netz-IP verwendet. Daher ist hier der Typ Netzwerk auszuwählen.
    Adresse: 192.168.192.0/24 Die Netz-IP des SSL-VPN Transfer Netzes aus Standort B
    Zone: vpn-ipsec Die Zone entspricht der IPSec-Verbindung
    Gruppen:     Ggf. kann das Netzwerkobjekt einer Gruppe hinzugefügt werden
    Speichern und schließen Netzwerkobjekt mit dieser Schaltfläche speichern und hinzufügen
    Beschriftung Wert Beschreibung Netzwerkobjekt hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte
    Name: IPSec Ziel frei wählbarer Name
    Typ: VPN-Netzwerk
    Adresse: 192.168.175.0/24 Die Netz-IP des internen Zielnetzwerkes, auf das zugegriffen werden soll
    Zone: vpn-ipsec Die Zone entspricht der IPSec-Verbindung
    Gruppen:     Ggf. kann das Netzwerkobjekt einer Gruppe hinzugefügt werden
    Speichern und schließen Netzwerkobjekt mit dieser Schaltfläche speichern und hinzufügen


    Paketfilter-Regel Standort A

    Standort A

    Quelle SSL-VPN-RW-Network Netzwerkobjekt des Roadwarrior-Netzwerkes
    Ziel internal-network Internes Zielnetzwerk, auf daß der Roadwarrior zugreifen können soll
    Dienst xyz Gewünschter Dienst oder Dienstgruppe


    Anzeige der Paketfilter-Regel in der Übersicht

    # Quelle Ziel Dienst NAT Aktion Aktiv
    Bereits existierende Regel, die den Aufbau des IPSec-Tunnels ermöglicht
    Diese Regel ist nicht erforderlich, wenn die IPSec-Verbindung über implizite Regeln erlaubt wurde.
    Davon ist jedoch im Regelfall abzuraten, da implizite Regeln die Ports, die für IPSec Verbindungen genutzt werden, allen Schnittstellen freigeben.
    		4 internet external-interface ipsec Accept Ein
    Existierende Regel, die den Zugriff des lokalen Netzwerkes auf das IPSec-Netzwerk erlaubt
    Diese Regel ist nicht erforderlich, wenn die IPSec-Verbindung über implizite Regeln erlaubt wurde.
    Davon ist jedoch im Regelfall abzuraten, da implizite Regeln die Ports, die für IPSec Verbindungen genutzt werden, allen Schnittstellen freigeben.
    		5 internal-network IPSec-Network Gewünschter Dienst oder Dienstgruppe HNE Accept Ein
    Existierende Regel, die den Zugriff des IPSec-Netzwerkes auf das lokale Netzwerk erlaubt
    Diese Regel ist nicht erforderlich, wenn die IPSec-Verbindung über implizite Regeln erlaubt wurde.
    Davon ist jedoch im Regelfall abzuraten, da implizite Regeln die Ports, die für IPSec Verbindungen genutzt werden, allen Schnittstellen freigeben.
    		6 IPSec Network internal-network Gewünschter Dienst oder Dienstgruppe Accept Ein
    Neue Regel, die dem Roadwarrior über das SSL-VPN-Netzwerkobjekt den Zugriff auf das interne Netzwerk erlaubt 7 SSL-VPN-RW-Network internal-network Gewünschter Dienst oder Dienstgruppe Accept Ein
  • Die Regel wird erst angewendet, wenn die Schaltfläche Regeln aktualisieren betätigt wird!


    • Netzwerkobjekt am Standort B anlegen

    Standort B Anlegen eines Netzwerkobjektes für das Zielnetzwerk unter Firewall Netzwerkobjekte  Schaltfläche Objekt hinzufügen

    Beschriftung Wert Beschreibung Netzwerkobjekt hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte
    Name: IPSec Ziel frei wählbarer Name
    Typ: VPN-Netzwerk
    Adresse: 192.168.174.0/24 Die Netz-IP des internen Zielnetzwerkes, auf das zugegriffen werden soll
    Zone: vpn-ipsec Die Zone entspricht der IPSec-Verbindung
    Gruppen:     Ggf. kann das Netzwerkobjekt einer Gruppe hinzugefügt werden
    Speichern und schließen Netzwerkobjekt mit dieser Schaltfläche speichern und hinzufügen


    Paketfilter-Regel Standort B

    Standort B

    Quelle SSL-VPN-RW-Network Netzwerkobjekt des Roadwarrior-Netzwerkes
    Ziel IPSec Ziel Netzwerk, auf das zugegriffen werden soll
    Dienst xyz Gewünschter Dienst oder Dienstgruppe

    Speichern der Regel mit der Schaltfläche Speichern und schließen


    Anzeige der Paketfilter-Regel in der Übersicht

    # Quelle Ziel Dienst NAT Aktion Aktiv
    Bereits existierende Regel, die den Aufbau des IPSec-Tunnels ermöglicht
    Diese Regel ist nicht erforderlich, wenn die IPSec-Verbindung über implizite Regeln erlaubt wurde.
    Davon ist jedoch im Regelfall abzuraten, da implizite Regeln die Ports, die für IPSec Verbindungen genutzt werden, allen Schnittstellen freigeben.
    		4 internet external-interface ipsec Accept Ein
    Existierende Regel, die den Zugriff des lokalen Netzwerkes auf das IPSec-Netzwerk erlaubt
    Diese Regel ist nicht erforderlich, wenn die IPSec-Verbindung über implizite Regeln erlaubt wurde.
    Davon ist jedoch im Regelfall abzuraten, da implizite Regeln die Ports, die für IPSec Verbindungen genutzt werden, allen Schnittstellen freigeben.
    		5 internal-network IPSec-Network Gewünschter Dienst oder Dienstgruppe HNE Accept Ein
    Existierende Regel, die den Zugriff des IPSec-Netzwerkes auf das lokale Netzwerk erlaubt
    Diese Regel ist nicht erforderlich, wenn die IPSec-Verbindung über implizite Regeln erlaubt wurde.
    Davon ist jedoch im Regelfall abzuraten, da implizite Regeln die Ports, die für IPSec Verbindungen genutzt werden, allen Schnittstellen freigeben.
    		6 IPSec Network internal-network Gewünschter Dienst oder Dienstgruppe Accept Ein
    Neue Regel, die dem Roadwarrior den Zugriff auf das IPSec-Zielnetzwerk erlaubt 7 SSL-VPN-RW-Network IPSec Ziel Gewünschter Dienst oder Dienstgruppe Accept Ein
  • Die Regel wird erst angewendet, wenn die Schaltfläche Regeln aktualisieren betätigt wird!


    • Konfiguration mit HideNat-Regel

    Besteht kein Zugriff auf die Konfiguration an Standort A, kann auch eine Regel mit HideNat verwendet werden. Dies ersetzt dann die Übergabe der Netz-IP des SSL-VPN-Transfernetzes in Phase 2 der IPSec-Verbindung.

    notempty
    Da hierbei IP-Adressen ausgetauscht werden, kann dies zu Problemen z.B. mit VoIP oder FTP führen.


    Netzwerkobjekt am Standort B anlegen

    Standort B Anlegen eines Netzwerkobjektes für das Zielnetzwerk unter Firewall Netzwerkobjekte  Schaltfläche Objekt hinzufügen

    Beschriftung Wert Beschreibung Netzwerkobjekt hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte
    Name: IPSec Ziel frei wählbarer Name
    Typ: Netzwerk (Adresse) Wichtig: Die SSL-VPN-Verbindung bekommt nicht mit, daß es sich um eine weitere VPN-Verbindung handelt.
    Daher darf hier kein VPN-Netzwerk ausgewählt werden!
    Adresse: 192.168.174.0/24 Die Netz-IP des internen Zielnetzwerkes, auf das zugegriffen werden soll
    Zone: external external
    Gruppen:     Ggf. kann das Netzwerkobjekt einer Gruppe hinzugefügt werden
    Speichern und schließen Netzwerkobjekt mit dieser Schaltfläche speichern und hinzufügen


    Paketfilter-Regel Standort B

    Standort B

    Quelle SSL-VPN-RW-Network Netzwerkobjekt des Roadwarrior-Netzwerkes
    Ziel IPSec Ziel Netzwerk, auf das zugegriffen werden soll
    Dienst xyz Gewünschter Dienst oder Dienstgruppe
    NAT
     Typ:    		 Hidenat Die Adressen müssen vom Roadwarrior-Netz in das Zielnetzwerk übersetzt werden
    NAT
     Netzwerkobjekt    		 internal-interface
  • Das SSL-VPN-Netzwerk wird an dieser Stelle wie ein internes Netzwerk behandelt!

    • Speichern der Regel mit der Schaltfläche Speichern und schließen


    Anzeige der Paketfilter-Regel in der Übersicht

    # Quelle Ziel Dienst NAT Aktion Aktiv
    7 SSL-VPN-RW-Network IPSec Ziel Gewünschter Dienst oder Dienstgruppe HN Accept Ein
  • Die Regel wird erst angewendet, wenn die Schaltfläche Regeln aktualisieren betätigt wird!
    • Abgerufen von „https://wiki.securepoint.de/index.php?title=UTM/VPN/SSL_VPN_zu_IPSec-Ziel&oldid=94557