IPSec Site-to-Site-Ziele mit einem SSL-VPN erreichen

• Ein Netzwerk am Standort A ist über eine IPSec-Site-to-Site-Verbindung mit einem Netzwerk an Standort B verbunden
• Es besteht eine SSL-VPN-Verbindung von einem Roadwarrior zu dem Netzwerk an Standort B

Ziel:

• Das Interne Netzwerk an Standort A soll für den Roadwarrior über die SSL-VPN-Verbindung zu Standort B erreichbar sein.

Konfiguration:

• Standort A:
  Internes Netzwerk: 192.168.218.0/24
• Standort B:
  Internes Netzwerk: 192.168.219.0/24
• Roadwarrior:
  SSL-VPN-Verbindung zu Standort B
  Transfernetz-IP: 10.10.10.0/24

IPSec Site-to-Site Verbindung einrichten

Ein Anleitung zur Konfiguration einer IPSec-Site-to-Site Verbindung gibt es in diesem Wiki.

SSL-VPN Verbindung einrichten

Ein Anleitung zur Konfiguration einer SSL-VPN Verbindung für Roadwarrior gibt es in diesem Wiki.

Standort B
Anpassen der SSL-VPN-Roadwarrior Verbindung unter VPN SSL-VPN  Schaltfläche der Verwendeten Verbindung, Reiter Allgemein

Beschriftung	Wert	Beschreibung	Servernetzwerke hinzufügen
Servernetzwerke freigeben:	»192.168.219.0/24»192.168.218.0/24	In diesem Beispiel wurde das interne Netzwerk des Standortes B (192.168.219.0/24) bereits durch die SSL-VPN-Verbindung freigegeben. Zusätzlich muss nun noch das interne Zielnetzwerk an Standort A, auf das der Roadwarrior zugreifen soll freigegeben werden.
Speichern		Angaben mit der Schaltfläche Speichern übernehmen
SSL-VPN Verbindung neu starten mit der Schaltfläche Neustarten Die SSL-VPN-Verbindung auf dem Roadwarrior muss einmal beendet und neu aufgebaut werden, damit das neue Servernetzwerk gepuscht werden kann

Das Transfernetz des Roadwarriors muss auf beiden UTMs in der Phase 2 der IPSec Verbindung eingetragen werden.
Konfiguration unter VPN IPSec  Schaltfläche Phase 2 der verwendeten Verbindung, Bereich Subnetze, Schaltfläche IPSec Verbindung hinzufügen

Anpassen der IPSec-Verbindung

Standort A
Beschriftung	Wert	Beschreibung	Subnetz hinzufügen in Phase 2 / Standort A Ergänzte Subnetze in Phase 2 / Standort A
Lokales Netzwerk:	192.168.218.0/24	Das lokale Zielnetzwerk muss am Standort A als Lokales Netzwerk eingetragen werden
Remote Netzwerk:	10.10.10.0/24	Das Transfernetz des Roadwarriors (hier 10.10.10.0/24) muss am Standort A als Remote-Netzwerk eingetragen werden
Subnetze hinzufügen mit Speichern und schließen Änderungen der Phase 2 übernehmen ebenfalls mit der Schaltfläche IPSec-Verbindung neu starten mit der Schaltfläche Neustarten
Standort B
Beschriftung	Wert	Beschreibung	Subnetz hinzufügen in Phase 2 / Standort B Ergänzte Subnetze in Phase 2 / Standort B
Lokales Netzwerk:	10.10.10.0/24	Das Transfernetz des Roadwarriors (hier 10.10.10.0/24) muss am Standort B als Lokales Netzwerk eingetragen werden
Remote Netzwerk:	192.168.218.0/24	Das interne Zielnetzwerk (in Standort A) muss am Standort B als Remote-Netzwerk eingetragen werden
Subnetze hinzufügen mit Speichern und schließen Änderungen der Phase 2 übernehmen ebenfalls mit der Schaltfläche IPSec-Verbindung neu starten mit der Schaltfläche Neustarten

Netzwerkobjekt am Standort A anlegen

Standort A
Diese Regel ist nicht erforderlich, wenn die IPSec-Verbindung über implizite Regeln erlaubt wurde.
Davon ist jedoch im Regelfall abzuraten, da implizite Regeln die Ports, die für IPSec Verbindungen genutzt werden, allen Schnittstellen freigeben.
Netzwerkobjekt anlegen im Reiter Firewall Netzwerkobjekte  Schaltfläche Objekt hinzufügen

Beschriftung	Wert	Beschreibung
Name:	IPSec Ziel	frei wählbarer Name
Typ:	VPN-Netzwerk	Auch, wenn es sich nur um einen einzigen Roadwarrior handelt, wird für die Anbindung eine Tunnel-Netz-IP verwendet. Daher ist hier der Typ Netzwerk auszuwählen.
Adresse:	10.10.10.0/24	Die Netz-IP des SSL-VPN Transfer Netzes aus Standort B
Zone:	vpn-ipsec	Die Zone entspricht der IPSec-Verbindung
Gruppen:		Ggf. kann das Netzwerkobjekt einer Gruppe hinzugefügt werden
Speichern und schließen		Netzwerkobjekt mit dieser Schaltfläche speichern und hinzufügen

Standort A

Quelle	SSL-VPN-RW-Network	Netzwerkobjekt des Roadwarrior-Netzwerkes
Ziel	internal-network	Internes Zielnetzwerk, auf daß der Roadwarrior zugreifen können soll
Dienst	xyz	Gewünschter Dienst oder Dienstgruppe
NAT Typ:	Hidenat_Exclude	Um sicher zu stellen, daß nicht durch eine andere Regel ein HideNAT durchgeführt wird kann an dieser Stelle ein HideNAT-Exclude bestimmt werden.
NAT Netzwerkobjekt	external-interface

		#	Quelle	Ziel	Dienst	NAT	Aktion	Aktiv
Bereits existierende Regel, die den Aufbau des IPSec-Tunnels ermöglicht Diese Regel ist nicht erforderlich, wenn die IPSec-Verbindung über implizite Regeln erlaubt wurde. Davon ist jedoch im Regelfall abzuraten, da implizite Regeln die Ports, die für IPSec Verbindungen genutzt werden, allen Schnittstellen freigeben.		4	internet	external-interface	ipsec		Accept	Ein
Existierende Regel, die den Zugriff des lokalen Netzwerkes auf das IPSec-Netzwerk erlaubt Diese Regel ist nicht erforderlich, wenn die IPSec-Verbindung über implizite Regeln erlaubt wurde. Davon ist jedoch im Regelfall abzuraten, da implizite Regeln die Ports, die für IPSec Verbindungen genutzt werden, allen Schnittstellen freigeben.		5	internal-network	IPSec-Network	Gewünschter Dienst oder Dienstgruppe	HNE	Accept	Ein
Existierende Regel, die den Zugriff des IPSec-Netzwerkes auf das lokale Netzwerk erlaubt Diese Regel ist nicht erforderlich, wenn die IPSec-Verbindung über implizite Regeln erlaubt wurde. Davon ist jedoch im Regelfall abzuraten, da implizite Regeln die Ports, die für IPSec Verbindungen genutzt werden, allen Schnittstellen freigeben.		6	IPSec Network	internal-network	Gewünschter Dienst oder Dienstgruppe		Accept	Ein
Neue Regel, die dem Roadwarrior über das SSL-VPN-Netzwerkobjekt den Zugriff auf das interne Netzwerk erlaubt		7	SSL-VPN-RW-Network	IPSec Ziel	Gewünschter Dienst oder Dienstgruppe	HNE	Accept	Ein

Die Regel wird erst angewendet, wenn die Schaltfläche

Regeln aktualisieren

betätigt wird!

Netzwerkobjekt am Standort B anlegen

Standort B
Anlegen eines Netzwerkobjektes für das Zielnetzwerk unter Firewall Netzwerkobjekte  Schaltfläche Objekt hinzufügen

Beschriftung	Wert	Beschreibung
Name:	IPSec Ziel	frei wählbarer Name
Typ:	VPN-Netzwerk
Adresse:	192.168.218.0/24	Die Netz-IP des internen Zielnetzwerkes, auf das zugegriffen werden soll
Zone:	vpn-ipsec	Die Zone entspricht der IPSec-Verbindung
Gruppen:		Ggf. kann das Netzwerkobjekt einer Gruppe hinzugefügt werden
Speichern und schließen		Netzwerkobjekt mit dieser Schaltfläche speichern und hinzufügen

Standort B

Quelle	SSL-VPN-RW-Network	Netzwerkobjekt des Roadwarrior-Netzwerkes
Ziel	IPSec Ziel	Netzwerk, auf das zugegriffen werden soll
Dienst	xyz	Gewünschter Dienst oder Dienstgruppe
NAT Typ:	Hidenat_Exclude	Um sicher zu stellen, daß nicht durch eine andere Regel ein HideNAT durchgeführt wird kann an dieser Stelle ein HideNAT-Exclude bestimmt werden.
NAT Netzwerkobjekt	internal-interface	Das SSL-VPN-Netzwerk wird an dieser Stelle wie ein internes Netzwerk behandelt!

Speichern der Regel mit der Schaltfläche

Speichern und schließen

		#	Quelle	Ziel	Dienst	NAT	Aktion	Aktiv
Bereits existierende Regel, die den Aufbau des IPSec-Tunnels ermöglicht Diese Regel ist nicht erforderlich, wenn die IPSec-Verbindung über implizite Regeln erlaubt wurde. Davon ist jedoch im Regelfall abzuraten, da implizite Regeln die Ports, die für IPSec Verbindungen genutzt werden, allen Schnittstellen freigeben.		4	internet	external-interface	ipsec		Accept	Ein
Existierende Regel, die den Zugriff des lokalen Netzwerkes auf das IPSec-Netzwerk erlaubt Diese Regel ist nicht erforderlich, wenn die IPSec-Verbindung über implizite Regeln erlaubt wurde. Davon ist jedoch im Regelfall abzuraten, da implizite Regeln die Ports, die für IPSec Verbindungen genutzt werden, allen Schnittstellen freigeben.		5	internal-network	IPSec-Network	Gewünschter Dienst oder Dienstgruppe	HNE	Accept	Ein
Existierende Regel, die den Zugriff des IPSec-Netzwerkes auf das lokale Netzwerk erlaubt Diese Regel ist nicht erforderlich, wenn die IPSec-Verbindung über implizite Regeln erlaubt wurde. Davon ist jedoch im Regelfall abzuraten, da implizite Regeln die Ports, die für IPSec Verbindungen genutzt werden, allen Schnittstellen freigeben.		6	IPSec Network	internal-network	Gewünschter Dienst oder Dienstgruppe		Accept	Ein
Neue Regel, die dem Roadwarrior den Zugriff auf das IPSec-Zielnetzwerk erlaubt		7	SSL-VPN-RW-Network	IPSec Ziel	Gewünschter Dienst oder Dienstgruppe	HNE	Accept	Ein

Die Regel wird erst angewendet, wenn die Schaltfläche

Regeln aktualisieren

betätigt wird!

Standort B
Anlegen eines Netzwerkobjektes für das Zielnetzwerk unter Firewall Netzwerkobjekte  Schaltfläche Objekt hinzufügen

Beschriftung	Wert	Beschreibung
Name:	IPSec Ziel	frei wählbarer Name
Typ:	Netzwerk (Adresse)	Wichtig: Die SSL-VPN-Verbindung bekommt nicht mit, daß es sich um eine weitere VPN-Verbindung handelt. Daher darf hier kein VPN-Netzwerk ausgewählt werden!
Adresse:	192.168.218.0/24	Die Netz-IP des internen Zielnetzwerkes, auf das zugegriffen werden soll
Zone:	external	external
Gruppen:		Ggf. kann das Netzwerkobjekt einer Gruppe hinzugefügt werden
Speichern und schließen		Netzwerkobjekt mit dieser Schaltfläche speichern und hinzufügen

Standort B

Quelle	SSL-VPN-RW-Network	Netzwerkobjekt des Roadwarrior-Netzwerkes
Ziel	IPSec Ziel	Netzwerk, auf das zugegriffen werden soll
Dienst	xyz	Gewünschter Dienst oder Dienstgruppe
NAT Typ:	Hidenat	Die Adressen müssen vom Roadwarrior-Netz ind das Zielnetzwerk übersetzt werden
NAT Netzwerkobjekt	internal-interface	Das SSL-VPN-Netzwerk wird an dieser Stelle wie ein internes Netzwerk behandelt!

		#	Quelle	Ziel	Dienst	NAT	Aktion	Aktiv
		7	SSL-VPN-RW-Network	IPSec Ziel	Gewünschter Dienst oder Dienstgruppe	HN	Accept	Ein