Wechseln zu:Navigation, Suche
Wiki





































SSL-VPN mit einem Roadwarrior an S2S Verbindungen - Beispielszenarien

Neuer Artikel: 12.2024

notempty
Dieser Artikel bezieht sich auf eine Resellerpreview
-

Vorbemerkung

Im Beispiel wird die Dienstgruppe Service-group.svg default-internet verwendet.
In realen Konfigurationen muss diese Gruppe natürlich angepasst werden. Ggf. empfiehlt sich eine neue Dienstgruppe.
Eine Regel mit Other.svg any sollte nur dann verwendet werden, wenn alle beteiligten Netze und Geräte zu 100% vertrauenswürdig sind und eine Kompromittierung ausgeschlossen werden kann.

Voraussetzung

  • Konfiguriertes S2S-VPN
  • Konfigurierte S2E-Verbindung
RW Transfer-Netz 192.168.192.0/24
VPN-Server Internes Netz 192.168.175.0/24
S2S Transfer-Netz 192.168.190.0/24
VPN-Client Internes Netz 192.168.174.0/24

Beispielszenarien

SSL-RW an S2S-Serverseite verbinden

Beispielszenario 1: SSL-RW an S2S-Serverseite verbinden

VPN RW - S2S.png

Transfernetze eintragen

Die Transfernetze müssen auf den UTMs hinterlegt werden:

  • Hierzu wird das RW-Transfernetz auf der S2S-Serverseite in die Server Netzfreigabe eingetragen:
    VPN Server
    VPN SSL-VPN S2S Server gewünschte Verbindung bearbeiten Bereich Allgemein Servernetzwerke global freigeben: »192.168.192.0/24
  • und das S2S-Clientnetz in der RW-Netz-Freigabe eingetragen:
    VPN Server
    VPN SSL-VPN RW Server gewünschte Verbindung bearbeiten Bereich Allgemein Servernetzwerke freigeben: »192.168.190.0/24
  • Dienst neu starten um Änderungen vollständig zu übernehmen und Routen zu pushen:
    VPN Server
    Anwendungen Anwendungsstatus die Anwendung SSL-VPN stoppen und anschließend starten

Paketfilterregeln erstellen


Es werden insgesamt 4 Paketfilterregeln benötigt. Zwei auf VPN Clientseite, die wie folgt aussehen:
VPN Client

Pos. # Quelle Ziel Dienst NAT Logging Aktion Aktiv
Dragndrop.png Vpn-network.svg RW-Transfer-Netz
Objekt erstellen mit Zone des S2S-Tunnels
Network.svg internes Zielnetz Service-group.svg default-internet
3/Min
UTM v12.7 Paketfilter Sliderbar2.png
ACCEPT Ein
Dragndrop.png Network.svg internes Zielnetz Vpn-network.svg RW-Transfer-Netz
Objekt erstellen mit Zone des S2S-Tunnels
Service-group.svg default-internet
3/Min
UTM v12.7 Paketfilter Sliderbar2.png
ACCEPT Ein

Zwei weitere Paketfilterregeln werden auf der VPN Serverseite benötigt, die wie folgt aussehen:
VPN Server
Dragndrop.png Vpn-network.svg RW-Transfer-Netz Network.svg S2S-Netz der Clientseite Service-group.svg default-internet
3/Min
UTM v12.7 Paketfilter Sliderbar2.png
ACCEPT Ein
Dragndrop.png Network.svg S2S-Netz der Clientseite Vpn-network.svg RW-Transfer-Netz Service-group.svg default-internet
3/Min
UTM v12.7 Paketfilter Sliderbar2.png
ACCEPT Ein

SSL-RW an S2S-Clientseite verbinden

Beispielszenario 2: SSL-RW an S2S-Clientseite verbinden

VPN RW - S2S Client.png

Transfernetze eintragen

Die Transfernetze müssen auf den UTMs hinterlegt werden:

  • Hierzu wird das RW-Transfernetz auf der S2S-Serverseite in die Client Netzfreigabe eingetragen:
    VPN Server
    VPN SSL-VPN S2S Server Client-Gegenstellen gewünschten Client bearbeiten Clientnetzwerke freigeben: »192.168.192.0/24
  • und das S2S-Servernetz in der RW-Netz-Freigabe eingetragen:
    VPN Server
    VPN SSL-VPN RW Server gewünschte Verbindung bearbeiten Bereich Allgemein Servernetzwerke global freigeben: »192.168.175.0/24
  • Dienst neu starten um Änderungen vollständig zu übernehmen und Routen zu pushen:
    VPN Server
    Anwendungen Anwendungsstatus die Anwendung SSL-VPN stoppen und anschließend starten

Paketfilterregeln erstellen


Es werden insgesamt 4 Paketfilterregeln benötigt. Zwei auf VPN Clientseite, die wie folgt aussehen:
VPN Client

# Quelle Ziel Dienst NAT Logging Aktion Aktiv
Dragndrop.png Vpn-network.svg RW-Transfer-Netz Network.svg S2S-Netz der Serverseite Service-group.svg default-internet
3/Min
UTM v12.7 Paketfilter Sliderbar2.png
ACCEPT Ein
Dragndrop.png Network.svg S2S-Netz der Serverseite Vpn-network.svg RW-Transfer-Netz Service-group.svg default-internet
3/Min
UTM v12.7 Paketfilter Sliderbar2.png
ACCEPT Ein

Zwei weitere Paketfilterregeln werden auf der VPN Serverseite benötigt, die wie folgt aussehen:
VPN Server
Dragndrop.png Vpn-network.svg RW-Transfer-Netz
Objekt erstellen mit Zone des S2S-Tunnels
Network.svg internes Zielnetz Service-group.svg default-internet
3/Min
UTM v12.7 Paketfilter Sliderbar2.png
ACCEPT Ein
Dragndrop.png Network.svg internes Zielnetz Vpn-network.svg RW-Transfer-Netz
Objekt erstellen mit Zone des S2S-Tunnels
Service-group.svg default-internet
3/Min
UTM v12.7 Paketfilter Sliderbar2.png
ACCEPT Ein

SSL-RW durch IPSec-S2S

Beispielszenario 3: SSL-RW durch IPSec-S2S

SSL-RW durch IPSec-S2S.png

Transfernetze eintragen

  • Zunächst wird das lokale Netz am Standort B, auf das der Roadwarrior letztlich zugreifen können soll, im RW-Tunnel eingegeben.
    Standort A
    VPN SSL-VPN RW Server gewünschte Verbindung bearbeiten Bereich Allgemein Servernetzwerke global freigeben: »192.168.175.0/24
  • Anschließend wird ein Netzwerkobjekt für das lokale Netz an Standort B (hinter der IPSec-Verbindung) erstellt.
    Standort A
    Firewall Netzwerkobjekte  Schaltfläche Objekt hinzufügen
    Name: Zielnetz Standort B
    Wichtig:
  • Typ Netzwerk (Adresse)
    Die SSL-VPN-Verbindung bekommt nicht mit, daß es sich um eine weitere VPN-Verbindung handelt.
    Daher darf hier kein VPN-Netzwerk ausgewählt werden!
  • Zone external

    • Dienst neu starten um Änderungen vollständig zu übernehmen und Routen zu pushen:
      Standort A
      Anwendungen Anwendungsstatus die Anwendung SSL-VPN stoppen und anschließend starten

    Phase 2 bearbeiten

    • In Phase 2 der Verbindung muss die SSL-Roadwarrior IP-Adresse als Subnetz eingetragen werden.
      Standort A | Standort B
      VPN IPSec  Bereich Verbindungen Phase 2 der gewünschten Verbindung bearbeiten Phase2 → Bereich Subnetze Schaltfläche Subnetz hinzufügen


    • Standort B
      Besteht kein administrativer Zugriff auf den entfernten Standort, muss am lokalen Standort A zusätzlicheine HideNat-Regel angelegt werden.
      Dazu gibt es eine eigene Anleitung. Achtung: Hier ist der lokale Standort der Standort B !

    Paketfilterregel anlegen

    Außerdem müssen die folgenden Paketfilterregeln angelegt werden. Dabei kann der Wiki-Artikel zu IPSec S2S-Ziele mit SSL-VPN erreichen nützlich sein.
    # Quelle Ziel Dienst NAT Logging Aktion Aktiv
    Dragndrop.png Vpn-network.svg RW-Netz Network.svg Zielnetz Standort B Service-group.svg default-internet
    3/Min
    UTM v12.7 Paketfilter Sliderbar2.png
    ACCEPT Ein
    Dragndrop.png Network.svg Zielnetz Standort B Vpn-network.svg RW-Netz Service-group.svg default-internet
    3/Min
    UTM v12.7 Paketfilter Sliderbar2.png
    ACCEPT Ein

    SSL-RW durch WG-S2S (SP zu SP)

    Beispielszenario 4: SSL-RW durch WG-S2S (SP zu SP)

    SSL-RW durch WG-S2S.png

    Der SSL-RW befindet sich bei Standort A und möchte auf ein Gerät bei Standort B zugreifen.

  • Dabei verwenden beide Standorte Securepoint Hardware (ansonsten siehe Szenario 5)

  • Transfernetze eintragen

    • Zunächst wird das lokale Netz aus Standort B, auf das der Roadwarrior letztlich zugreifen können soll, im RW-Tunnel eingegeben.
      VPN SSL-VPN RW Server gewünschte Verbindung bearbeiten Bereich Allgemein Servernetzwerke global freigeben: »192.168.175.0/24
    • Dienst neu starten um Änderungen vollständig zu übernehmen und Routen zu pushen:
      Standort A
      Anwendungen Anwendungsstatus die Anwendung SSL-VPN stoppen und anschließend starten
    • Außerdem wird bei Standort A das SSL-RW Transfernetz in die WireGuard Servernetzwerke eingetragen.
      VPN WireGuard gewünschte Verbindung bearbeiten Servernetzwerke global freigeben: »192.168.192.0/24
    • Bei Standort B wird ebenfalls das SSL-RW Transfernetz eingetragen - allerdings in die WireGuard Peernetzwerke .
      VPN WireGuard Peers gewünschten Peer bearbeiten Peernetzwerke freigeben: »192.168.192.0/24

    Paketfilterregeln erstellen

    Und für Standort B diese:
    Standort B
    # Quelle Ziel Dienst NAT Logging Aktion Aktiv
    Dragndrop.png Network.svg internal-network Vpn-network.svg RW-Transfer-Netz
    in der Zone des WG-Tunnels zu Standort A
    Service-group.svg default-internet
    3/Min
    UTM v12.7 Paketfilter Sliderbar2.png
    ACCEPT Ein
    Dragndrop.png Vpn-network.svg RW-Transfer-Netz
    in der Zone des WG-Tunnels zu Standort A
    Network.svg internal-network Service-group.svg default-internet
    3/Min
    UTM v12.7 Paketfilter Sliderbar2.png
    ACCEPT Ein
    Außerdem müssen Paketfilterregeln erstellt werden.
    Standort A
    Dragndrop.png Vpn-network.svg RW-Transfer-Netz Network.svg WireGuard-Netz
    der Gegenstelle (Standort B)
    Service-group.svg default-internet
    3/Min
    UTM v12.7 Paketfilter Sliderbar2.png
    ACCEPT Ein

    SSL-RW durch WG-S2S (SP zu Fremd)

    Beispielszenario 5: SSL-RW durch WG-S2S (SP zu Fremd)

    SSL-RW durch WG-S2S mit fremd Hardware.png

    Der SSL-RW befindet sich bei Standort A und möchte auf ein Gerät bei Standort B zugreifen.

  • Dabei verwendet Standort A Securepoint Hardware und Standort B fremde Hardware (ansonsten siehe Szenario 4)

  • Transfernetze eintragen

    • Zunächst wird das lokale Netz aus Standort B, auf das der Roadwarrior letztlich zugreifen können soll, im RW-Tunnel eingegeben.
      VPN SSL-VPN RW Server gewünschte Verbindung bearbeiten Bereich Allgemein Servernetzwerke global freigeben: »192.168.175.0/24
    • Dienst neu starten um Änderungen vollständig zu übernehmen und Routen zu pushen:
      Standort A
      Anwendungen Anwendungsstatus die Anwendung SSL-VPN stoppen und anschließend starten
    • Außerdem wird bei Standort A das SSL-RW Transfernetz in die WireGuard Servernetzwerke eingetragen.
      VPN WireGuard gewünschte Verbindung bearbeiten Servernetzwerke global freigeben: »192.168.192.0/24


    • Standort B
      Auf dem entfernten Gerät muss das Roadwarrior-Netz als Allowed IPs konfiguriert werden.

    Paketfilterregeln erstellen

    • Nur für interne Prüfzwecke
    • Standort A

    Bei Standort A, also der Securepoint Hardware, müssen folgende Paketfilterregeln erstellt werden:

    # Quelle Ziel Dienst NAT Logging Aktion Aktiv
    Dragndrop.png Vpn-network.svg RW-Transfer-Netz Network.svg WireGuard-Netz
    der Gegenstelle (Standort B)
    Service-group.svg default-internet HN
    mit internal interface
    3/Min
    UTM v12.7 Paketfilter Sliderbar2.png
    ACCEPT Ein