Eine Site-to-Site-Verbindung verbindet zwei Netzwerke miteinander. Beispielsweise das lokale Netzwerk einer Hauptstelle mit dem lokalen Netzwerk einer Filiale / Zweigstelle.
Für das Verbinden der beiden Gegenstellen lassen sich öffentliche IP-Adressen, sowie dynamische DNS Einträge, verwenden.
Konfiguration einer IPSec Site-to-Site Verbindung
Nach dem Login auf das Administrations-Interface der Firewall (im Auslieferungszustand: https://192.168.175.1:11115) kann im Menü VPN IPSec Schaltfläche + IPSec Verbindung hinzufügen eine IPSec Verbindung hinzugefügt werden.
Einrichtungsassistent
Schritt 1 - Verbindungstyp
Beschriftung
Wert
Beschreibung
Site to Site
Für die Konfiguration einer
Site to Site
Verbindung wird eben diese ausgewählt.
Schritt 2 - Allgemein
|| IPSec S2S || Name für die Verbindung || class="bild width-m" rowspan="5" |
Authentifizierungsmethode:
PSK
Ein Pre-Shared Key wird verwendet
PSK
|| 12345 || Ein beliebiger PSK
X.509 Zertifikat X.509 Zertifikat:
Auswahl eines Zertifikates
IKE v1IKE v2
Auswahl der IKE Version.
Ohne diese Option wird für jede Subnetzkombination eine eigene SA ausgehandelt. Dies hat besonders bei vielen SAs deutliche Nachteile und führt durch das Design des IPSec-Protokolls zu Limitierungen und zu Einbußen in der Stabilität der Verbindungen. Diese Option kann auch nachträglich bei der Bearbeitung der Konfiguration der Phase 2 mit dem Eintrag Subnetzkombinationen gruppieren konfiguriert werden.
RSA Hier steht nur IKE v1 zu Verfügung.
Schritt 3 - Lokal
LAN1
Beliebige Zeichenfolge. Die Gateway ID fließt in die Authentifizierung mit ein. Dies kann eine IP-Adresse, ein Hostname oder eine Schnittstelle sein. Auf der Gegenstelle muss dieser Wert exakt genau so konfiguriert werden.
Sollte als Gateway-ID eine E-Mail-Adresse verwendet werden, ist es erforderlich vor die ID ein doppeltes @@ einzufügen (Aus mail@… wird @@mail@…). Andernfalls wird die ID als FQDN behandelt
Wird bei Authentifizierungsmethode Zertifikat nach Zertifikatsauswahl automatisch ausgefüllt.
RSA Privater RSA-Schlüssel::
RSA-Site2Site
Privater RSA-Schlüssel zur Identifizierung
Netzwerke freigeben:
»192.168.122.0/24
Schritt 4 - Gegenstelle
|| 192.0.2.192 || Öffentliche IP-Adresse (oder Hostname, der per DNS aufgelöst werden kann) der Gegenstelle || class="bild width-m" rowspan="4" |
|| 192.0.2.192 || ID, die auf der Gegenstelle als lokale ID konfiguriert wurde (beliebige Zeichenfolge)
RSA Öffentlicher RSA-Schlüssel::
RSA-Site2Site
RSA-Schlüssel, der öffentliche Teil mit dem sich die Gegenstelle authentifizieren muss.
Netzwerke freigeben:
»192.168.192.0/24
Beenden des Einrichtungsassistenten mit Fertig
Bei S2S-Verbindungen sollte geprüft werden, ob sich mehrere Subnetze per MULTI_TRAFFIC_SELECTOR zusammen fassen lassen. Damit wird die Anzahl der SAs signifikant reduziert und die Stabilität der Verbindung erhöht. Dazu wird in Phase 2 die Option Subnetzkombinationen gruppieren aktiviert.
{{var | DH-Gruppe (PFS)
DH-Gruppe (PFS):
DH-Group (PFS):
Phase 1
VPN IPSec Bereich Verbindungen Schaltfläche Phase 1
Diese Option deaktivieren für Site to Site-Verbindungen mit DynDNS-Hosts, wenn mehrere IPsec-Verbindungen mit a priori unbekannten Adressen (DynDNS S2S, Roadwarrior) konfiguriert sind.
Startverhalten:
Outgoing
Der Tunnel wird von der UTM initiiert, auch wenn keine Pakete gesendet werden. Eingehende Anfragen werden entgegen genommen.
IncomingDefault wenn Remote Host beliebig
Die UTM nimmt eingehende Tunnelanfragen entgegen. Ausgehend wird keine Verbindung erstellt.
RouteDefault wenn Remote Host benannt
Der Tunnel wird von der UTM nur dann initiiert, wenn Pakete gesendet werden sollen.notempty
Wird nur als Default-Wert gesetzt, wenn als Remote Host / GatewaynichtBeliebige Gegenstelle ausgewählt ist.
RouteDefault wenn Remote Host benannt
Der Tunnel wird von der UTM nur dann initiiert, wenn Pakete gesendet werden sollen.notempty
Wird nur als Default-Wert gesetzt, wenn als Remote Host / GatewaynichtBeliebige Gegenstelle ausgewählt ist.
Ignore
Deaktiviert den Tunnel
Verkehr generieren: Bei Startverhalten Route
Ein
Verhindert unerwünschte Verbindungsabbrüche, wenn kein Datenverkehr stattfindet
Dead Peer Detection:
Ein
Überprüft in einem festgelegtem Intervall, ob der Tunnel noch besteht. Wurde der Tunnel unerwartet beendet, werden die SAs abgebaut. (Nur dann ist es auch möglich einen neuen Tunnel wieder herzustellen.)
Bei Deaktivierung wird automatisch auch die Option Neustart nach Abbruch in Phase 2 deaktiviert.
DPD Timeout:
30 Sekunden
Zeitraum, bevor der Zustand unter Startverhalten wieder hergestellt wird
Unter IKEv2 steht dieser Parameter nicht zur Verfügung. Hier werden die gleichen Werte verwendet, wie für normale Pakete.
DPD Intervall:
10 Sekunden
Intervall der Überprüfung
Compression:
Aus
Kompression wird nicht von allen Gegenstellen unterstützt
MOBIKE aktivieren:
Ja
Dient zur Deaktivierung der MOBIKE Option Die Deaktivierung verhindert, dass verschlüsselte Daten von einer Gegenstelle zusätzlich in 4500udp gekapselt werden, was zu Problemen in der Kommunikation führt.
Abschnitt IKE Einstellungen, die in der UTM und im Client identisch sein müssen:
IKE
Beschriftung
Default UTM
Default NCP Client
Phase 1 IKEv1
Phase 1 IKEv2
Verschlüsselung:
»aes128
AES 128 Bit
Authentifizierung:
»sha2_256
Hash: SHA2 256 Bit
Diffie-Hellman Gruppe:
»ecp521
IKE DH-Gruppe: DH2 (modp1024)
Aktuelle Kombinationen:
aes128-sha2_256-ecp521
Abschnitt IKE Weitere Einstellungen:
Beschriftung
Wert
Beschreibung
Strict:
Aus
Die konfigurierten Parameter (Authentisierungs- und Verschlüsselungsalgorithmen) werden bevorzugt für Verbindungen verwendet
Ein
Es werden keine weiteren Proposals akzeptiert. Eine Verbindung ist nur mit den konfigurierten Parametern möglich.
IKE Lifetime:
Aus3 Stunden
Gültigkeitsdauer der Security Association: Vereinbarung zwischen zwei kommunizierenden Einheiten in Rechnernetzen. Sie beschreibt, wie die beiden Parteien Sicherheitsdienste anwenden, um sicher miteinander kommunizieren zu können. Beim Einsatz mehrerer Dienste müssen auch mehrere Sicherheitsverbindungen aufgebaut werden. (Quelle: Wikipedia 2022) in Phase 1 Kann zusätzlich zu IKE Rekeytime aktiviert Ein werden. Wird die Lifetime gesetzt, muss der Wert größer als die Rekeytime sein.
IKE Lifetime:
1 Stunde
Gültigkeitsdauer der Security Association: Vereinbarung zwischen zwei kommunizierenden Einheiten in Rechnernetzen. Sie beschreibt, wie die beiden Parteien Sicherheitsdienste anwenden, um sicher miteinander kommunizieren zu können. Beim Einsatz mehrerer Dienste müssen auch mehrere Sicherheitsverbindungen aufgebaut werden. (Quelle: Wikipedia 2022) in Phase 1
IKE Rekeytime:
2 Stunden
Die Gültigkeitsdauer, in der die Verbindung hergestellt wird (initial oder nach Abbruch)
notempty
Ab der Version 12.5.0 wird bei bereits bestehenden Verbindungen, die keine Rekeytime gesetzt haben an dieser Stelle der Wert der Lifetime eingetragen und der Wert der Lifetime auf 0 gesetzt.
Dies erhöht die Stabilität der Verbindung signifikant und sollte keinerlei Nachteile mit sich bringen. Wurde bereits ein Wert für die Rekeytime gesetzt (möglich ab v12.4) wird keine Änderung vorgenommen.
Nach Update: (ohne Änderung) ike_lifetime =2 ike_rekeytime = 1
Rekeying:
unbegrenzt (empfohlen)
Anzahl der Versuche, um die Verbindung herzustellen (initial oder nach Abbruch)
Bei E2S-Verbindungen (Roadwarrior) kann die Einstellung 3 mal vermeiden, daß endlos versucht wird eine Verbindung zu nicht korrekt abgemeldeten Geräten herzustellen
Phase 2
VPN IPSec Bereich Verbindungen Schaltfläche Phase 2
Allgemein
Abschnitt Allgemein Einstellungen, die in der UTM und im Client identisch sein müssen:
Muss im NCP-Client auf Main Mode geändert werden! Die UTM unterstützt aus Sicherheitsgründen keinen Aggressive Mode.
Neustart nach Abbruch:
Nein
Wurde die Verbindung unerwartet beendet wird bei Aktivierung der Zustand, der unter Startverhalten in Phase 1 konfiguriert wurde wiederhergestellt.
Es wird automatisch die Dead Peer Detection in Phase 1 aktiviert.
Subnetzkombinationen gruppieren:
Ja
Wird das Gruppieren von der Gegenstelle nicht unterstützt, wird trotz gegenteiliger Statusanzeige in der Übersicht nur das erste Subnetz verbunden.
Sind auf lokaler Seite oder auf der Gegenstelle mehr als ein Netz konfiguriert, wird bei Deaktivierung für jede Subnetzkombination eine eigene SA ausgehandelt. Dies hat besonders bei mehreren Subnetzen viele Subnetzkombinationen und damit viele SAs zur Folge und führt durch das Design des IPSec-Protokolls zu Limitierungen und zu Einbußen in der Stabilität der Verbindungen.
DHCP:
Aus
Bei Aktivierung erhalten die Clients IP-Adressen aus einem lokalen Netz.
Dazu sind weitere Konfigurationen erforderlich, siehe Wiki Artikel zu DHCP für IPSec.
Adress-Pool:
Adress-Pool:
Beschriftung
Wert
Beschreibung
Lokales Netzwerk:
192.168.250.0/24
Das lokale Netzwerk, auf das über die VPN-Verbindung zugegriffen werden soll (wie im Assistenten in Schritt 3 konfiguriert)
Adress-Pool: Nicht bei IPSec DHCP
192.168.22.35/24
Die IP-Adresse (z.B.: 192.168.22.35/32), oder Pool in Form eines Subnetzes (z.B.: 192.168.22.35/26 für den Pool von 192.168.22.0 -192.168.22.63) welche unter IPSec genutzt wird.
Subnetze
Abschnitt Subnetze
Szenario: Alle Subnetze haben untereinander Zugriff
Durch den Assistenten wird automatisch jedes lokale Netz mit jedem remote Netz verbunden.
Mit einem SSH-Login als root lässt sich das Verhalten besonders gut nachvollziehen. Beispiel mit jeweils zwei Subnetzen.
Subnetzkombinationen gruppieren Aktiviert Ein
root@firewall:~# swanctl --list-conns
IPSec$20S2S: IKEv2, reauthentication every 3060s, no rekeying, dpd delay 10s
local: %any
remote: 192.0.2.192
local pre-shared key authentication:
id: 192.168.175.218
remote pre-shared key authentication:
id: 192.0.2.192
IPSec$20S2S: TUNNEL, rekeying every 28260s, dpd action is restart
local: 192.168.218.0/24 192.168.219.0/24
remote: 192.168.192.0/24 192.168.193.0/24
Subnetzkombinationen gruppieren Deaktiviert Aus root@firewall:~# swanctl --list-conns
IPSec$20S2S: IKEv2, reauthentication every 3060s, no rekeying, dpd delay 10s
local: %any
remote: 192.0.2.192
local pre-shared key authentication:
id: 192.168.175.218
remote pre-shared key authentication:
id: 192.0.2.192
IPSec$20S2S_4: TUNNEL, rekeying every 28260s, dpd action is restart
local: 192.168.218.0/24
remote: 192.168.192.0/24
IPSec$20S2S_5: TUNNEL, rekeying every 28260s, dpd action is restart
local: 192.168.218.0/24
remote: 192.168.193.0/24
IPSec$20S2S_6: TUNNEL, rekeying every 28260s, dpd action is restart
local: 192.168.219.0/24
remote: 192.168.192.0/24
IPSec$20S2S_7: TUNNEL, rekeying every 28260s, dpd action is restart
local: 192.168.219.0/24
remote: 192.168.193.0/24
Alle Subnetze haben untereinander Zugriff
Szenario: Nicht alle Subnetze dürfen auf jedes Netz der Gegenstelle zugreifen
Wird in Phase zwei ein lokales Netzwerk nicht mit allen remote Netzwerken (oder ein remote Netzwerk nicht mit allen lokalen) verbunden, wird das bei aktiver Option Subnetkombiantionen gruppierennicht berücksichtigt!
notempty
Durch die Option Subnetzkombinationen gruppieren werden alle lokalen Netzwerke mit allen remote Netzwerken verbunden!
notempty
Portfilterregeln ermöglichen es, den Zugriff zu steuern.
Mit einem SSH-Login als root lässt sich das Verhalten besonders gut nachvollziehen. Beispiel mit jeweils zwei Subnetzen.
Subnetzkombinationen gruppieren Aktiviert Einroot@firewall:~# swanctl --list-conns
IPSec$20S2S: IKEv2, reauthentication every 3060s, no rekeying, dpd delay 10s
Subnetzkombinationen gruppieren Deaktiviert Aus root@firewall:~# swanctl --list-conns
IPSec$20S2S: IKEv2, reauthentication every 3060s, no rekeying, dpd delay 10s
local: %any
remote: 192.0.2.192
local pre-shared key authentication:
id: 192.168.175.218
remote pre-shared key authentication:
id: 192.0.2.192
IPSec$20S2S_4: TUNNEL, rekeying every 28260s, dpd action is restart
local: 192.168.218.0/24
remote: 192.168.192.0/24
IPSec$20S2S_5: TUNNEL, rekeying every 28260s, dpd action is restart
local: 192.168.218.0/24
remote: 192.168.193.0/24
IPSec$20S2S_6: TUNNEL, rekeying every 28260s, dpd action is restart
local: 192.168.219.0/24
remote: 192.168.192.0/24
Das zweite lokale Subnetz wird nur mit einem remote Subnetz verbunden
Troubleshooting
Detaillierte Hinweise zum Troubleshooting finden sich im Troubleshooting-Guide. Sollte als Gateway-ID eine E-Mail-Adresse verwendet werden, ist es erforderlich vor die ID ein doppeltes @@ einzufügen (aus mail@… wird @@mail@…). Andernfalls wird die ID als FQDN behandelt.
Subnetzkombinationen gruppieren: Ein
Sind auf lokaler Seite oder auf der Gegenstelle mehr als ein Netz konfiguriert, wird bei Deaktivierung für jede Subnetzkombination eine eigene SA ausgehandelt. Dies hat besonders bei mehreren Subnetzen viele Subnetzkombinationen und damit viele SAs zur Folge und führt durch das Design des IPSec-Protokolls zu Limitierungen und zu Einbußen in der Stabilität der Verbindungen.
[[Datei: ]]
Phase 2 / Abschnitt Allgemein mit
Alle Subnetze haben untereinander Zugriff
Durch den Assistenten wird automatisch jedes lokale Netz mit jedem remote Netz verbunden.
Mit einem SSH-Login als root lässt sich das Verhalten besonders gut nachvollziehen. Beispiel mit jeweils zwei Subnetzen.
Subnetzkombinationen gruppieren Aktiviert
root@firewall:~# swanctl --list-conns
IPSec$20S2S: IKEv2, reauthentication every 3060s, no rekeying, dpd delay 10s
local: %any
remote: 192.0.2.192
local pre-shared key authentication:
id: 192.168.175.218
remote pre-shared key authentication:
id: 192.0.2.192
IPSec$20S2S: TUNNEL, rekeying every 28260s, dpd action is restart
local: 192.168.218.0/24 192.168.219.0/24
remote: 192.168.192.0/24 192.168.193.0/24
Subnetzkombinationen gruppieren Deaktiviert Aus root@firewall:~# swanctl --list-conns
IPSec$20S2S: IKEv2, reauthentication every 3060s, no rekeying, dpd delay 10s
local: %any
remote: 192.0.2.192
local pre-shared key authentication:
id: 192.168.175.218
remote pre-shared key authentication:
id: 192.0.2.192
IPSec$20S2S_4: TUNNEL, rekeying every 28260s, dpd action is restart
local: 192.168.218.0/24
remote: 192.168.192.0/24
IPSec$20S2S_5: TUNNEL, rekeying every 28260s, dpd action is restart
local: 192.168.218.0/24
remote: 192.168.193.0/24
IPSec$20S2S_6: TUNNEL, rekeying every 28260s, dpd action is restart
local: 192.168.219.0/24
remote: 192.168.192.0/24
IPSec$20S2S_7: TUNNEL, rekeying every 28260s, dpd action is restart
local: 192.168.219.0/24
remote: 192.168.193.0/24
Alle Subnetze haben untereinander Zugriff
Nicht alle Subnetze dürfen auf jedes Netz der Gegenstelle zugreifen
Wird in Phase zwei ein lokales Netzwerk nicht mit allen remote Netzwerken (oder ein remote Netzwerk nicht mit allen lokalen) verbunden, wird das bei aktiver Option Subnetkombiantionen gruppierennicht berücksichtigt! Durch die Option Subnetzkombinationen gruppieren werden alle lokalen Netzwerke mit allen remote Netzwerken verbunden!
Portfilterregeln ermöglichen es, den Zugriff zu steuern.
Mit einem SSH-Login als root lässt sich das Verhalten besonders gut nachvollziehen. Beispiel mit jeweils zwei Subnetzen.
Subnetzkombinationen gruppieren Aktiviert
root@firewall:~# swanctl --list-conns
IPSec$20S2S: IKEv2, reauthentication every 3060s, no rekeying, dpd delay 10s
Subnetzkombinationen gruppieren Deaktiviert Aus root@firewall:~# swanctl --list-conns
IPSec$20S2S: IKEv2, reauthentication every 3060s, no rekeying, dpd delay 10s
local: %any
remote: 192.0.2.192
local pre-shared key authentication:
id: 192.168.175.218
remote pre-shared key authentication:
id: 192.0.2.192
IPSec$20S2S_4: TUNNEL, rekeying every 28260s, dpd action is restart
local: 192.168.218.0/24
remote: 192.168.192.0/24
IPSec$20S2S_5: TUNNEL, rekeying every 28260s, dpd action is restart
local: 192.168.218.0/24
remote: 192.168.193.0/24
IPSec$20S2S_6: TUNNEL, rekeying every 28260s, dpd action is restart
local: 192.168.219.0/24
remote: 192.168.192.0/24
Das zweite lokale Subnetz wird nur mit einem remote Subnetz verbunden
Regelwerk
Um den Zugriff, auf das interne Netz zu gewähren muss die Verbindung erlaubt werden.
Es ist möglich, aber nicht empfehlenswert dies mit impliziten Regeln unter Firewall Implizite Regeln Abschnitt VPN zu konfigurieren.
Diese Impliziten Regeln geben die Ports, die für IPSec Verbindungen genutzt werden, jedoch auf allen Schnittstellen frei.
Implizite Regeln
Grundsätzlich gilt: Es wird nur das freigegeben, was benötigt wird und nur für denjenigen, der es benötigt!
Netzwerkobjekt anlegen
Es muss ein Netzwerkobjekt für das entfernte Netz erstellt werden. Firewall Netzwerkobjekte Schaltfläche Objekt hinzufügen
Existieren mehrere Subnetze auf der Gegenstelle, muss für jedes Subnetz ein Netzwerkobjekt angelegt werden. Wenn die entsprechenden Berechtigungen vergeben werden sollen, lassen sich diese zu Netzwerkgruppen zusammenfassen.
Die IP-Adresse des lokalen Netzwerks der gegenüberliegenden Seite, wie im Installationsassistenten in Schritt 4 - Gegenstelle in der Zeile Netzwerke freigeben eingetragen wurde. In diesem Beispiel also das Netzwerk 192.168.192.0/24.
|| vpn-ipsec || zu wählende Zone
Gruppe:
Optional: Eine oder mehrere Gruppen, zu denen das Netzwerkobjekt gehört.
[[Datei: ]]
Erste Regel
Quelle
internal-network
Host oder Netzwerk (-Pool), der Zugriff auf das interne Netz bekommen soll
Ziel
Ziel
Dienst
Dienst oder Dienstgruppe, die benötigt wird
NAT
Typ
Hidenat Exclude
external-interface
Zweite Regel
Quelle
Host oder Netzwerk (-Pool), der Zugriff auf das interne Netz bekommen soll
Ziel
internal-network
Ziel
Dienst
Dienst oder Dienstgruppe, die benötigt wird
NAT
Kein NAT
Konfiguration des zweiten Gateways
Verwendung einer Securepoint UTM
Auf der entfernten Appliance müssen die Einstellungen analog vorgenommen werden
Mit Hilfe des IPSec-Assistenten wird eine neue IPSec-VPN-Verbindung angelegt
Ein Netzwerkobjekt für das IPSec-Netzwerk wird erstellt
Paketfilterregeln werden erstellt.
Gegenstelle Schritt 2
Es muss die gleiche Authentifizierungsmethode gewählt werden
Es muss der gleiche Authentifizierungs-Schlüssel (PSK, Zertifikat, RSA-Schlüssel) vorliegen
Es muss die gleiche IKE-Version verwendet werden
Gegenstelle Schritt 3
Als Local Gateway ID muss nun die Remote Gateway ID aus Schritt 4 der ersten UTM verwendet werden
Unter Netzwerke freigeben muss ebenfalls das (dort Remote-) Netzwerk aus Schritt 4 der ersten UTM verwendet werden
Gegenstelle Schritt 4
Als Remote Gateway muss die öffentliche IP-Adresse (oder ein Hostname, der per DNS aufgelöst werden kann) der ersten UTM eingetragen werden. (Diese Adresse wurde im Assistenten der ersten UTM nicht benötigt)
Als Remote Gateway ID muss die Local Gateway ID aus Schritt 3 der ersten UTM verwendet werden
Unter Netzwerke freigeben muss ebenfalls das (dort lokale) Netzwerk aus Schritt 3 der ersten UTM verwendet werden
Netzwerkobjekt der Gegenstelle anlegen
Das Netzwerkobjekt der Gegenstelle stellt das Netzwerk der ersten UTM dar. Entsprechend muss unter Adresse' die Netzwerkadresse des lokalen Netzes der ersten UTM eingetragen werden. Im Beispiel 192.168.218.0/24
Hinweise
Transparente Regel
Der transparente HTTP-Proxy
Wenn aus dem Internen Netzwerk via HTTP auf einen Server hinter der Site-to-Site Verbindung zugegriffen werden soll, kann es sein das der transparente HTTP-Proxy die Pakete filtert. Dies kann zu Fehlern bei den Zugriffen auf das Ziel führen. Damit das nicht passiert, muss im Menü Anwendungen HTTP-Proxy Bereich Transparenter Modus Schaltfläche Transparente Regel hinzufügen eine Regel Exclude mit der Quelle internal-network zum Ziel name-vpn-netzwerk-objekt und dem Protokoll HTTP erstellt werden.
