Wechseln zu:Navigation, Suche
Wiki

GRE-Schnittstelle konfigurieren

Version vom 31. Januar 2024, 12:27 Uhr von Lauritzl (Diskussion | Beiträge)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Aus Securepoint Wiki

























































































De.png
En.png
Fr.png









Generic Routing Encapsulation anlegen

Letzte Anpassung zur Version: 12.6.0

Neu:
  • Funktion: Zugehörige Netzwerkobjekte aktualisieren
  • Design Aktualisierung
notempty
Dieser Artikel bezieht sich auf eine Resellerpreview
Aufruf: Netzwerk Netzwerkkonfiguration  Bereich Netzwerkschnittstellen

Einleitung

Über das GRE (=Generic Routing Encapsulation) Protokoll, lassen sich andere Protokolle einkapseln und über Tunnel transportieren. Dabei ist zu beachten, dass die Pakete nicht verschlüsselt werden.

Mögliche Verwendung des GRE Protokolls:

  • Bei PPTP VPN


GRE - Tunnel anlegen

In diesem Beispiel hat die Firewall "Zentrale" auf LAN1 die IP-Adresse 203.0.113.204/24 und die Gegenstelle "Standort-01" die IP-Adresse 203.0.113.203/24 auf LAN1.

Die lokalen Subnetze sind bei "Zentrale" 10.0.0.0/24 sowie 10.1.0.0/24 bei "Standort-01".

Um diese Verbindung aufzubauen, wird noch ein Transfer-Netzwerk benötigt, welches in diesem Beispiel 10.250.0.0/24 lautet.

GRE - Interface anlegen

  • Menü Netzwerk Netzwerkkonfiguration
  • Assistenten + GRE starten
Schritt 1 - Name + lokale IP-Adressen
Beschriftung Wert Beschreibung Schnittstelle hinzufügen UTMbenutzer@firewall.name.fqdnNetzwerkNetzwerkkonfiguration UTM v12.6 GRE Schnittstelle hinzufuegen Schritt1.png
Zentrale
Name: gretun0 Hier kann der gewünschte Name für den GRE-Tunnel eingetragen werden
Lokale IP-Adresse: 10.250.0.1/24  Lokale IP des Transfernetzes, das hiermit festgelegt wird
Lokaler Tunnelendpunkt: 203.0.113.204 Öffentliche IP-Adresse des lokalen Tunnelendpunktes
Schritt 2 - Entfernter Tunnelendpunkt
Entfernter Tunnelendpunkt: 203.0.113.203/--- Öffentliche IP-Adresse des entfernten Tunnelendpunktes UTM v12.6 GRE Schnittstelle hinzufuegen Schritt2.png
Zentrale
Entfernter Tunnelendpunkt
Schritt 3 - Zonen
Zonen: external firewall-external
firewall-internal dmz1 		Hier können die gewünschten Zonen ausgewählt werden UTM v12.6 GRE Schnittstelle hinzufuegen Schritt3.png
Zentrale
Zonen
Neue Zone hinzufügen: Ja
gre		 Bei Bedarf kann hier eine neue Zone erstellt werden
Regeln generieren: Nein Autogenerierte Regeln, die ggf. ersetzt werden müssen
Zugehörige Netzwerkobjekte aktualisieren: notempty
neu ab v12.6.0
Ein Wurde eine bereits existierende Zone ausgewählt, werden alle Netzwerkobjekte, die bereits in dieser Zone liegen und eine Schnittstelle als Ziel haben auf die neue Schnittstelle umgezogen.

Routing

  • Im Menü Netzwerk Netzwerkkonfiguration  Bereich Routing auswählen
  • Eine neue Route hinzufügen: Route hinzufügen
Beschriftung Wert Beschreibung Route hinzufügen UTMbenutzer@firewall.name.fqdnNetzwerkNetzwerkkonfiguration UTM v12.6 GRE Routing.png
Zentrale
Route hinzufügen
Quellnetzwerk:    /24 Die Angabe ist optional
Gateway Typ: Schnittstelle Auf Schnittstelle stellen, um eine Schnittstelle auswählen zu können.
Gateway gretun0 Die gewünschte Schnittstelle wählen.
Zielnetzwerk: 10.1.0.0/24 Zielnetzwerk ist das entfernte Netz der Gegenstelle
Gewichtung 0Link= Hier kann eine höhere Gewichtung eingetragen werden

Paketfilter

Firewallregel erstellen

Die einfache Variante, die Netze miteinander zu verbinden, ist unter Verwendung der Netzwerkobjekte der gesamten Netze und dem Dienst any.

Sicherheit und Kontrolle erhält man jedoch immer nur dann, wenn man dediziert arbeitet.

Deshalb sollten die Dienste der Paketfilter der Anwendung entsprechend angepasst werden. Im Testszenario lässt sich default-internet verwenden, dann sehen die zwei Paketfilter wie folgt aus:

# Quelle Ziel Dienst NAT Aktion Aktiv
Dragndrop.png Network.svg internal-network Network.svg gre-network Service-group.svg default-internet ACCEPT Ein
Dragndrop.png Network.svg gre-network Network.svg internal-network Service-group.svg default-internet ACCEPT Ein

Dedizierte Firewallregel erstellen

Natürlich ist es auch hier ratsam dediziert zu arbeiten, d.h. für jede benötigte Verbindung einzelne Netzwerkobjekte anzulegen und ausschließlich die benötigten Dienste in der Portfilterregel freizuschalten.

In diesem Beispiel soll aus dem Netz "Zentrale" per "smtp" der Mailserver in "Standort-01" erreicht werden. Zusätzlich sollen Clients aus dem Netz der "Standort-01" per RDP auf den Terminalserver der "Zentrale" zugreifen.

  • Unter Firewall Paketfilter  Bereich Netzwerkobjekte öffnen
  • Ein neues Objekt hinzufügen:
Beschriftung Wert Beschreibung Netzwerkobjekt hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte UTM v12.6 GRE dedizierte Firwallregel Netzwerkobjekt erstellen.png
Zentrale
Netzwerkobjekt hinzufügen
Name: xsrv-GRE-mail-01 Hier kann der jeweilige gewünschte Name für das Netzwerkobjekt gewählt werden.
Typ: Host Den jeweiligen Typen auswählen
Adresse: 10.1.0.10/---  Hier wird die IP-Adresse eingetragen
Zone: gre Hier wurde die zuvor erstellte Zone "gre" ausgewählt
Gruppen:     Es können zusätzlich Gruppen ausgewählt werden

Anschließend müssen folgende Paketfilterregeln unter Firewall Paketfilter  Schaltfläche Regel hinzufügen hinzugefügt werden:

# Quelle Ziel Dienst NAT Aktion Aktiv
Dragndrop.png Network.svg internal-network Host.svg xsrv-GRE-mail-01 Tcp.svg smtp ACCEPT Ein
Dragndrop.png Network.svg gre-network Host.svg srv-lg-rdp-01 Tcp.svg ms-rdp ACCEPT Ein


Konfiguration der Gegenstelle

Auf der entfernten UTM müssen die Einstellungen umgekehrt vorgenommen werden.

Schnittstelle hinzufügen

Schritt 1 - Name + lokale IP-Adressen
Beschriftung Wert Beschreibung Schnittstelle hinzufügen UTMbenutzer@firewall.name.fqdnNetzwerkNetzwerkkonfiguration UTM v12.6 GRE Gegenstelle Schnittstelle hinzufuegen Schritt1.png
Gegenstelle
Name: gretun0 Hier kann der gewünschte Name für den GRE-Tunnel eingetragen werden
Lokale IP-Adresse: 10.250.0.2/24 Lokale IP des Transfernetzes, das hiermit festgelegt wird
Lokaler Tunnelendpunkt: 203.0.113.203 Öffentliche IP-Adresse des lokalen Tunnelendpunktes
Schritt 2 - Entfernter Tunnelendpunkt
Entfernter Tunnelendpunkt: 203.0.113.204/---  Was in der "Zentrale" lokal (local) ist, ist im "Standort-01" entfernt (remote). UTM v12.6 GRE Gegenstelle Schnittstelle hinzufuegen Schritt2.png
Gegenstelle
Entfernter Tunnelendpunkt
Schritt 3 - Zonen
Zonen: external firewall-external
firewall-internal dmz1 		Hier können die gewünschten Zonen ausgewählt werden UTM v12.6 GRE Schnittstelle hinzufuegen Schritt3.png
Gegenstelle
Zonen
Neue Zone hinzufügen: Ja
gre		 Bei Bedarf kann hier eine neue Zone erstellt werden
Regeln generieren: Nein Autogenerierte Regeln, die ggf. ersetzt werden müssen
Zugehörige Netzwerkobjekte aktualisieren: notempty
neu ab v12.6.0
Ein Wurde eine bereits existierende Zone ausgewählt, werden alle Netzwerkobjekte, die bereits in dieser Zone liegen und eine Schnittstelle als Ziel haben auf die neue Schnittstelle umgezogen.

Paketfilterregeln

Für eingehende und ausgehende Paketfilterregeln müssen entsprechend benötigte Dienste angelegt werden.

Regeln, die in "Zentrale" ausgehend gestaltet wurden, müssen an "Standort-01" eingehend erstellt werden.

Regel hinzufügen UTMbenutzer@firewall.name.fqdnFirewallPaketfilter UTM v12.6 GRE Gegenstelle Paketfilterregel.png
Gegenstelle
Konfiguration der Gegenstelle - Regel hinzufügen
Abgerufen von „https://wiki.securepoint.de/index.php?title=UTM/NET/GRE&oldid=89705