Wechseln zu:Navigation, Suche
Wiki

IPSec Site-to-Site-Ziele mit einem SSL-VPN erreichen

Version vom 4. Februar 2025, 11:23 Uhr von Lauritzl (Diskussion | Beiträge)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Aus Securepoint Wiki


















































































SSL-RW durch IPSec-S2S.png
Netzwerkskizze Ausgangslage
De.png
En.png
Fr.png









Mit einem SSL-VPN Roadwarrior auf ein Netzwerk hinter einer IPSec Site-to-Site Verbindung zugreifen

Letzte Anpassung zur Version: 12.6.0

Neu:
  • Aktualisierung zum Redesign des Webinterfaces
Zuletzt aktualisiert: 
    02.2025
    • Beispiel an Best Practice angeglichen (Grafik, Standorte, IP-Adressen)
notempty
Dieser Artikel bezieht sich auf eine Resellerpreview


Ausgangslage

  • Ein Netzwerk am Standort A ist über eine IPSec-Site-to-Site-Verbindung mit einem Netzwerk an Standort B verbunden
  • Es besteht eine SSL-VPN-Verbindung von einem Roadwarrior zu dem Netzwerk an Standort B

Ziel:

  • Das Interne Netzwerk an Standort A soll für den Roadwarrior über die SSL-VPN-Verbindung zu Standort B erreichbar sein.


Konfiguration:

  • Standort A:
    Internes Netzwerk: 192.168.174.0/24
  • Standort B:
    Internes Netzwerk: 192.168.175.0/24
  • Roadwarrior:
    SSL-VPN-Verbindung zu Standort B
    Transfernetz-IP: 192.168.192.0/24


IPSec Site-to-Site Verbindung einrichten

Ein Anleitung zur Konfiguration einer IPSec-Site-to-Site Verbindung gibt es in diesem Wiki.


SSL-VPN Verbindung einrichten

Ein Anleitung zur Konfiguration einer SSL-VPN Verbindung für Roadwarrior gibt es in diesem Wiki.

Anpassen der Konfiguration

SSL-VPN-Verbindung bearbeiten

Standort B Anpassen der SSL-VPN-Roadwarrior Verbindung unter VPN SSL-VPN  Schaltfläche der Verwendeten Verbindung, Reiter Allgemein

Beschriftung Wert Beschreibung SSL-VPN-Verbindung bearbeiten UTMbenutzer@firewall.name.fqdnVPNSSL-VPN UTM v14.0.1 SSL-VPN zu IPSec Servernetzwerke.pngServernetzwerke hinzufügen
Servernetzwerke freigeben: »192.168.175.0/24»192.168.174.0/24 In diesem Beispiel wurde das interne Netzwerk des Standortes B (192.168.175.0/24) bereits durch die SSL-VPN-Verbindung freigegeben.
Zusätzlich muss nun noch das interne Zielnetzwerk an Standort A, auf das der Roadwarrior zugreifen soll freigegeben werden.
Speichern und schließen
 Angaben mit der Schaltfläche Speichern übernehmen
SSL-VPN Verbindung neu starten mit der Schaltfläche
Neustarten
  • Die SSL-VPN-Verbindung auf dem Roadwarrior muss einmal beendet und neu aufgebaut werden, damit das neue Servernetzwerk gepuscht werden kann


    • Konfiguration mit Anpassung der IPSec-Verbindung

    Das Transfernetz des Roadwarriors muss auf beiden UTMs in der Phase 2 der IPSec Verbindung eingetragen werden.
    Konfiguration unter VPN IPSec  Schaltfläche Phase 2 der verwendeten Verbindung, Bereich Subnetze, Schaltfläche IPSec Verbindung hinzufügen


    Anpassen der IPSec-Verbindung
    Standort A
    Beschriftung Wert Beschreibung Subnetz hinzufügen UTMbenutzer@firewall.name.fqdnVPNIPSec UTM v14.0.1 SSL-VPN zu IPSec Phase2 Subnetz-hinzufuegenA.pngSubnetz hinzufügen in Phase 2 / Standort A Phase 2 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPsec UTM v14.0.1 SSL-VPN zu IPSec Phase2 SubnetzeA.pngErgänzte Subnetze in Phase 2 / Standort A

    Lokales Netzwerk: 192.168.174.0/24 Das lokale Zielnetzwerk muss am Standort A als Lokales Netzwerk eingetragen werden
    Remote Netzwerk: 192.168.192.0/24 Das Transfernetz des Roadwarriors (hier 192.168.192.0/24) muss am Standort A als Remote-Netzwerk eingetragen werden
    Subnetze hinzufügen mit
    Speichern und schließen

    Änderungen der Phase 2 übernehmen ebenfalls mit der Schaltfläche

    IPSec-Verbindung neu starten mit der Schaltfläche
    Neustarten
    Standort B
    Beschriftung Wert Beschreibung Subnetz hinzufügen UTMbenutzer@firewall.name.fqdnVPNIPSec UTM v14.0.1 SSL-VPN zu IPSec Phase2 Subnetz-hinzufuegen.pngSubnetz hinzufügen in Phase 2 / Standort B
    Phase 2 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPsec UTM v14.0.1 SSL-VPN zu IPSec Phase2 Subnetze.pngErgänzte Subnetze in Phase 2 / Standort B
    Lokales Netzwerk: 192.168.192.0/24 Das Transfernetz des Roadwarriors (hier 192.168.192.0/24) muss am Standort B als Lokales Netzwerk eingetragen werden
    Remote Netzwerk: 192.168.174.0/24 Das interne Zielnetzwerk (in Standort A) muss am Standort B als Remote-Netzwerk eingetragen werden
    Subnetze hinzufügen mit
    Speichern und schließen

    Änderungen der Phase 2 übernehmen ebenfalls mit der Schaltfläche

    IPSec-Verbindung neu starten mit der Schaltfläche
    Neustarten


    Netzwerkobjekt am Standort A anlegen

    Standort A Diese Regel ist nicht erforderlich, wenn die IPSec-Verbindung über implizite Regeln erlaubt wurde.
    Davon ist jedoch im Regelfall abzuraten, da implizite Regeln die Ports, die für IPSec Verbindungen genutzt werden, allen Schnittstellen freigeben.
    Netzwerkobjekt anlegen im Reiter Firewall Netzwerkobjekte  Schaltfläche Objekt hinzufügen

    Beschriftung Wert Beschreibung Netzwerkobjekt hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte UTM v14.0.1 SSL-VPN zu IPSec Netzwerkobjekt StandortA.png
    Name SSL-VPN-RW-Network frei wählbarer Name
    Typ: VPN-Netzwerk Auch, wenn es sich nur um einen einzigen Roadwarrior handelt, wird für die Anbindung eine Tunnel-Netz-IP verwendet. Daher ist hier der Typ Netzwerk auszuwählen.
    Adresse: 192.168.192.0/24 Die Netz-IP des SSL-VPN Transfer Netzes aus Standort B
    Zone: vpn-ipsec Die Zone entspricht der IPSec-Verbindung
    Gruppen:     Ggf. kann das Netzwerkobjekt einer Gruppe hinzugefügt werden
    Speichern und schließen
    		 Netzwerkobjekt mit dieser Schaltfläche speichern und hinzufügen
    Beschriftung Wert Beschreibung Netzwerkobjekt hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte UTM v14.0.1 SSL-VPN zu IPSec Netzwerkobjekt IPSec Ziel StandortA.png
    Name: IPSec Ziel frei wählbarer Name
    Typ: VPN-Netzwerk
    Adresse: 192.168.175.0/24 Die Netz-IP des internen Zielnetzwerkes, auf das zugegriffen werden soll
    Zone: vpn-ipsec Die Zone entspricht der IPSec-Verbindung
    Gruppen:     Ggf. kann das Netzwerkobjekt einer Gruppe hinzugefügt werden
    Speichern und schließen
    		 Netzwerkobjekt mit dieser Schaltfläche speichern und hinzufügen


    Paketfilter-Regel Standort A

    Standort A

    Quelle Vpn-network.svg SSL-VPN-RW-Network Netzwerkobjekt des Roadwarrior-Netzwerkes
    Ziel Network.svg internal-network Internes Zielnetzwerk, auf daß der Roadwarrior zugreifen können soll
    Dienst Service-group.svg xyz Gewünschter Dienst oder Dienstgruppe


    Anzeige der Paketfilter-Regel in der Übersicht

    # Quelle Ziel Dienst NAT Aktion Aktiv
    Bereits existierende Regel, die den Aufbau des IPSec-Tunnels ermöglicht
    Diese Regel ist nicht erforderlich, wenn die IPSec-Verbindung über implizite Regeln erlaubt wurde.
    Davon ist jedoch im Regelfall abzuraten, da implizite Regeln die Ports, die für IPSec Verbindungen genutzt werden, allen Schnittstellen freigeben.
    		Dragndrop.png 4 World.svg internet Interface.svg external-interface Service-group.svg ipsec Accept Ein
    Existierende Regel, die den Zugriff des lokalen Netzwerkes auf das IPSec-Netzwerk erlaubt
    Diese Regel ist nicht erforderlich, wenn die IPSec-Verbindung über implizite Regeln erlaubt wurde.
    Davon ist jedoch im Regelfall abzuraten, da implizite Regeln die Ports, die für IPSec Verbindungen genutzt werden, allen Schnittstellen freigeben.
    		Dragndrop.png 5 Network.svg internal-network Vpn-network.svg IPSec-Network Service-group.svg Gewünschter Dienst oder Dienstgruppe HNE Accept Ein
    Existierende Regel, die den Zugriff des IPSec-Netzwerkes auf das lokale Netzwerk erlaubt
    Diese Regel ist nicht erforderlich, wenn die IPSec-Verbindung über implizite Regeln erlaubt wurde.
    Davon ist jedoch im Regelfall abzuraten, da implizite Regeln die Ports, die für IPSec Verbindungen genutzt werden, allen Schnittstellen freigeben.
    		Dragndrop.png 6 Vpn-network.svg IPSec Network Network.svg internal-network Service-group.svg Gewünschter Dienst oder Dienstgruppe Accept Ein
    Neue Regel, die dem Roadwarrior über das SSL-VPN-Netzwerkobjekt den Zugriff auf das interne Netzwerk erlaubt Dragndrop.png 7 Vpn-network.svg SSL-VPN-RW-Network Network.svg internal-network Service-group.svg Gewünschter Dienst oder Dienstgruppe Accept Ein
  • Die Regel wird erst angewendet, wenn die Schaltfläche
    Regeln aktualisieren
    betätigt wird!


    • Netzwerkobjekt am Standort B anlegen

    Standort B Anlegen eines Netzwerkobjektes für das Zielnetzwerk unter Firewall Netzwerkobjekte  Schaltfläche Objekt hinzufügen

    Beschriftung Wert Beschreibung Netzwerkobjekt hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte UTM v14.0.1 SSL-VPN zu IPSec Netzwerkobjekt IPSec Ziel StandortB.png
    Name: IPSec Ziel frei wählbarer Name
    Typ: VPN-Netzwerk
    Adresse: 192.168.174.0/24 Die Netz-IP des internen Zielnetzwerkes, auf das zugegriffen werden soll
    Zone: vpn-ipsec Die Zone entspricht der IPSec-Verbindung
    Gruppen:     Ggf. kann das Netzwerkobjekt einer Gruppe hinzugefügt werden
    Speichern und schließen
    		 Netzwerkobjekt mit dieser Schaltfläche speichern und hinzufügen


    Paketfilter-Regel Standort B

    Standort B

    Quelle Vpn-network.svg SSL-VPN-RW-Network Netzwerkobjekt des Roadwarrior-Netzwerkes
    Ziel Vpn-network.svg IPSec Ziel Netzwerk, auf das zugegriffen werden soll
    Dienst Service-group.svg xyz Gewünschter Dienst oder Dienstgruppe
    Speichern der Regel mit der Schaltfläche
    Speichern und schließen


    Anzeige der Paketfilter-Regel in der Übersicht

    # Quelle Ziel Dienst NAT Aktion Aktiv
    Bereits existierende Regel, die den Aufbau des IPSec-Tunnels ermöglicht
    Diese Regel ist nicht erforderlich, wenn die IPSec-Verbindung über implizite Regeln erlaubt wurde.
    Davon ist jedoch im Regelfall abzuraten, da implizite Regeln die Ports, die für IPSec Verbindungen genutzt werden, allen Schnittstellen freigeben.
    		Dragndrop.png 4 World.svg internet Interface.svg external-interface Service-group.svg ipsec Accept Ein
    Existierende Regel, die den Zugriff des lokalen Netzwerkes auf das IPSec-Netzwerk erlaubt
    Diese Regel ist nicht erforderlich, wenn die IPSec-Verbindung über implizite Regeln erlaubt wurde.
    Davon ist jedoch im Regelfall abzuraten, da implizite Regeln die Ports, die für IPSec Verbindungen genutzt werden, allen Schnittstellen freigeben.
    		Dragndrop.png 5 Network.svg internal-network Vpn-network.svg IPSec-Network Service-group.svg Gewünschter Dienst oder Dienstgruppe HNE Accept Ein
    Existierende Regel, die den Zugriff des IPSec-Netzwerkes auf das lokale Netzwerk erlaubt
    Diese Regel ist nicht erforderlich, wenn die IPSec-Verbindung über implizite Regeln erlaubt wurde.
    Davon ist jedoch im Regelfall abzuraten, da implizite Regeln die Ports, die für IPSec Verbindungen genutzt werden, allen Schnittstellen freigeben.
    		Dragndrop.png 6 Vpn-network.svg IPSec Network Network.svg internal-network Service-group.svg Gewünschter Dienst oder Dienstgruppe Accept Ein
    Neue Regel, die dem Roadwarrior den Zugriff auf das IPSec-Zielnetzwerk erlaubt Dragndrop.png 7 Vpn-network.svg SSL-VPN-RW-Network Network.svg IPSec Ziel Service-group.svg Gewünschter Dienst oder Dienstgruppe Accept Ein
  • Die Regel wird erst angewendet, wenn die Schaltfläche
    Regeln aktualisieren
    betätigt wird!


    • Konfiguration mit HideNat-Regel

    Besteht kein Zugriff auf die Konfiguration an Standort A, kann auch eine Regel mit HideNat verwendet werden. Dies ersetzt dann die Übergabe der Netz-IP des SSL-VPN-Transfernetzes in Phase 2 der IPSec-Verbindung.

    notempty
    Da hierbei IP-Adressen ausgetauscht werden, kann dies zu Problemen z.B. mit VoIP oder FTP führen.


    Netzwerkobjekt am Standort B anlegen

    Standort B Anlegen eines Netzwerkobjektes für das Zielnetzwerk unter Firewall Netzwerkobjekte  Schaltfläche Objekt hinzufügen

    Beschriftung Wert Beschreibung Netzwerkobjekt hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte UTM v14.0.1 SSL-VPN zu IPSec HideNat Netzwerkobjekt.png
    Name: IPSec Ziel frei wählbarer Name
    Typ: Netzwerk (Adresse) Wichtig: Die SSL-VPN-Verbindung bekommt nicht mit, daß es sich um eine weitere VPN-Verbindung handelt.
    Daher darf hier kein VPN-Netzwerk ausgewählt werden!
    Adresse: 192.168.174.0/24 Die Netz-IP des internen Zielnetzwerkes, auf das zugegriffen werden soll
    Zone: external external
    Gruppen:     Ggf. kann das Netzwerkobjekt einer Gruppe hinzugefügt werden
    Speichern und schließen
    		 Netzwerkobjekt mit dieser Schaltfläche speichern und hinzufügen


    Paketfilter-Regel Standort B

    Standort B

    Quelle Vpn-network.svg SSL-VPN-RW-Network Netzwerkobjekt des Roadwarrior-Netzwerkes
    Ziel Host.svg IPSec Ziel Netzwerk, auf das zugegriffen werden soll
    Dienst Service-group.svg xyz Gewünschter Dienst oder Dienstgruppe
    NAT
     Typ:    		 Hidenat Die Adressen müssen vom Roadwarrior-Netz in das Zielnetzwerk übersetzt werden
    NAT
     Netzwerkobjekt    		 Interface.svg internal-interface
  • Das SSL-VPN-Netzwerk wird an dieser Stelle wie ein internes Netzwerk behandelt!
    • Speichern der Regel mit der Schaltfläche
    Speichern und schließen


    Anzeige der Paketfilter-Regel in der Übersicht

    # Quelle Ziel Dienst NAT Aktion Aktiv
    Dragndrop.png 7 Vpn-network.svg SSL-VPN-RW-Network Host.svg IPSec Ziel Service-group.svg Gewünschter Dienst oder Dienstgruppe HN Accept Ein
  • Die Regel wird erst angewendet, wenn die Schaltfläche
    Regeln aktualisieren
    betätigt wird!
    • Abgerufen von „https://wiki.securepoint.de/index.php?title=UTM/VPN/SSL_VPN_zu_IPSec-Ziel&oldid=94557