Keine Bearbeitungszusammenfassung |
|||
| Zeile 30: | Zeile 30: | ||
===Schritt 4 - Einrichtung der Regeln=== | ===Schritt 4 - Einrichtung der Regeln=== | ||
Nachdem die Zonen nun angelegt und auf die entsprechenden Schnittstellen gelegt wurden, müssen die Netzwerkobjekte und Regeln eingerichtet werden. | Nachdem die Zonen nun angelegt und auf die entsprechenden Schnittstellen gelegt wurden, müssen die Netzwerkobjekte und Regeln eingerichtet werden. | ||
Die Netzwerkobjekte werden genau wie bei einem einfachen IPSec-Tunnel erstellt. Es muss darauf geachtet werden, dass je nach Tunnel/Internetleitung die korrekte Zone verwendet wird. | Die Netzwerkobjekte werden genau wie bei einem einfachen IPSec-Tunnel erstellt. Es muss lediglich darauf geachtet werden, dass je nach Tunnel/Internetleitung die korrekte Zone verwendet wird. | ||
<br> | <br> | ||
[[Datei:ipsec-multipath-netobj_1.png|270px|thumb|left|Netzwerkobjekt Tunnel 1]] | [[Datei:ipsec-multipath-netobj_1.png|270px|thumb|left|Netzwerkobjekt Tunnel 1]] | ||
Version vom 26. August 2015, 14:53 Uhr
Einleitung
Viele Firmen sind heutzutage mit mehr als einer Internetleitung ausgestattet und verfügen demnach auch oft über ein so genanntes Multipathrouting. Wird in diesem Zusammenhang eine Standortvernetzung via IPSec genutzt, sind einige wichtige Punkte zu beachten. Im Folgenden erfahren Sie, auf was Sie bei der Einrichtung einer IPSec-Verbindung in Verbindung mit einem Multipathrouting beachten müssen.
IPSec-Tunnel für Multipath vorbereiten
Schritt 1 - Tunnel anlegen
Der IPSec-Tunnel wird wie in unserem IPSec-Site-to-Site-Wik beschrieben angelegt.
Schritt 2 - Tunnel bearbeiten
Ist der Tunnel angelegt, muss in der Phase 1 des Tunnels angepasst werden. Im Feld Route Hint wird das Gateway der Schnittstelle eingetragen, über den der IPSec-Tunnel aufgebaut werden soll.
Beispiel:
IP-Adresse auf eth0 87.139.55.127/29
Gateway der IP: 87.139.55.121
Schritt 3 - Einrichten der Zonen
Dieser Punkt ist nur relevant, wenn über zwei verschiedene Internetleitungen jeweils ein oder mehrere IPSec-Tunnel aufgebaut werden sollen. Laufen die Tunnel nur über eine Internetleitung, überspringen Sie diesen Schritt.
Standardmäßig existieren in der UTM-v11 die Zonen ipsec-vpn und firewall-ipsec-vpn. Mithilfe dieser Zonen werden die Regeln definiert, was auch über unseren entsprechenden Wiki-Eintrag nachvollzogen werden kann.
Die oben genannten Zonen werden für die Definition der Netzwerkobjekte gebraucht. Sollen mehrere IPSec-Tunnel über verschiedene Leitungen aufgebaut werden, so werden pro externem Interface die Zonen ipsec-vpn und firewall-ipsec-vpn zwingend benötigt (natürlich mit einem abweichenden Namen).
Im folgenden Screenshot wurden die Zonen dupliziert und mit einem anderen Namen versehen. In der Netzwerkkonfiguration sieht man nun, dass jedes externe Interface eigene IPSec-Zonen besitzt.
Schritt 4 - Einrichtung der Regeln
Nachdem die Zonen nun angelegt und auf die entsprechenden Schnittstellen gelegt wurden, müssen die Netzwerkobjekte und Regeln eingerichtet werden.
Die Netzwerkobjekte werden genau wie bei einem einfachen IPSec-Tunnel erstellt. Es muss lediglich darauf geachtet werden, dass je nach Tunnel/Internetleitung die korrekte Zone verwendet wird.
Außerdem ist es wichtig, dass bei der HideNAT-Exclude-Regel das korrekte Interface angegeben wird, je nachdem über welche Leitung der Tunnel aufgebaut wird.