Wechseln zu:Navigation, Suche
Wiki
Zeile 70: Zeile 70:




*Gehen Sie auf ''Firewall=>Prortfilter=>Netzwerkobjeke''
*Gehen Sie auf ''Firewall=>Portfilter=>Netzwerkobjeke''
*Fügen Sie ein neues Objekt hinzu
*Fügen Sie ein neues Objekt hinzu
*Geben Sie dem Objekt einen Namen
*Geben Sie dem Objekt einen Namen

Version vom 8. Juni 2017, 13:00 Uhr


Informationen

Letze Anpassung zur Version: 11.7
Bemerkung: Artikelanpassung
Vorherige Versionen: -

Einleitung

Über das GRE (=Generic Routing Encapsulation) Protokoll, lassen sich andere Protokolle einkapseln und über Tunnel transportieren. Dabei ist zu beachten das die Pakete nicht verschlüsselt werden.

Mögliche Verwendung des GRE Protokolls:

  • Bei PPTP VPN

GRE - Tunnel anlegen

In diesem Beispiel haben die Firewalls auf eth0 eine 192.168.6.44/24 und die Gegenstelle 192.168.6.45/24 IP - Adresse. Die Lokalen Subnetze sind 192.168.115.0/24 und 192.168.117.0/24


Zonen erstellen

  • Wechseln Sie auf Netzwerk => Zoneneinstellungen
  • Fügen Sie 2 neue Zonen hinzu: gre und firewall-gre
  • Beachten Sie bei firewall-gre unter Flags den Haken bei Interface zu setzen.
Zone anlegen
Firewall Zone anlegen



















GRE - Interface anlegen

  • Gehen Sie auf Netzwerk => Netzwerkkonfiguration
  • Klicken Sie auf "+GRE"
  • Die Lokale IP-Adresse ist 192.168.116.1/24
  • Der Lokale Tunnelendpunkt ist 192.168.6.44
  • Der Entfernte Tunnelendpunkt hat die IP 192.168.6.45
  • Als Zonen wählen Sie gre und firewall-gre
Lokale Einstellungen
Entfernte Einstellungen





Zonen auf das Interface binden

















Routing

  • Gehen Sie auf Netzwerk=>Netzwerkkonfiguration=>Routing
  • Fügen Sie eine neue Route hinzu
  • Gateway ist das GRE - Interface (gretunX)
  • Zielnetzwerk ist das entfernte Netz der Gegenstelle
Route hinzufügen

Portfilter

Netzwerkobjekt hinzufügen

  • Gehen Sie auf Firewall=>Portfilter=>Netzwerkobjeke
  • Fügen Sie ein neues Objekt hinzu
  • Geben Sie dem Objekt einen Namen
  • Als wählen Typ Sie Netzwerk(Addresse)
  • Unter Adresse tragen Sie das Netz der Gegenstelle mit der dazugehörigen Maske
  • Unter Zone wählen Sie die neu angelegte GRE-Zone aus.
  • Das Feld Gruppe können Sie leer lassen
  • Klicken Sie auf Speichern
Netzwerkobjekt anlegen

Firewallregel erstellen

  • Wechseln Sie zurück in den Portfilter
  • Fügen Sie eine neue Regel hinzu
  • Quelle ist das internal-network
  • Ziel ist das so eben anglegte entfernte Netz
  • Als Dienst wählen Sie any
  • Klicken Sie auf Speichern
Zugriff vom entfernten Netz erlauben
  • Fügen Sie noch eine weitere Regel hinzu
  • Quelle ist das Entfernte Netz
  • Ziel ist das internal-network
  • Als Dienst wählen Sie any
  • Klicken Sie auf Speichern
Zugriff auf das Lokale Netz vom entfernten Netz freigeben

Konfiguration der Gegenstelle

Auf der entfernten Appliance müssen die Einstellungen analog vorgenommen werden.

  • Erstellen Sie ein Netzwerkobjekt für das Entfernte-Netzwerk.
  • Legen Sie ein GRE Interface mit Hilfe des Schnittstellen-Assistenten an.
  • Erstellen Sie die Firewall Regeln um die Kommunikation zu erlauben.