Wechseln zu:Navigation, Suche
Wiki
Keine Bearbeitungszusammenfassung
(35 dazwischenliegende Versionen von 6 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
{{v11}}
{{DISPLAYTITLE:IPSec Site-to-Site}}


==Einleitung==
== Informationen ==
 
Letze Anpassung zur Version: '''11.7'''
Ein VPN verbindet einen oder mehrere Rechner oder Netzwerke miteinander, indem es ein anderes Netzwerk, z. B. das Internet, als Transportweg nutzt. Das kann z. B. der Rechner eines Mitarbeiters zu Hause oder einer Filiale sein, der mit dem Netzwerk der Zentrale über das Internet verbunden ist. Diese Verbindungsstruktur wird auch Site-to-End genannt.
Für den Benutzer sieht das VPN wie eine normale Netzwerkverbindung zum Zielrechner aus. Den tatsächlichen Übertragungsweg sieht er nicht. Das VPN stellt dem Benutzer eine virtuelle IP-Verbindung zur Verfügung, die durch eine tatsächliche getunnelt wird. Die über diese Verbindung übertragenen Datenpakete werden am Clienten verschlüsselt und vom Securepoint Server wieder entschlüsselt und umgekehrt.
 
Die beiden Gegenstellen müssen nicht über eine feste IP-Adresse verfügen, damit sie per VPN verbunden werden können. Es können auch von beiden Gegenstellen dynamische IP-Adressen verwendet werden. Außerdem können die Netzwerke miteinander verbunden werden, wenn eines der Gegenstellen eine feste IP-Adresse hat und die andere eine dynamische.
Zur Übersicht der möglichen Szenarien finden sich Informatonen auf folgender Seite [[grafische Übersicht möglicher IPSec Verbindungen| Grafische Übersicht möglicher IPSec Verbindungen]].
 
Die Einstellungen können entweder über das Web-Interface oder über das Securepoint Operation Center (SOC) vorgenommen werden. In dieser Schritt für Schritt Anleitung wird zur Konfiguration das Administrations-Webinterface benutzt.
 
== Mit der Appliance verbinden ==
 
Über einen Webbrowser wird das Administrations-Webinterface der Securepoint Appliance aufgerufen. Die aufzurufende Adresse setzt sich aus der IP-Adresse des internen Interfaces der Appliance und dem Port 11115 zusammen. Wurden die Grundeinstellungen beibehalten, lautet die Adresse:
 
https://192.168.175.1:11115
Hierbei sollte beachtet werden, dass das Protokoll HTTPS verwendet werden muss.
 
Da die Appliance ein selbstsigniertes Zertifikat für das Webinterface benutzt, fragt der Webbrowser nach, ob der Vorgang fortgesetzt werden soll.
 
Es ist nötig, diese Sicherheitsabfrage zu bestätigen.
 
Anschließend kann die Anmeldung an der Hauptseite mit dem entsprechenden Benutzernamen und Kennwort erfolgen.
 
Werkseinstellung:
 
Benutzername: admin <br>
Kennwort: insecure
 
[[Datei:login.png|none|thumb|300px|Login]]
 
== Das Anlegen von Netzwerkobjekten ==
Anhand von Netzwerkobjekten werden im Portfilter Regeln für den Datenverkehr erstellt. Es muss lediglich ein Netzwerkobjekt für das IPSec-Netzwerk angelegt werden. In diesem Netz befinden sich alle entfernten Rechner, die sich über die VPN-Verbindung mit dem Gateway verbinden.
 
Wird eine dynamische IP-Adresse in Verbindung mit einem DynDNS-Dienst genutzt, sollte sichergestellt werden, dass das Netzwerkobjekt für das externe Interface richtig konfiguriert ist. In diesem Fall müssen die IP-Adresse des Netzwerkobjektes auf 0.0.0.0 und die Netzmaske auf 0.0.0.0/0 gesetzt sein.
 
=== Netzwerkobjekt anlegen ===
Um ein Netzwerkobjekt anzulegen muss in der Navigationsleise auf den Punkt Firewall geklickt werden und der Eintrag Portfilter aus dem Drop-down-Menü ausgewählt. Anschließend wird in diesem Fenster auf den Reiter Netzwerkobjekte gewechselt.
 
Folgende Objekte sind vorkonfiguriert:
 
external-interface, internal-interface, Internet, internal-network, dmz1-interface, dmz1-network
 
# Ein Netzwerkobjekt für das IPSec Netzwerk wird angelegt, indem auf der Button Objekt hinzufügen betätigt wird
# Im Feld Name wird eine Bezeichnung für das IPSec-Netzwerk eingetragen
# Als Typ wird VPN-Netzwerk gewählt und unter IP-Adresse wird die IP-Adresse des IPSec Netzwerkes eingetragen
# Als Zone wird vpn-ipsec ausgewählt
# Die Einstellungen werden mit dem Button Speichern gesichert.
 
 
[[Datei:netzwerkobjekt_iüpsec_object.png|none|thumb|300px|Netzwerkobjekt]]
 
=== VPN-Verbindung anlegen ===
 
Zum Erstellen der IPSec-VPN-Verbindung wird der Assistent genutzt, der den Nutzer durch den Erstellungsvorgang führt.
<br><br>
# In der Navigationsleiste wird unter dem Menüpunkt VPN der Eintrag IPSec aufgerufen.
# Anschließend wird die Schaltfläche Site-to-Site betätigt.
:Der Site-to-Site-Assistent öffnet sich
: 3. Im Namensfeld wird der Namen für die IPSec-Verbindung eingegeben
: 4. In das Feld Remote Gateway wird die IP-Adresse oder der Hostnamen des entfernten Gateways eingegeben.
: Statt der IP-Adresse kann auch das standardmäßig ausgewählte "any" im Feld übernommen werden.
: 5. Dies wird mit Weiter quittiert.
 
:[[Datei:ipsec_wiz_step1.png|none|thumb|350px|Assistent 1 - Name+Gateway]]
<br>
<br>
# Nun kann die gewünschte Authentifizierung gewählt werden. In dieser Anleitung wird Pre-Shared-Key benutzt. Hierbei handelt es sich um ein Kennwort, dass beide Verbindungsstellen benutzen.
Bemerkung: Funktions- und Designanpassung
# Der Pre-Shared-Key wird eingetragen
# Anschließend wird zwischen IKE v1 und IKE v2 gewählt
:Das IKE-Protokoll wird zum Verwalten und Austauschen von IPSec-Schlüsseln benutzt. Es regelt den Aufbau einer Verbindung und dient der Authentifizierung der Kommunikationspartner und der Aushandlung der Verschlüsselungsparameter sowie der Generierung der Schlüssel.
 
:Wir empfehlen grundsätzlich die Verwendung von IKEv1 Verbindungen.
 
: 4. Dies wird mit Weiter quittiert
 
:[[Datei:ipsec_wiz_step2.png|none|thumb|350px|Assitent 2 -Authentifizierung]]
 
Die Gateway ID fließt in die Authentifizierung mit ein. Dies kann eine IP-Adresse, ein Hostname oder eine E-Mail-Adresse sein. Wenn Zertifikate zu Authentifizierung benutzt werden, muss hier der Distinguished Name (DN) verwendet werden. Dies sind die Zertifikatsparameter, die der Ersteller des Zertifikats angibt.
<br>
<br>
# Im Feld Local Gateway ID wird der zu benutzende Wert für die lokale Appliance eingetragen. Dieser wird entweder aus dem Drop-down-Menü ausgewählt oder manuell eingetragen, indem auf den Werkzeugschlüssel geklickt wird und der gewünscht Wert in das Feld eingetragen wird.
Vorherige Versionen: [[UTM/VPN/IPSec-S2S_v11.6 | 11.6.12]]
# Im Feld Remote Gateway ID wird der zu benutzende Wert für die Gegenstelle eingetragen. Dieser wird entweder aus dem Drop-down-Menü ausgewählt oder manuell eingetragen, indem auf den Werkzeugschlüssel geklickt wird und der gewünscht Wert in das Feld eingetragen wird.
: Sollte hierbei Unsicherheit herrschen, kann bei beiden Feldern jeweils die IP-Adresse 0.0.0.0 eingetragen werden. Das muss dann jedoch auf der Gegenseite auch der Fall sein.
:[[Datei:ipsec_wiz_step3.png|none|thumb|350px| Assistent 3 - Gateway ID]]
 
<br>
<br>
Im letzten Schritt müssen noch die Netzwerke angegeben werden, die miteinander verbunden werden sollen.
<br>
# Im Feld Lokales Netzwerk wird die IP-Adresse des lokalen Netzwerkes angegeben, welches über die VPN-Verbindung erreichbar sein soll an.
# Im Feld Remote Netzwerk wird dementsprechend die IP-Adresse des entfernten Netzwerkes eingetragen.
# Anschließend wird dies mit Betätigen der Fertig-Schaltfläche quittiert.


:[[Datei:ipsec_wiz_step4_2.png|none|thumb|350px|Assistent 4 - zu verbindende Netze]]
==Einleitung==


=== Regeln erstellen ===
Eine Site-to-Site-Verbindung verbindet zwei Netzwerke miteinander.
Es muss mit einer Regel erlaubt werden, dass das externe Interface aus dem Internet per VPN erreichbar ist und dass die IPSec-VPN-Clienten mit dem internen Netzwerk kommunizieren dürfen. Standardmässig sind die VPN-Ports durch die impliziten Regeln freigeschaltet. Die Erstellung wird trotzdem beschrieben.
Beispielsweise das lokale Netzwerk einer Hauptstelle mit dem lokalen Netzwerk einer Filiale / Zweigstelle.  
Für das Verbinden der beiden Gegenstellen lassen sich öffentliche IP-Adressen, sowie dynamische DNS Einträge, verwenden.


 
== Konfiguration einer IPSec Site-to-Site Verbindung ==
# In der Navigationsleiste wird auf den Punkt Firewall geklickt und anschließend im Drop-down-Menü der Eintrag Portfilter aufgerufen
Nach dem Login auf das Administrations-Interface der Firewall (im Auslieferungszustand: https://192.168.175.1:11115) kann unter "VPN" und "IPSec" eine IPSec Verbindung  hinzugefügt werden.
# Im Portfilterdialog wird die Schaltfläche Regel hinzufügen betätigt
<div>
# In der Liste Quelle wird das Netzwerkobjekt "Internet" ausgewählt, in der Liste Ziel das "External Interface" und als Dienst der Eintrag "ipsec"
</div>
# Als Aktion muss der Eintrag ACCEPT gewählt werden.
<div style="clear: both;"></div>
# Die Checkbox AKTIV muss ebenfalls aktiviert sein
===Einrichtungsassistent===
# Im Feld LOGGING kann zwischen den Protokollierungsmethoden NONE, LOG und LOG_ALL gewählt werden
====Schritt 1====
# Im Feld QOS (Quality of Service) kann die Bandbreite für die Regel beschränkt bzw. zugesichert werden
[[Datei:IPSec Verbindung hinzufügen.png |350px|thumb|right| Einrichtungsschritt 1]]
# Der NAT TYP ist NONE
# Im Feld RULE ROUTING können die Regeln an ein bestimmtes Interface gebunden werden
# Unter ZEITPROFIL kann in vorher angelegtes Zeitprofil mit der Regel verbunden werden
# Unter Kommentar kann eine Beschreibung oder Notiz zu der Regel hinzugefügt werden
# Dies wird mit Betätigen der Schaltfläche Speichern quittiert
 
 
# Für die zweite Regel wird ein weiteres Mal auf den Button Regel hinzufügen geklickt
# Diesmal wird als Quelle das interne Netzwerk gewählt
# Als Ziel wird das IPSec-Netzwerk ausgewählt
# Als Dienst wird any verwendet
# Den Eintrag NAT wird auf [[Hidenat_Exclude_V11 | Hidenat Exclude]] gesetzt und als Netzwerkobjekt wird das ausgehendes Interface ausgewählt
# Dies wird ebenfalls wieder mit Betätigen der Schaltfläche Speichern quittiert
 
=== Einstellungen ===
Nun werden die globalen Einstellungen für die IPSec-Verbindungen eingestellt. Diese befinden sich in der Navigationsleiste unter dem Punkt VPN - im Eintrag globale VPN Einstellungen.
 
Auf der Registerkarte Allgemein muss die Funktion NAT Traversal aktiviert werden. Diese Funktion verhindert, dass durch die Adressumsetzung die IPSec-Pakete manipuliert werden, so dass diese verworfen werden.
 
Auf der Registerkarte Nameserver werden Eintragungen für die zu verwendenden DNS Server und WINS Server gemacht. Sollten keine eigenen DNS-Server vorhanden sein, können auch öffentliche DNS-Server verwendet werden, die sich über eine Suchmaschine im Internet finden lassen.
 
[[Datei:ipsec_global_allgemein.png|left|thumb|300px|globale IPSec Einstellungen]]
[[Datei:ipsec_global_IKEv2.png|right|thumb|300px|globale Nameserver Einstellungen]]
 
<br>
<br>
<br>
<br>
<br>
<br>
Im Installationsschritt 1 wird der Verbindungstyp ausgewählt, es stehen folgende Verbindungen zur Verfügung.
<br>
*Roadwarrior
<br>
*'''Site to Site'''
<br>
Für die Konfiguration einer Site to Site Verbindung wird diese ausgewählt.
<br>
<div style="clear: both;"></div>
<br>
<br>
<br>
<br>
<br>
<br>
 
=== Anpassen der IPSec Verbindung ===


IPSec-Verbindungen nutzen das Internet Key Exchange Protokoll (IKE) als Schlüsselverwaltung. Es ist zuständig für die Aushandlung der Sitzungsschlüssel. Das IKE arbeitet immer in zwei Phasen. In der ersten Phase wird eine relativ schwach gesicherte Verbindung zwischen den Gateways aufgebaut, in der eine Security Association (SA) ausgehandelt wird. In der zweiten Phase wird die SA erzeugt. Die SA dient der Identifikation, der Aushandlung des Schlüsselalgorithmus und der Schlüsselgenerierung. Außerdem wird festgelegt, wie lange der Schlüssel gültig ist und eine neue Authentisierung erforderlich ist und welche Subnetze miteinander verbunden werden.
====Schritt 2====
 
[[Datei:IPSec_S2S_Schritt_2.png |350px|thumb|right| Einrichtungsschritt 2]]
# In der Navigationsleiste wird der Punkt VPN angewählt und im Drop-down-Menü der Eintrag IPSec aufgerufen
:Es erscheint der Dialog IPSec Verbindungen.
 
:Hier sind alle angelegten IPSec-Verbindungen ausgelistet.
[[Datei:ipsec_connections.png|right|thumb|300px|Auflistung der IPSec-Verbindungen]]
 
 
: 2. Von hier aus gelangt man zu den Parametern der Phase 1 und 2. Außerdem kann am Ende jeder Zeile der Status der Verbindung eingesehen und die Verbindung gelöscht werden.
: 3. Mit dem Button Laden werden die Verbindungsparameter neu geladen.
: 4. Der Button Initiieren startet die Verbindung.
 
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
 
=== Phase 1 ===
Unter den allgemeinen Einstellungen der Phase 1 sind die Werte für den ersten Verbindungsaufbau eingetragen. Die Art der Authentifizierung und die dazu gehörigen Angaben sind ebenfalls hier abgelegt. Es können noch allgemeine Einstellungen zur Verbindung gemacht werden (Initiator, Dead Peer Detection, Rekeying).
 
[[Datei:tabelle_phase1.png|left|thumb|450px]]
[[Datei:phase1_allgemein_2.png|right|thumb|350px|Allgemeine Einstellungen für Phase 1]]
 
 
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
Im Installationsschritt 2 wird ein Name für die Verbindung gewählt. Zudem wird die Authentifizierungsmethode ausgewählt.
Hier hat man die Möglichkeit zwischen einem Pre-Shared-Key, Zertifikaten oder RSA-Schlüsseln zu wählen.
Außerdem wird hier ebenfalls die IKE Version bestimmt, die genutzt werden soll.
<div style="clear: both;"></div>
====Schritt 3====
[[Datei:IPSec S2S Schritt 3.png |350px|thumb|right| Einrichtungsschritt 3]]
<br>
<br>
Lokale Einstellungen für die Site to Site Verbindung können im Schritt 3 getätigt werden.
Hier wird die lokale Gateway ID eingetragen und das lokale Netzwerk, welches über die VPN-Verbindung verbunden werden soll.
Die Gateway ID fließt in die Authentifizierung mit ein. Dies kann eine IP-Adresse, ein Hostname oder eine Schnittstelle sein.
<div style="clear: both;"></div>
====Schritt 4====
[[Datei:IPSec_Schritt_4_Gegenstelle.png |350px|thumb|right| Einrichtungsschritt 4]]
<br>
<br>
Die Einstellungen für die Gegenstelle werden im Einrichtungsschritt 4 vorgenommen.
Hier wird das Remote Gateway, die Remote Gateway ID sowie das lokale Netzwerk der Gegenstelle angegeben.
Danach kann der Einrichtungsassistent abgeschlossen werden.
<div style="clear: both;"></div>
===Regelwerk===


Auf der Registerkarte IKEv1 werden die Daten für die Verschlüsselung gespeichert. Ist für die Verbindung die zweite Version von IKE gewählt, ändert sich lediglich der Titel des Dialogs zu IKEv2. Standardmäßig ist der Algorithmus 3DES ausgewählt. Diese Verschlüsselung sollte allerdings nicht mehr gewählt werden. Er ist nur ausgewählt, um die Verbindung zu Gegenstellen zu ermöglichen, die die anderen Verschlüsselungsalgorithmen nicht unterstützen.
[[Datei:Implizierte_Regeln_VPN.png|thumb|300px|Implizite Regeln]]
 
[[Datei:tabelle2_phase1.png|left|thumb|450px]]
[[Datei:phase1_ike.png|right|thumb|350px|Allgemeine Einstellungen für Phase 1]]
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
Unter Firewall -> Implizite Regeln -> VPN können die Protokolle, welche für die Verbindung genutzt werden, aktiviert werden. Diese Impliziten Regeln geben die Ports, welche für IPSec Verbindungen genutzt werden, auf die WAN-Schnittstellen frei.
<div style="clear: both;"></div>
[[Datei:Implizite_Regeln_IPSec.png|thumb|300px|Implizite Regeln]]
<br>
<br>
Unter Implizite Regeln -> IPSec -> Accept kann zudem der Ein- und Ausgehende Traffic aller IPSec-Verbindung zugelassen werden. Kein NAT für IPSec Verbindungen nimmt hierbei zusätzlich alle IPSec Verbindungen vom NAT aus.
<div style="clear: both;"></div>


=== Phase 2 ===
In der Phase zwei werden die Daten zu der Verschlüsselung des eigentlichen Verbindungsschlüssels gespeichert.


[[Datei:tabelle_phase2_2.png|left|thumb|450px]]
==== Netzwerkobjekt anlegen ====
[[Datei:phase2_allgemein.png|right|thumb|350px|Allgemeine Einstellungen der Phase 2]]
[[Datei:IPSec_Netzwerkobjekt_anlegen.png|thumb|300px|Netzwerkobjekt]]
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
In den Subnetz-Einstellungen der Phase 2 können beide, zu verbindenden Subnetze eingetragen werden.
Dabei sollte darauf geachtet werden, dass es keine gleichen, zu verbindenden Subnetze gibt.
[[Datei:phase2_subnetze.png|left|thumb|350px|Subnetz-Einstellungen der Phase 2]]
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
Sollte unter dem Punkt Implizite Regeln -> IPSec -> Accept nicht aktiviert sein, so müssen Portfilterregeln erstellt werden um den Traffic zwischen den zu verbindenden Netzen zu erlauben. Dafür muss zuerst ein Netzwerkobjekt für das IPSec-Netzwerk angelegt werden.
Unter Firewall -> Portfilter -> Netzwerkobjekte können neue Netzwerkobjekte angelegt werden.
* Ein Netzwerkobjekt für das IPSec-Netzwerk wird angelegt, indem der Button Objekt hinzufügen betätigt wird.
* Im Feld Name wird ein Name für das IPSec-Netzwerk eingetragen.
* Als Typ wird VPN-Netzwerk gewählt und unter IP-Adresse wird die IP-Adresse des lokalen Netzwerks der gegenüberliegenden Seite eingetragen.
* Als Zone wird vpn-ipsec ausgewählt.
<div style="clear: both;"></div>
==== Portfilterregel anlegen ====
[[Datei:IPSec Regel erstellen.png|thumb|350px|Portfilterregel]]
<br>
<br>
Unter Firewall -> Portfilter -> Regel hinzufügen kann nun eine Regel erstellt werden, um den Zugriff aus dem lokalen Netzwerk in das IPSec-Netzwerk zuzulassen.
* Als Quelle wird das interne Netzwerk ausgewählt.
* Als Ziel wird das IPSec-Netzwerk ausgewählt.
* Als Dienst wird der gewünschte Dienst bzw. die gewünschte Dienstgruppe ausgewählt.
* Falls unter den impliziten Regeln nicht schon aktiviert, wird hier noch der Eintrag NAT auf Hidenat Exclude gesetzt und als Netzwerkobjekt wird das ausgehende Interface ausgewählt.
<div style="clear: both;"></div>
====Regeln und Routing====
[[Datei:UTM_v11.8.5_Firewall_Regel-IPSEC.png|center|700px|IPSec-Regeln]]
<br>
<br>
<div style="clear: both;"></div>
<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Als Dienst muss der benötigte Dienst ausgewählt werden.</span></div>
</div>
<div style="clear: both;"></div>


=== Konfiguration des zweiten Gateways ===
=== Konfiguration des zweiten Gateways ===
<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-red.png]] </div>
<div style="display: flex;"><span style="background-color: #bc1b18;padding:10px;border-radius:4px;font-weight:bold;color:white">Hierbei ist zu beachten, dass die IKE-Version auf beiden Seiten identisch ist.</span></div>
</div>
<div style="clear: both;"></div>


Auf der entfernten Appliance müssen die Einstellungen analog vorgenommen werden.  
Auf der entfernten Appliance müssen die Einstellungen analog vorgenommen werden.  
# Ein Netzwerkobjekt für das IPSec-Netzwerk wird erstellt
* Mit Hilfe des IPSec-Assistenten wird eine neue IPSec-VPN-Verbindung angelegt.
# Mit Hilfe des IPSec-Assistenten wird eine neue IPSec-VPN-Verbindung angelegt - hierbei gilt zu beachten, dass die IKE-Version auf beiden Seiten identisch ist
* Ein Netzwerkobjekt für das IPSec-Netzwerk wird erstellt.
# Eventuell müssen Firewall Regeln erstellt werden, wenn diese nicht automatisch vom Assistenten erstellt worden sind.
* Portfilterregeln werden erstellt.
# Die Einstellungen der Phasen der IPSec-Verbindung werdeb angepasst - hier muss beachtet werden, dass die gleichen Algorithmen für die Schlüsselaushandlung und für die Verschlüsselung eingestellt wurden
:Außerdem sollte nur eine Appliance der Initiator der Verbindung sein.
: 5. Abschließend muss der IPSec-Dienst über die Web-Oberfläche neu gestartet werden, damit die Änderungen aktiv werden.
Es gilt Folgendes zu beachten: Für eine IPSec Site to Site Verbindung ist es erforderlich, falls bereits zwei Default-Routen eingestellt wurden, eine Route-Over Einstellung festzulegen.
Hierfür muss die Phase 1 der IPSec Verbindung dahingehend bearbeitet werden, dass die Option 'Route Over' die Route zum richtigen Gateway enthält.
Dies ist notwendig, weil sonst für die UTM nicht ersichtlich ist, über welches Netz die IPSec-Verbindung geroutet werden soll.




Die Securepoint kann IPSec-Tunnel zu Gegenstellen aufbauen, die eine korrekte IPSec-Implementierung besitzen. Dazu gehören unter anderem: Gateways die Strongswan, Openswan oder Freeswan verwenden (Astaro, IPCop, Cisco IPSec-VPN, Checkpoint usw.).  
Die Securepoint kann IPSec-Tunnel zu Gegenstellen aufbauen, die eine korrekte IPSec-Implementierung besitzen.  
Dazu gehören unter anderem: Gateways die Strongswan, Openswan oder Freeswan verwenden (Astaro, IPCop, Cisco IPSec-VPN, Checkpoint usw.).  
Die Konfiguration der Gegenstelle muss dem Handbuch des Herstellers entnommen werden.  
Die Konfiguration der Gegenstelle muss dem Handbuch des Herstellers entnommen werden.  
Die Parameter müssen mit den Einstellungen auf der Securepoint UTM übereinstimmen.
Die Parameter müssen mit den Einstellungen auf der Securepoint UTM übereinstimmen.
===Hinweise===
====Der transparente HTTP-Proxy====
Wenn von der aus dem Internen Netzwerk via HTTP auf einen Server hinter der Site-to-Site Verbindung zugegriffen werden soll, kann es sein das der transparente HTTP-Proxy die Pakete filtern. Dies kann zu Fehlern bei den Zugriffen auf das Ziel führen. Damit das nicht passiert, muss ein '''Exclude''' mit der Quelle '''internal-network'''' zum Ziel '''name-vpn-netzwerk-objekt'''' und dem Protokoll '''HTTP''' erstellt werden.

Version vom 20. September 2019, 16:00 Uhr


Informationen

Letze Anpassung zur Version: 11.7
Bemerkung: Funktions- und Designanpassung
Vorherige Versionen: 11.6.12

Einleitung

Eine Site-to-Site-Verbindung verbindet zwei Netzwerke miteinander. Beispielsweise das lokale Netzwerk einer Hauptstelle mit dem lokalen Netzwerk einer Filiale / Zweigstelle.

Für das Verbinden der beiden Gegenstellen lassen sich öffentliche IP-Adressen, sowie dynamische DNS Einträge, verwenden.

Konfiguration einer IPSec Site-to-Site Verbindung

Nach dem Login auf das Administrations-Interface der Firewall (im Auslieferungszustand: https://192.168.175.1:11115) kann unter "VPN" und "IPSec" eine IPSec Verbindung hinzugefügt werden.

Einrichtungsassistent

Schritt 1

Einrichtungsschritt 1


Im Installationsschritt 1 wird der Verbindungstyp ausgewählt, es stehen folgende Verbindungen zur Verfügung.

  • Roadwarrior
  • Site to Site

Für die Konfiguration einer Site to Site Verbindung wird diese ausgewählt.

Schritt 2

Einrichtungsschritt 2


Im Installationsschritt 2 wird ein Name für die Verbindung gewählt. Zudem wird die Authentifizierungsmethode ausgewählt. Hier hat man die Möglichkeit zwischen einem Pre-Shared-Key, Zertifikaten oder RSA-Schlüsseln zu wählen. Außerdem wird hier ebenfalls die IKE Version bestimmt, die genutzt werden soll.

Schritt 3

Einrichtungsschritt 3


Lokale Einstellungen für die Site to Site Verbindung können im Schritt 3 getätigt werden. Hier wird die lokale Gateway ID eingetragen und das lokale Netzwerk, welches über die VPN-Verbindung verbunden werden soll. Die Gateway ID fließt in die Authentifizierung mit ein. Dies kann eine IP-Adresse, ein Hostname oder eine Schnittstelle sein.

Schritt 4

Einrichtungsschritt 4


Die Einstellungen für die Gegenstelle werden im Einrichtungsschritt 4 vorgenommen. Hier wird das Remote Gateway, die Remote Gateway ID sowie das lokale Netzwerk der Gegenstelle angegeben. Danach kann der Einrichtungsassistent abgeschlossen werden.

Regelwerk

Implizite Regeln


Unter Firewall -> Implizite Regeln -> VPN können die Protokolle, welche für die Verbindung genutzt werden, aktiviert werden. Diese Impliziten Regeln geben die Ports, welche für IPSec Verbindungen genutzt werden, auf die WAN-Schnittstellen frei.

Implizite Regeln


Unter Implizite Regeln -> IPSec -> Accept kann zudem der Ein- und Ausgehende Traffic aller IPSec-Verbindung zugelassen werden. Kein NAT für IPSec Verbindungen nimmt hierbei zusätzlich alle IPSec Verbindungen vom NAT aus.


Netzwerkobjekt anlegen

Netzwerkobjekt


Sollte unter dem Punkt Implizite Regeln -> IPSec -> Accept nicht aktiviert sein, so müssen Portfilterregeln erstellt werden um den Traffic zwischen den zu verbindenden Netzen zu erlauben. Dafür muss zuerst ein Netzwerkobjekt für das IPSec-Netzwerk angelegt werden. Unter Firewall -> Portfilter -> Netzwerkobjekte können neue Netzwerkobjekte angelegt werden.

  • Ein Netzwerkobjekt für das IPSec-Netzwerk wird angelegt, indem der Button Objekt hinzufügen betätigt wird.
  • Im Feld Name wird ein Name für das IPSec-Netzwerk eingetragen.
  • Als Typ wird VPN-Netzwerk gewählt und unter IP-Adresse wird die IP-Adresse des lokalen Netzwerks der gegenüberliegenden Seite eingetragen.
  • Als Zone wird vpn-ipsec ausgewählt.

Portfilterregel anlegen

Portfilterregel


Unter Firewall -> Portfilter -> Regel hinzufügen kann nun eine Regel erstellt werden, um den Zugriff aus dem lokalen Netzwerk in das IPSec-Netzwerk zuzulassen.

  • Als Quelle wird das interne Netzwerk ausgewählt.
  • Als Ziel wird das IPSec-Netzwerk ausgewählt.
  • Als Dienst wird der gewünschte Dienst bzw. die gewünschte Dienstgruppe ausgewählt.
  • Falls unter den impliziten Regeln nicht schon aktiviert, wird hier noch der Eintrag NAT auf Hidenat Exclude gesetzt und als Netzwerkobjekt wird das ausgehende Interface ausgewählt.

Regeln und Routing

IPSec-Regeln


Alert-yellow.png
Als Dienst muss der benötigte Dienst ausgewählt werden.

Konfiguration des zweiten Gateways

Alert-red.png
Hierbei ist zu beachten, dass die IKE-Version auf beiden Seiten identisch ist.


Auf der entfernten Appliance müssen die Einstellungen analog vorgenommen werden.

  • Mit Hilfe des IPSec-Assistenten wird eine neue IPSec-VPN-Verbindung angelegt.
  • Ein Netzwerkobjekt für das IPSec-Netzwerk wird erstellt.
  • Portfilterregeln werden erstellt.


Die Securepoint kann IPSec-Tunnel zu Gegenstellen aufbauen, die eine korrekte IPSec-Implementierung besitzen. Dazu gehören unter anderem: Gateways die Strongswan, Openswan oder Freeswan verwenden (Astaro, IPCop, Cisco IPSec-VPN, Checkpoint usw.). Die Konfiguration der Gegenstelle muss dem Handbuch des Herstellers entnommen werden. Die Parameter müssen mit den Einstellungen auf der Securepoint UTM übereinstimmen.

Hinweise

Der transparente HTTP-Proxy

Wenn von der aus dem Internen Netzwerk via HTTP auf einen Server hinter der Site-to-Site Verbindung zugegriffen werden soll, kann es sein das der transparente HTTP-Proxy die Pakete filtern. Dies kann zu Fehlern bei den Zugriffen auf das Ziel führen. Damit das nicht passiert, muss ein Exclude mit der Quelle internal-network' zum Ziel name-vpn-netzwerk-objekt' und dem Protokoll HTTP erstellt werden.