Wechseln zu:Navigation, Suche
Wiki
Keine Bearbeitungszusammenfassung
Keine Bearbeitungszusammenfassung
Zeile 11: Zeile 11:
====Zentrale====
====Zentrale====
=====Netzwerkvorgaben=====
=====Netzwerkvorgaben=====
Für den Anschluss eines Modem an der UTM wird eine [[Konfiguration_PPPoE_UTMV11 | PPPoE]] Schnittstelle eingerichtet und eine Standard Route über diese Schnittstelle.<br>
In unserem Fall ist es die erste PPPoE Schnittstelle, die dann die Bezeichnung ppp0 erhält.
[[Datei:singlepath_pppoe_zentrale_nk.png|600px|center]]
[[Datei:singlepath_pppoe_zentrale_nk.png|600px|center]]
[[Datei:singlepath_pppoe_beide_dr.png|600px|center]]
[[Datei:singlepath_pppoe_beide_dr.png|600px|center]]
Zeile 16: Zeile 18:
=====IPSec Phase1=====
=====IPSec Phase1=====
[[Datei:singlepath_ipsec_p1_zentrale.png|300px|right]]
[[Datei:singlepath_ipsec_p1_zentrale.png|300px|right]]
'''Local Gateway:''' Da die Firewall nur eine Leitung (Single-Path) und damit nur eine Route zum Internet hat, kann hier ''defaultroute'' ausgewählt bleiben. Dieser Wert wird von der UTM aus dem Routing ausgelesen und automatisch für diese IPSec-Verbindung übernommen.<br>
'''Route Over:''' Dieses wird ebenfalls aus dem Routing übernommen und automatisch im Hintergrund eingetragen. Daher kann dieses Feld bei einer Single-Path Konfiguration frei bleiben.<br>
'''Local Gateway ID:''' Bei der ID handelt es sich um ein zweites Authentifizierungsmerkmal neben den Pre-Shared Key oder den Zertifikaten. In unserem Beispiel verwenden wir die öffentliche IP-Adresse, welche von der Schnittstelle ''ppp0'' ausgelesen und übernommen wird. Es können aber auch Text-Strings verwendet werden wie zum Beispiel ''Butterbrot''. Dieser Text-String muss dann auf der Gegenstelle unter ''Remote Gateway ID'' ebenfalls eingetragen werden.
'''Remote Gateway:''' Hier wird die öffentliche IP-Adresse der VPN Gegenstelle eingetragen. In unserem Beispiel also die IP-Adresse der Filiale ''198.51.100.2''.<br>
'''Remote Gateway ID:'''In unserem Beispiel verwenden wir die die IP-Adressen als ID, daher wird hier ebenfalls die öffentliche IP-Adresse der VPN Gegenstelle eingetragen.
'''Authentifizierung:'''Für die Authentifizierung verwenden wir für diese Konfiguration einen Pre-Shared Key. Diesen lassen wir uns vom System generieren um eine möglicht hohe Sicherheit zu gewährleisten. Da dieser dadurch natürlich sehr komplex und schwer zu merken ist, sollte dieser einmal kopiert werden, um ihn im Anschluss auf der Gegenstelle ebenfalls einzutragen.
'''Startverhalten:'''Um eine VPN-Verbindung automatisch aufzubauen, muss diese von einer der beiden Seiten Initiiert werden. Das Startverhalten ''Outgoing'' definiert, das diese Seite die Initiierung der Verbindung vornimmt.<br>
Bei einer IPSec-VPN-Verbindung ohne NAT auf beiden Seiten ist es in der Regel egal, wer die Initiierung übernimmt. Hierbei können bei zwei Securepoint Geräten sogar beide auf ''Outgoing'' eingestellt werden.
'''Dead Peer Detection:'''Diese überprüft die Verbindung durch versenden sogenannter ''Keep Alive'' Paket, auf die die Gegenstelle antworten muss. Tut sie das nicht, wird die Verbindung abgebaut und wieder neu aufgebaut.<br>
Wichtig ist, dass auch die Gegenstelle die ''Dead Peer Detection'' implementiert haben muss, ansonsten kann dieses nicht verwendet werden.


====Filiale====
====Filiale====

Version vom 22. Juni 2016, 09:45 Uhr

Vorlage:V11

Beispiele zur Konfiguration von IPSec-VPN Site to Site Verbindungen

Bei einer IPSec Verbindung gibt es für jeden Netzaufbau empfohlene Konfigurationen, damit ein Tunnel aufgebaut werden kann. Dabei wird unterschieden, ob die öffentliche IP auf der UTM liegt oder ob die Verbindung genattet ist. Auch ob es mehrere Internetleitungen gibt spielt hierbei eine Rolle.

Single-Path mit öffentlichen IP-Adressen

IPSec single oNat.png

Im folgenden wird erklärt, wie eine IPSec-VPN Konfiguration aussieht, wenn an beiden Seiten der Verbindung jeweils nur eine Internetleitung vorhanden ist und öffentliche IP-Adressen direkt an den UTM anliegen. Dieses ist zum Beispiel der Fall, wenn an der externen Schnittstelle ein ADSL-Modem angeschlossen ist.

Zentrale

Netzwerkvorgaben

Für den Anschluss eines Modem an der UTM wird eine PPPoE Schnittstelle eingerichtet und eine Standard Route über diese Schnittstelle.
In unserem Fall ist es die erste PPPoE Schnittstelle, die dann die Bezeichnung ppp0 erhält.

Singlepath pppoe zentrale nk.png
Singlepath pppoe beide dr.png
IPSec Phase1
Singlepath ipsec p1 zentrale.png

Local Gateway: Da die Firewall nur eine Leitung (Single-Path) und damit nur eine Route zum Internet hat, kann hier defaultroute ausgewählt bleiben. Dieser Wert wird von der UTM aus dem Routing ausgelesen und automatisch für diese IPSec-Verbindung übernommen.
Route Over: Dieses wird ebenfalls aus dem Routing übernommen und automatisch im Hintergrund eingetragen. Daher kann dieses Feld bei einer Single-Path Konfiguration frei bleiben.
Local Gateway ID: Bei der ID handelt es sich um ein zweites Authentifizierungsmerkmal neben den Pre-Shared Key oder den Zertifikaten. In unserem Beispiel verwenden wir die öffentliche IP-Adresse, welche von der Schnittstelle ppp0 ausgelesen und übernommen wird. Es können aber auch Text-Strings verwendet werden wie zum Beispiel Butterbrot. Dieser Text-String muss dann auf der Gegenstelle unter Remote Gateway ID ebenfalls eingetragen werden.

Remote Gateway: Hier wird die öffentliche IP-Adresse der VPN Gegenstelle eingetragen. In unserem Beispiel also die IP-Adresse der Filiale 198.51.100.2.
Remote Gateway ID:In unserem Beispiel verwenden wir die die IP-Adressen als ID, daher wird hier ebenfalls die öffentliche IP-Adresse der VPN Gegenstelle eingetragen.

Authentifizierung:Für die Authentifizierung verwenden wir für diese Konfiguration einen Pre-Shared Key. Diesen lassen wir uns vom System generieren um eine möglicht hohe Sicherheit zu gewährleisten. Da dieser dadurch natürlich sehr komplex und schwer zu merken ist, sollte dieser einmal kopiert werden, um ihn im Anschluss auf der Gegenstelle ebenfalls einzutragen.

Startverhalten:Um eine VPN-Verbindung automatisch aufzubauen, muss diese von einer der beiden Seiten Initiiert werden. Das Startverhalten Outgoing definiert, das diese Seite die Initiierung der Verbindung vornimmt.
Bei einer IPSec-VPN-Verbindung ohne NAT auf beiden Seiten ist es in der Regel egal, wer die Initiierung übernimmt. Hierbei können bei zwei Securepoint Geräten sogar beide auf Outgoing eingestellt werden.

Dead Peer Detection:Diese überprüft die Verbindung durch versenden sogenannter Keep Alive Paket, auf die die Gegenstelle antworten muss. Tut sie das nicht, wird die Verbindung abgebaut und wieder neu aufgebaut.
Wichtig ist, dass auch die Gegenstelle die Dead Peer Detection implementiert haben muss, ansonsten kann dieses nicht verwendet werden.


Filiale

Netzwerkvorgaben
Singlepath pppoe filiale nk.png
Singlepath pppoe beide dr.png
IPSec Phase1
Singlepath ipsec p1 filiale.png

Single-Path mit einer genatteten Seite

IPSec single eNat.png

Im folgenden wird erklärt, wie eine IPSec-VPN Konfiguration aussieht, wenn an beiden Seiten der Verbindung jeweils nur eine Internetleitung vorhanden ist aber nur auf einer eine öffentliche IP-Adressen direkt an den UTM anliegt. Die andere steht hinter einem Router, welcher der UTM über ein Transfernetz den Internetzugang ermöglicht. Dieses ist zum Beispiel der Fall, wenn an der externen Schnittstelle der UTM der ADSL-Router eines Internet-Providers angeschlossen ist.

Zentrale

Netzwerkvorgaben
Singlepath pppoe zentrale nk.png
Singlepath pppoe beide dr.png
RSA-Schlüssel
Ipsec rsakeys-zentrale.png
IPSec Phase1
Singlepath ipsec p1 zentrale nat-rsa.png

Filiale

Netzwerkvorgaben
Singlepath nat filiale nk.png
Singlepath nat filiale dr.png
RSA-Schlüssel
Ipsec rsakeys-filiale.png
IPSec Phase1
Singlepath ipsec p1 filiale nat-rsa.png


Single-Path beidseitig genattet

IPSec single bNat.png

Im folgenden wird erklärt, wie eine IPSec-VPN Konfiguration aussieht, wenn an beiden Seiten der Verbindung jeweils nur eine Internetleitung vorhanden ist und beide Seiten der Verbindung stehen hinter einem Router, welcher der UTM über ein Transfernetz den Internetzugang ermöglicht. Dieses ist zum Beispiel der Fall, wenn an der externen Schnittstelle der UTM der ADSL-Router eines Internet-Providers angeschlossen ist.

Diese Konfiguration wird von Securepoint nicht empfohlen, da diese in der Regel instabil ist, wenn sie denn überhaupt aufgebaut wird. Empfohlen wir für dieses Szenario eine OpenVPN Site to Site Verbindung.

Zentrale

Netzwerkvorgaben
Singlepath zentrale nat nk.png
Singlepath zentrale nat dr.png
RSA-Schlüssel
Ipsec rsakeys-zentrale.png
IPSec Phase1
Singlepath ipsec p1 zentrale nat-rsa.png

Filiale

Netzwerkvorgaben
Singlepath nat filiale nk.png
Singlepath nat filiale dr.png
RSA-Schlüssel
Ipsec rsakeys-filiale.png
IPSec Phase1
Singlepath ipsec p1 filiale nat-rsa.png


Multipath mit öffentlichen IP-Adressen

IPSec multi oNat.png

Im folgenden wird erklärt, wie eine IPSec-VPN Konfiguration aussieht, wenn auf einer Seite mehrere Internetleitungen vorhanden sind und öffentliche IP-Adressen direkt an den UTM anliegen. Dieses ist zum Beispiel der Fall, wenn an der externen Schnittstelle ein ADSL Modem angeschlossen ist.

Zentrale

Netzwerkvorgaben
Multipath zentrale nk.png
Multipath zentrale dr.png
IPSec Phase1
Multipath ipsec p1 zentrale.png

Filiale

Netzwerkvorgaben
Singlepath pppoe filiale nk.png
Singlepath pppoe beide dr.png
IPSec Phase1
Singlepath ipsec p1 filiale.png


Multipath mit einer genatteten Seite

IPSec multi eNat.png

Im folgenden wird erklärt, wie eine IPSec-VPN Konfiguration aussieht, wenn auf einer Seite mehrere Internetleitungen vorhanden sind aber nur auf einer eine öffentliche IP-Adressen direkt an den UTM anliegt. Die andere steht hinter einem Router, welcher der UTM über ein Transfernetz den Internetzugang ermöglicht. Dieses ist zum Beispiel der Fall, wenn an der externen Schnittstelle der UTM der ADSL-Router eines Internet-Providers angeschlossen ist.

Zentrale

Netzwerkvorgaben
Multipath zentrale nk.png
Multipath zentrale dr.png
RSA-Schlüssel
Ipsec rsakeys zentrale.png
IPSec Phase1
Multipath ipsec p1 zentrale nat rsa filiale.png

Filiale

Netzwerkvorgaben
Singlepath nat filiale nk.png
Singlepath nat filiale dr.png
RSA-Schlüssel
Ipsec rsakeys filiale.png
IPSec Phase1
Singlepath ipsec p1 filiale nat rsa.png


Multipath beidseitig genattet

IPSec multi bNat.png

Im folgenden wird erklärt, wie eine IPSec-VPN Konfiguration aussieht, wenn auf einer Seite mehrere Internetleitungen vorhanden sind und beide Seiten der Verbindung stehen hinter einem Router, welcher der UTM über ein Transfernetz den Internetzugang ermöglicht. Dieses ist zum Beispiel der Fall, wenn an der externen Schnittstelle der UTM der ADSL-Router eines Internet-Providers angeschlossen ist.

Diese Konfiguration wird von Securepoint nicht empfohlen, da diese in der Regel instabil ist, wenn sie denn überhaupt aufgebaut wird. Empfohlen wir für dieses Szenario eine OpenVPN Site to Site Verbindung.

Zentrale

Netzwerkvorgaben
Multipath zentrale nat nk.png
Multipath zentrale nat dr.png
RSA-Schlüssel
Ipsec rsakeys zentrale.png
IPSec Phase1
Multipath ipsec p1 zentrale nat rsa beide.png

Filiale

Netzwerkvorgaben
Singlepath nat filiale nk.png
Singlepath nat filiale dr.png
RSA-Schlüssel
Ipsec rsakeys filiale.png
IPSec Phase1
Singlepath ipsec p1 filiale nat rsa.png