UTM/VPN/Netmap: Unterschied zwischen den Versionen

Aktuelle Version vom 28. September 2023, 10:45 Uhr

Verbinden von VPN-Netzen mit den gleichen Broadcast-Domains (IP-Bereiche)

Letzte Anpassung: 04.2023 (v.12.3.6)

Neu:

Netzwerkobjektbezeichnungen angepasst
Vorbereitung ergänzt: Netz-IP als Ziel für Netzwerkobjekte

Zuletzt aktualisiert:

09.2023

Korrektur Zone für Netzwerkobjekt netmap_localnet

notempty

Dieser Artikel bezieht sich auf eine Resellerpreview

11.8.7 11.7

Einleitung

Sollten auf beiden Seiten einer VPN Verbindung die gleichen Subnetze eingesetzt werden, ist es normalerweise nicht möglich diese Verbindung einzurichten.
Weiterhin kann es passieren, dass hinter verschiedenen Gegenstellen die gleichen Netzwerke eingerichtet sind.
Mit dem NAT-Typ NETMAP und Hilfsnetzwerken (Mapnetz), die auf keinen der zu verbindenden Gegenstellen eingerichtet sind, können diese Verbindungen trotzdem erstellt werden, ohne auf eine der Seiten das Subnetz komplett zu ändern.

Ein NETMAP ist immer nur eine Hilfslösung, falls sich keines der beteiligten Netze mit vertretbarem Aufwand auf eine anderes Netz umstellen lässt.

Es sollte vermieden werden, in der Zentrale für mehr als eine Gegenstelle NETMAP-Konfigurationen zu nutzen.

NATen von kompletten Subnetzen mit NETMAP

→ Firewall →PortfilterReiter Netzwerkobjekte öffnen.

Vorbereitungen

Netzwerkobjekt auf Adresse umstellen

Zentrale & Filiale

notempty

Zur Nutzung der NETMAP Funktion sind folgende Bedingungen zu beachten:

Die Subnetze der am NETMAP beteiligten Objekte müssen alle die gleiche Größe haben, zum Beispiel alle /24.

notempty

Alle beteiligten Objekte müssen eine definierte Netzwerk IP-Adresse eingetragen haben.

Es dürfen keine Schnittstellen für die Festlegung des Netzwerkobjektes ausgewählt werden.
Das Netzwerkobjekt des internen Netzwerkes muss überprüft und gegebenenfalls als Ziel: die Netz-IP des internen Netzes, das gemappt werden soll, eingetragen werden.
In diesem Beispiel wird auf beiden Seiten das Netzwerk 172.16.3.0/24 verwendet.

Ausgangslage:

Zentrale und Filiale haben das gleiche Subnetz

In diesem Fall muss das Mapping auf beiden Seiten der Verbindung eingerichtet werden.

	Lokales Netz	Öffentliche IP	Netmap
Zentrale:	172.16.3.0/24	192.0.2.192	10.0.1.0/24
Filiale:	172.16.3.0/24	192.0.2.193	10.0.2.0/24

Wird eine lokale Netz-IP für die Filiale vorgegeben, mit der sich diese in den Tunnel zur Zentrale verbinden soll, muss diese als Netmap-IP verwendet werden.

Die Verbindung soll über IPSec hergestellt werden.

VPN-Verbindung anlegen

Zentrale

Zentrale Schritt 4 mit remote Mapnetz der Filiale

Zentrale Schritt 3 mit lokalem Mapnetz der Zentrale

Anlegen einer IPSec-Site-to-Site VPN-Verbindung, wie im Wiki beschrieben im Menü → VPN →IPSec mit der Schaltfläche IPSec-Verbindung hinzufügen.

In Schritt 3 muss das lokale Mapnetz der Zentrale freigegeben werden.
Hier » ✕10.0.1.0/24

In Schritt 4 wird die öffentliche IP der Filiale als Remote Gateway: benötigt
und das remote Mapnetz der Filiale als freigegebenes Netzwerk.
Hier » ✕10.0.2.0/24 (ggf. durch vorgegebene Netz-IP für die Filiale ersetzen)

Filiale

Filiale Schritt 4 mit remote Mapnetz der Zentrale

Filiale Erreichbarkeit von Hosts der Gegenstelle

Anlegen einer IPSec-Site-to-Site VPN-Verbindung, wie im Wiki beschrieben im Menü → VPN →IPSec mit der Schaltfläche IPSec-Verbindung hinzufügen.

In Schritt 3 muss das lokale Mapnetz der Filiale freigegeben werden.
Hier » ✕10.0.2.0/24 (ggf. durch vorgegebene Netz-IP für die Filiale ersetzen)

In Schritt 4 wird die öffentliche IP der Zentrale als Remote Gateway: benötigt
und das remote Mapnetz der Zentrale als freigegebenes Netzwerk.
Hier » ✕10.0.1.0/24

Netzwerkobjekte für Transfernetz erstellen

Netzwerkobjekt in der Zentrale für das eigene Netz (Mapnetz Lokal)

Netzwerkobjekt in der Zentrale für das Filial-Netz (Mapnetz Remote)

Es müssen in der Zentrale zwei Netzwerkobjekte mit Netzwerken erstellt werden, die weder in der Zentrale noch in der Filiale eingerichtet sind.
Zentrale
→ Firewall →PortfilterReiter Netzwerkobjekte Schaltfläche Objekt hinzufügen

Das Netzwerkobjekt für das (entfernte) Mapnetz der Filiale muss vom Typ Netzwerk (Adresse) sein.

Bei IPSec-Verbindungen, muss sich das Netzwerkobjekt für das Transfernetz in der Zone befinden

Beim Anlegen einer SSL-VPN-Verbindung wird eine Zone VPN-SSL-Verbindungsname angelegt.
Das Netzwerkobjekt muss dann mit dieser Zone angelegt werden.

Das Netzwerkobjekt erhält in unserem Beispiel die Netzwerkadresse 10.0.2.0/24

Das Netzwerkobjekt für das (eigene) Mapnetz der Zentrale muss sich in der Zone des internen Netzwerkes befinden und bekommt in unserem Beispiel die Netzwerkadresse 10.0.1.0/24

Netzwerkobjekt in der Filiale für das eigene Netz

Netzwerkobjekt in der Filiale für das Netz der Zentrale

Filiale
Auf der Seite der Filiale werden ebenfalls zwei Netzwerkobjekte erstellt.
Dort ist das Netzwerk 10.0.1.0/24, das Mapnetz der Zentrale, das sich in der Zone external befindet und das Netzwerk 10.0.2.0/24, das Mapnetz der Filiale, das mit der Zone des internen Netzwerkes internal angelegt wird.

NETMAP Regel anlegen

Es müssen auf jeder Seite Portfilterregeln erstellt werden, die das Mapping durchführen.

NETMAP Portfilterregel

Das Mapnetz kann als Netzwerkobjekt nicht ausgewählt werden, wenn es noch mit einer Schnittstelle anstatt mit einer IP-Adresse verknüpft ist.

Zentrale	Auf der Seite der Zentrale für ausgehendes Mapping
	Quelle:	internal network
	Ziel:	netmap_remotenet_Filiale1 Mapnetz der Filiale
	Dienst:	any Ausnahmsweise ist hier eine any-Regel sinnvoll
	Aktion	Accept
	[–] NAT Typ	NETMAP
		netmap_localnet Mapnetz der Zentrale
	Dienst:	any Ausnahmsweise ist hier eine any-Regel sinnvoll
	Auf der Seite der Zentrale für eingehendes Mapping
	Quelle:	netmap_remotenet_Filiale1 Mapnetz der Filiale
	Ziel:	internal network
	Dienst:	any Ausnahmsweise ist hier eine any-Regel sinnvoll
	Aktion	Accept
	[–] NAT Typ	notempty Hierfür wird kein NAT vom Typ NETMAP mehr benötigt

Filiale	Auf der Seite der Filiale für ausgehendes Mapping
	Quelle:	internal network
	Ziel:	netmap_remotenet_Zentrale Mapnetz der Zentrale
	Dienst:	any Ausnahmsweise ist hier eine any-Regel sinnvoll
	[–] NAT Typ	NETMAP
		netmap_localnet Mapnetz der Filiale
	Auf der Seite der Filiale für eingehendes Mapping
	Quelle:	netmap_remotenet_Zentrale Mapnetz der Zentrale
	Ziel:	internal network
	Dienst:	any Ausnahmsweise ist hier eine any-Regel sinnvoll
	[–] NAT Typ	notempty Hierfür wird kein NAT vom Typ NETMAP mehr benötigt

Portfilterregeln

Zusätzlich zu den Netmap-Regeln werden weitere Regeln benötigt, die den Datenverkehr zwischen dem jeweiligen lokalen Netz und dem jeweiligen Remotenetz zulassen.
Zwei Möglichkeiten stehen zur Verfügung:

Implizite Regeln

IPSec-Abschnitt in den implizierten Regeln

Zentrale & jede Filiale

Menü → Gruppe IpsecTraffic → Regel Accept Ein

In diesem Falle werden Regeln im Hintergrund angelegt, die alle Dienste für alle Rechner auf beiden Seiten zulassen. (Default)

Dedizierte Portfilter Regeln

notempty

Erreichbarkeit von Hosts der Gegenstelle

Ein Rechner mit der IP-Adresse 172.16.3.10 in der Filiale wird von der Zentrale aus mit der IP-Adresse 10.0.2.10 angesprochen. (Erforderliche Regel wird im Beispiel nicht gezeigt!)
Ein Rechner mit der IP-Adresse 172.16.3.120 in der Zentrale wird von der Filiale aus mit der IP-Adresse 10.0.1.120 angesprochen.

Mehrere Filialen haben das gleiche Subnetz

	Lokales Netz	Öffentliche IP	Netmap
	172.16.0.0/24	192.0.2.192	nicht erforderlich
Filiale 1:	172.16.3.0/24	192.0.2.193	nicht erforderlich
Filiale 2:	172.16.3.0/24	192.0.2.194	10.0.1.0/24

Hierbei wird das Mapping nur auf den Filialen eingerichtet, die das gleiche Netzwerk nutzen wie auf einer schon eingerichteten VPN-Verbindung. In der Zentrale wird kein Mapping benötigt, sofern sich das interne Netz der Zentrale von denen der Filialen unterscheidet. Ebenfalls kann in einer Filiale das vorhandene Netz ohne Mapping verwendet werden.

Es sollte vermieden werden, in der Zentrale für mehr als eine Gegenstelle NETMAP-Konfigurationen zu nutzen.

VPN-Verbindung anlegen

Schritt 4 mit Remotenetz

Schritt 3 in Filiale 2 mit lokalem Mapnetz

Anlegen einer IPSec-Site-to-Site VPN-Verbindung, wie im Wiki beschrieben im Menü → VPN →IPSec mit der Schaltfläche IPSec-Verbindung hinzufügen.

Filiale 1 nicht abgebildet

Filiale1 behält ihr ursprüngliches lokales Netz bei:

In Schritt 3 muss das lokale Netz (ohne mapping) freigegeben werden.
Im Beispiel:

Filiale 2 (und ggf. weitere Filialen)

In Schritt 3 muss das lokale Mapnetz freigegeben werden.
Im Beispiel: » ✕10.0.1.0/24

jede Filiale

in Schritt 4 wird das direkte Remote-Netz der Zentrale (ohne mapping) freigegeben.
Im Beispiel: » ✕172.16.0.0/24

Zentrale

Es wird für jede Filiale eine Verbindung benötigt.

In Schritt 3 muss das lokale Netz freigegeben werden.
Im Beispiel: » ✕172.16.0.0/24
In Schritt 4 wird das gemappte Remote-Netz der entsprechenden Filiale freigegeben.
Im Beispiel: » ✕10.0.1.0/24

Netzwerkobjekte erstellen

Netzwerkobjekt in der Filiale 2 für das eigene Mapnetz (Lokal). So wird die Filiale 2 für die Zentrale gemappt.

Netzwerkobjekt in der Filiale 2 für das Netz der Zentrale

In der Filiale 2 (und in jeder weiteren Filiale, die ein auch an anderer Stelle genutztes lokales Netz verwendet) wird ein Netzwerkobjekt für die Zentrale in der Zone external

benötigt, mit dem das Mapping durchgeführt werden kann.

Hier kann direkt das genutze lokale Netz der Zentrale verwendet werden.
Im Beispiel 172.16.0.0/24

Zusätzlich wird ein zweites Netzwerkobjekt für das lokale Netz der jeweiligen Filiale erstellt, das gemappt wird.
Das Netzwerkobjekt für das Mapnetz in der Filiale muss sich in der Zone des internen Netzwerkes befinden internal und bekommt im Beispiel die Netz-IP 10.0.1.0/24.
(Weitere Filialen erhalten an dieser Stelle ein anderes Mapnet!)

Das Mapnet darf weder in der Filiale, noch in der Zentrale, noch auf einer der anderen Filialen die per VPN Verbindungen an die Zentrale angebunden sind, genutzt werden.

NETMAP Regel anlegen

NETMAP Portfilterregel

Portfilterregeln in der Filiale 2

Filiale 2	Auf der Seite der Filiale 2 für ausgehendes Mapping
	Quelle:	internal network
	Ziel:	netmap_remotenet_Zentrale
	Dienst:	any Ausnahmsweise ist hier eine any-Regel sinnvoll
	Aktion	Accept
	[–] NAT Typ	NETMAP
		netmap_localnet_Filiale2
	Dienst:	any Ausnahmsweise ist hier eine any-Regel sinnvoll

Portfilterregeln

Zusätzlich zu den Netmap-Regeln werden weitere Regeln benötigt, die den Datenverkehr zwischen dem jeweiligen lokalen Netz und dem jeweiligen Remotenetz zulassen.

Zwei Möglichkeiten stehen zur Verfügung:

Implizite Regeln

IPSec-Abschnitt in den implizierten Regeln

Zentrale & jede Filiale

Menü → Gruppe IpsecTraffic → Regel Accept Ein

In diesem Falle werden Regeln im Hintergrund angelegt, die alle Dienste für alle Rechner auf beiden Seiten zulassen. (Default)

Dedizierte Portfilter Regeln

notempty

Erreichbarkeit von Hosts der Gegenstelle

Ein Rechner mit der IP-Adresse 172.16.3.10 in der Filiale 1 wird von der Zentrale aus mit eben dieser IP-Adresse (172.1.6.3.10) angesprochen.
Ein Rechner mit der IP-Adresse 172.16.3.10 in der Filiale 2 wird von der Zentrale aus mit der gemappten IP-Adresse 10.0.1.10 angesprochen.
Einen Rechner mit der IP-Adresse 172.16.0.120 in der Zentrale wird von der Filiale aus mit der IP-Adresse 172.16.0.120 angesprochen.

Zentrale Übersicht der Portfilterregeln	#	Quelle:	Ziel:	Dienst:	NAT	Aktion	Aktiv
Eingehender Netzwerkverkehr in der Zentrale von Filiale1 (Beispielhafte Portfilterregel)	4	ipsec_remotenet_Filiale1	internal network	ms-rdp		Accept	Ein
Eingehender Netzwerkverkehr in der Zentrale von Filiale2 (Beispielhafte Portfilterregel)	5	ipsec_remotenet_Filiale2	internal network	ms-rdp		Accept	Ein

Filiale1 Übersicht der Portfilterregeln	#	Quelle:	Ziel:	Dienst:	NAT	Aktion	Aktiv
Ausgehender Netzwerkverkehr in der Filiale1 zur Zentrale (Beispielhafte Portfilterregel)	5	internal-network	ipsec_remotenet_Zentrale	ms-rdp		Accept	Ein

Filiale2 Übersicht der Portfilterregeln	#	Quelle:	Ziel:	Dienst:	NAT	Aktion	Aktiv
Netmap Regel in Filiale2, um das eigene lokale Netz zu mappen	4	internal network	netmap_remotenet_Zentrale	any	NM	Accept	Ein
Ausgehender Netzwerkverkehr in der Filiale2 zur Zentrale (Beispielhafte Portfilterregel)	5	internal-network	ipsec_remotenet_Zentrale	ms-rdp		Accept	Ein

@@ Zeile 3: / Zeile 3: @@
 {{#vardefine:headerIcon| spicon-utm }}
 {{:UTM/VPN/Netmap.lang}}
+{{var	| neu--IPSec
+		| [[#NATen_von_kompletten_Subnetzen_mit_NETMAP | Vorbereitung ergänzt: Netz-IP als Ziel für Netzwerkobjekte]]
+		| [{{#var:host}}UTM/VPN/Netmap#NATing_complete_subnets_with_NETMAP Preparation added: Network IP as target for network objects ] }}
+{{var	| neu--Netzwerkobjekte
+		| Netzwerkobjektbezeichnungen angepasst
+		| Network object names adjusted }}
+{{var	| neu--Korrektur Netzwerkobjekt
+		| Korrektur Zone für Netzwerkobjekt netmap_localnet
+		| Correction zone for network object netmap_localnet }}
 </div>{{Select_lang}}{{TOC2}}
-{{Header|09.2022 <small>(12.2.3)</small>|
+{{Header|04.2023 <small>(v.12.3.6)</small>|
-* {{#var:3a| Zone des Remote-Netzes korrigiert}}
+* {{#var:neu--Netzwerkobjekte}}
-* {{#var:3b| LAyoutanpassungen}}
+* {{#var:neu--IPSec}}
 |[[UTM/VPN/Netmap_v11.8.7 | 11.8.7]]
 [[UTM/VPN/Netmap_11.7 | 11.7]]
+| (1.){{Menu|Firewall|Portfilter}} (2.){{Menu|VPN|IPSec}}
+| zuletzt= 09.2023
+* {{#var:neu--Korrektur Netzwerkobjekt}}
 }}
 ----
+=== {{#var:Einleitung}} ===
 <div class="Einrücken">
 {{#var:Funktionsbeschreibung}}
@@ Zeile 19: / Zeile 32: @@
 <li class="list--element__alert list--element__warning">{{#var:Mapnetz-Warnung}}</li>
 </div>
+----
-----
+=== {{#var:6}} ===
-=== {{#var:6|NATen von kompletten Subnetzen mit NETMAP}} ===
+<div class="einrücken">
+{{#var:Vorbereitung Menu}}
+</div>
-=== {{#var:7|Vorbereitungen}} ===
+==== {{#var:Vorbereitungen}} ====
+<div class="Einrücken">
+{{pt3| {{#var:8}} |{{#var:Netzwerkobjekt auf Adresse umstellen}} }}
+{{spc|utm|s|'''{{#var:Zentrale}}'''|c=grün }} & {{spc|utm|s|'''{{#var:Filiale}}'''|c=grün }}
+<p>{{Hinweis-box|{{#var:NETMAP Bedingungen}} |r}}</p>
+<li class="list--element__alert list--element__hint">{{#var:Subnetze gleiche Groesse}}</li>
+<li class="list--element__alert list--element__hint">{{Hinweis-box|{{#var:definierte Netzwerk IP-Adresse}} |g|fs__icon=none}} <br>{{#var:Überprüfung des Netzwerkobjektes}}</li>
+</div><br clear=All>
-{{pt3|{{#var:8|UTM_v11.8.7_Firewall_Portfilter_Netzwerkobjekte_bearbeiten.png}} | {{#var:9|Netzwerkobjekt auf Adresse umstellen}} }}
+<!--
+==== {{#var:Vorbereitungen bei IPSec}} ====
+<div class="Einrücken">
+{{pt3|{{#var:Vorbereitungen--Bild}} | {{#var:Vorbereitungen--cap}} }}
 {{spc|utm|s|'''{{#var:Zentrale}}'''|c=grün }} & {{spc|utm|s|'''{{#var:Filiale}}'''|c=grün }}
-<p>{{Hinweis-neu| !! {{#var:NETMAP Bedingungen}} }}</p>
+<p>{{Hinweis-neu| !! {{#var:NETMAP Bedingungen IPSec}} }}</p>
 <div class="Einrücken">
 <li class="list--element__alert list--element__hint">{{#var:Subnetze gleiche Groesse}}</li>
-<li class="list--element__alert list--element__hint top-Hinweis">{{Hinweis-neu|{{#var:definierte Netzwerk IP-Adresse}} }} {{#var:Überprüfung des Netzwerkobjektes}}</li>
+<li class="list--element__alert list--element__warning top-Hinweis">{{Hinweis-box|{{#var:definierte Netzwerk IP-Adresse IPSec}} }}</li>
+<li class="list--element__alert list--element__hint">{{#var:Überprüfung des Netzwerkobjektes IPSec}}</li>
+</div></div>
+<br clear=All>
 </div>
-<br clear=All>
+-->
 ----
-'''{{#var:16|Ausgangslage:}}'''
+'''{{#var:Ausgangslage}}'''
-=== {{#var:17|Zentrale und Filiale haben das gleiche Subnetz}} ===
+=== {{#var:Zentrale und Filiale haben das gleiche Subnetz}} ===
 <div class="Einrücken">
-{{pt3| {{#var:18|Netmap_sz1.png}} |hochkant=2.5}}
+{{pt3| {{#var:18}} |hochkant=2.5}}
-{{#var:19|In diesem Fall muss das Mapping auf '''beiden Seiten''' der Verbindung eingerichtet werden.}}
+{{#var:19}}
 {| class="sptable0 pd5"
 |-
-| || {{#var:20|Lokales Netz}} || {{#var:21|Öffentliche IP}} || {{#var:22|Netmap}}
+| || {{#var:Lokales Netz}} || {{#var:Öffentliche IP}} || Netmap
 |-
-| {{#var:10|Zentrale:}} ||172.16.3.0/24 || 192.0.2.192 || 10.0.1.0/24
+| {{#var:Zentrale}}: ||172.16.3.0/24 || 192.0.2.192 || 10.0.1.0/24
 |-
-| {{#var:11|Filiale:}} ||  172.16.3.0/24 || 192.0.2.193 || 10.0.2.0/24
+| {{#var:Filiale}}: || 172.16.3.0/24 || 192.0.2.193 || 10.0.2.0/24 <sup>{{Hinweis-box||g}}</sup>
 |}
+<p><li class="list--element__alert list--element__hint">{{#var:Ausganglage Vorgegebenes Netz}}</li></p>
 <br>
 '''{{#var:Die Verbindung soll über IPSec hergestellt werden}}'''
 </div><br clear=All>
+----
-----
-==== {{#var:60|VPN-Verbindung anlegen}} ====
+==== {{#var:VPN-Verbindung anlegen}} ====
 <div class="Einrücken">
-{{spc|utm|s|'''{{#var:Zentrale}} '''|c=grün }}
+{{spc|utm|s|'''{{#var:Zentrale}} ''' |c=grün}}
-{{pt3 | {{#var:61|UTM_v11.8.7_VPN_IPSEC-Verbindung_Schritt4.png}} |hochkant=1.2|{{spc|utm|s|'''{{#var:Zentrale}}'''|c=grün}} {{#var:62|Schritt 4 mit remote Mapnetz der Filiale}} }}
+{{pt3| {{#var:61}} |hochkant=1.2|{{spc|utm|s|'''{{#var:Zentrale}}''' |c=grün}} {{#var:62}} }}
-{{pt3 | {{#var:63|UTM_v11.8.7_VPN_IPSEC-Verbindung_Schritt3.png}} |hochkant=1.2|{{spc|utm|s|'''{{#var:Zentrale}}'''|c=grün}} {{#var:64|Schritt 3 mit lokalem Mapnetz der Zentrale}} }}
+{{pt3| {{#var:63}} |hochkant=1.2|{{spc|utm|s|'''{{#var:Zentrale}}''' |c=grün}} {{#var:64}} }}
-{{#var:65|Anlegen einer IPSec-Site-to-Site VPN-Verbindung, [http://wiki.securepoint.de/index.php/IPSec_Site_to_Site_v11#VPN-Verbindung_anlegen wie im Wiki beschrieben] im Menü {{Menu|VPN|IPSec}} mit der Schaltfläche {{Button|'''+''' IPSec-Verbindung hinzugügen}}.}} <br>
+{{#var:65}}
+<br>
 <li class="list--element__alert list--element__hint">{{#var:Lokales Mapnetz Zentrale}}</li>
-<li class="list--element__alert list--element__hint">{{#var:Remote Netz Zentrale}}</li>
+<li class="list--element__alert list--element__hint">{{#var:Remote Netz Zentrale}} <small>({{#var:Vorgegebenes Netz}})</small></li>
 <br clear=all>
-<div style="width: 30%;"><hr></div>
+{{spc|utm|s|'''{{#var:Filiale}}''' |c=grün }}
-{{spc|utm|s|'''{{#var:Filiale}}'''|c=grün }}
+{{pt3| {{#var:68}} |hochkant=1.2| {{spc|utm|s|'''{{#var:Filiale}}''' |c=grün}} {{#var:69}} }}
-{{pt3 | {{#var:68|UTM_v11.8.7_Firewall_Portfilter_Netzwerkobjekte_remote3.png}} |hochkant=1.2|{{spc|utm|s|'''{{#var:Filiale}}'''|c=grün}} {{#var:69|Schritt 4 mit remote Mapnetz der Zentrale}} }}
+{{pt3| {{#var:70}} |hochkant=1.2| {{spc|utm|s|'''{{#var:Filiale}}''' |c=grün}} {{#var:71}} }}
-{{pt3 | {{#var:70|UTM_v11.8.7_Firewall_Portfilter_Netzwerkobjekte_localvpn3.png}} |hochkant=1.2|{{spc|utm|s|'''{{#var:Filiale}}'''|c=grün}} {{#var:71|Schritt 3 mit lokalem Mapnetz der Filiale}} }}
+{{#var:65}}<br>
-{{#var:65|Anlegen einer IPSec-Site-to-Site VPN-Verbindung, [http://wiki.securepoint.de/index.php/IPSec_Site_to_Site_v11#VPN-Verbindung_anlegen wie im Wiki beschrieben] im Menü {{Menu|VPN|IPSec}} mit der Schaltfläche {{Button|IPSec-Verbindung hinzugügen|+}}.}}<br>
+<li class="list--element__alert list--element__hint">{{#var:Lokales Mapnetz Filiale}} <small>({{#var:Vorgegebenes Netz}})</small></li>
-<li class="list--element__alert list--element__hint">{{#var:Lokales Mapnetz Filiale}}</li>
 <li class="list--element__alert list--element__hint">{{#var:Remote Netz Filiale}}</li>
 </div><br clear=all>
 ----
 ==== {{#var:Netzwerkobjekte für Transfernetz erstellen}} ====
 <div class="Einrücken">
-{{pt3| {{#var:27|UTM_v11.8.7_Firewall_Portfilter_Netzwerkobjekte_localvpn.png}} | hochkant=1.2| {{#var:28|Netzwerkobjekt '''in der Zentrale für das eigene Netz''' (Mapnetz Lokal)}} }}
+{{pt3| {{#var:27}} |hochkant=1.2| {{#var:28}} }}
-{{pt3| {{#var:29|UTM_v11.8.7_Firewall_Portfilter_Netzwerkobjekte_Rmotvpn.png}} | hochkant=1.2| {{#var:29b|Netzwerkobjekt '''in der Zentrale für das Filial-Netz''' (Mapnetz Remote)}} }}
+{{pt3| {{#var:29}} |hochkant=1.2| {{#var:29b}} }}
-<p>
+<p>{{#var:30}}<br>
-{{#var:30|Es müssen in der Zentrale zwei Netzwerkobjekte mit Netzwerken erstellt werden, die weder in der Zentrale  noch in der Filiale eingerichtet sind.}}<br>
+{{spc|utm|s|'''{{#var:Zentrale}}'''|c=grün }}<br>
-{{spc|utm|s|'''{{#var:Zentrale}}'''|c=grün }} <br>
+{{Menu|Firewall|Portfilter|{{#var:Netzwerkobjekte}}|{{#var:Objekt hinzufügen}}|+}}</p>
-{{Menu|{{#var:Firewall}}|{{#var:Portfilter}}|{{#var:Netzwerkobjekte}}|{{#var:Objekt hinzufügen}}|+}}</p>
 <p>
-* {{#var:32|Das Netzwerkobjekt für das ''(entfernte)'' '''Mapnetz der Filiale''' muss vom {{b|Typ}} {{Button|Netzwerk (Adresse)|dr}} sein.}}
+* {{#var:32}}
 <li class="list--element__alert list--element__warning">{{#var:Zone für IP-Sec}}</li>
 <li class="list--element__alert list--element__hint">{{#var:SSL-VPN-Verbindungen anlegen}}</li>
 </p>
-<p>{{#var:35|Das Netzwerkobjekt erhält in unserem Beispiel die Netzwerkadresse 10.0.2.0/24}}</p>
+<p>{{#var:35}}</p>
+<br>
-<p>{{#var:36|Das Netzwerkobjekt für das ''(eigene)'' '''Mapnetz der Zentrale''' muss sich in der Zone des internen Netzwerkes befinden und bekommt in unserem Beispiel die Netzwerkadresse 10.0.1.0/24}}</p>
+<p>{{#var:36}}</p>
 <br clear=all>
-<div style="width: 30%;"><hr></div>
+{{pt3| {{#var:37}} |hochkant=1.2| {{#var:38}} }}
-{{pt3|{{#var:37|UTM_v11.8.7_Firewall_Portfilter_Netzwerkobjekte_localvpn2.png}} | hochkant=1.2 | {{#var:38|Netzwerkobjekt '''in der Filiale für das eigene Netz'''}}}}
+{{pt3| {{#var:39}} |hochkant=1.2| {{#var:40}} }}
-{{pt3| {{#var:39|UTM_v11.8.7_Firewall_Portfilter_Netzwerkobjekte_Remotevpn2.png}} | hochkant=1.2 | {{#var:40|Netzwerkobjekt '''in der Filiale für das Netz der Zentrale'''}} }}
+<p>{{spc|utm|s|'''{{#var:Filiale}}''' |c=grün}}<br>
-<p>{{spc|utm|s|'''{{#var:Filiale}}'''|c=grün}}<br>
+{{#var:41}}<br>
-{{#var:41|Auf der Seite der Filiale werden ebenfalls zwei Netzwerkobjekte erstellt.}} <br>
+{{#var:42}}
-{{#var:42|Dort ist das Netzwerk 10.0.1.0/24, das Mapnetz der Zentrale, das sich in der {{b|Zone}} {{Button|external|dr}} befindet und das Netzwerk 10.0.2.0/24 das, Mapnetz der Filiale, das mit der Zone des internen Netzwerkes {{Button|internal|dr}} angelegt wird.}}
 </div><br clear=all>
+----
-----
-==== {{#var:43|NETMAP Regel anlegen}} ====
+==== {{#var:43}} ====
 <div class="Einrücken">
-{{#var:46|Es muss auf jeder Seite eine Portfilterregel anhand der Netzwerkobjekte erstellt werden.}} <br>
+{{#var:46}}
+<br>
+{{pt3| {{#var:44}} |hochkant=2| {{#var:45}} }}
-{{pt3| {{#var:44|UTM_v11.8.7_Firewall_Portfilter_Regel_Netmap-Zentrale.png}} |hochkant=2| {{#var:45|NETMAP Portfilterregel}} }}
 {| class="sptable pd5"
-! class="Leerzeile top"  rowspan="14" | {{spc|utm|s|'''{{#var:Zentrale}}'''|c=grün }} !! colspan="2" | {{#var:47|Auf der Seite der}} {{spc|utm|s|'''{{#var:Zentrale}}'''|c=grün }} {{#var:Mapping ausgehend}}
+! class="Leerzeile top" rowspan="14" | {{spc|utm|s|'''{{#var:Zentrale}}''' |c=grün }} !! colspan="2" | {{#var:47}} {{spc|utm|s|'''{{#var:Zentrale}}''' |c=grün}} {{#var:Mapping ausgehend}}
 |-
-| {{b| {{#var:48|Quelle}} }} || {{ic| internal network|dr|icon=net|iconborder=none|class=mw15}}
+| {{b|{{#var:Quelle}} }} || {{ic|internal network|dr|icon=net|iconborder=none|class=mw18}}
 |-
-| {{b| {{#var:49|Ziel}} }} || {{ic| netmap_remotenet |dr|icon=net|iconborder=none|class=mw15}} {{#var:Mapnetz der Filiale}}
+| {{b|{{#var:Ziel}} }} || {{ic|{{#var:netmap_remotenet_filiale}} |dr|icon=net|iconborder=none|class=mw18}} {{#var:Mapnetz der Filiale}}
 |-
-| {{b| {{#var:51|Dienst}} }} || {{ic| any |dr|icon=other|iconborder=none|class=mw15}} {{#var:any-Dienst--desc}}
+| {{b|{{#var:Dienst}} }} || {{ic|any |dr|icon=other|iconborder=none|class=mw18}} {{#var:any-Dienst--desc}}
 |-
-| {{b|{{#var:Aktion}} }} || {{Button|Accept|dr|class=mw15}} {{#var:Aktion--desc}}
+| {{b|{{#var:Aktion}} }} || {{Button|Accept|dr|class=mw18}}
 |-
-| {{Kasten| <nowiki>[–]</nowiki> NAT}} {{b|{{#var:53|Typ}} }} || {{Button| NETMAP|dr|class=mw15}}
+| {{Kasten| <nowiki>[–]</nowiki> NAT}} {{b|{{#var:Typ}} }} || {{Button|NETMAP  |dr|class=mw18}}
 |-
-| {{b| {{#var:54|Netzwerkobjekt}} }} || {{ic| netmap_localnet |dr|icon=net| iconborder=none|class=mw15}} {{#var:55|Mapnetz der Zentrale}}
+| {{b|{{#var:Netzwerkobjekt}} }} || {{ic|netmap_localnet|dr|icon=net| iconborder=none|class=mw18}} {{#var:55}}
 |-
-| {{b| {{#var:51|Dienst}} }} || {{ic| any |dr|icon=other|iconborder=none|class=mw15}} {{#var:any-Dienst--desc}}
+| {{b|{{#var:Dienst}} }} || {{ic|any |dr|icon=other|iconborder=none|class=mw18}} {{#var:any-Dienst--desc}}
 |-
-! colspan="2" | {{#var:47|Auf der Seite der}} {{spc|utm|s|'''{{#var:Zentrale}}'''|c=grün }} {{#var:Mapping eingehend}}
+! colspan="2" | {{#var:47}} {{spc|utm|s|'''{{#var:Zentrale}}''' |c=grün }} {{#var:Mapping eingehend}}
 |-
-| {{b| {{#var:48|Quelle}} }} || {{ic| netmap_remotenet |dr|icon=net|iconborder=none|class=mw15}} {{#var:Mapnetz der Filiale}}
+| {{b|{{#var:Quelle}} }} || {{ic|{{#var:netmap_remotenet_filiale}} |dr|icon=net|iconborder=none|class=mw18}} {{#var:Mapnetz der Filiale}}
 |-
-| {{b| {{#var:49|Ziel}} }} || {{ic| internal network |dr|icon=net|iconborder=none|class=mw15}}
+| {{b|{{#var:Ziel}} }} || {{ic|internal network |dr|icon=net|iconborder=none|class=mw18}}
 |-
-| {{b| {{#var:51|Dienst}} }} || {{ic| any |dr|icon=other|iconborder=none|class=mw15}} {{#var:any-Dienst--desc}}
+| {{b|{{#var:Dienst}} }} || {{ic|any |dr|icon=other|iconborder=none|class=mw18}} {{#var:any-Dienst--desc}}
 |-
-| {{b|{{#var:Aktion}} }} || {{Button|Accept|dr|class=mw15}} {{#var:Aktion--desc}}
+| {{b|{{#var:Aktion}} }} || {{Button|Accept|dr|class=mw18}}
 |-
-| {{Kasten| <nowiki>[–]</nowiki> NAT}} {{b|{{#var:53|Typ}} }} || {{Hinweis-neu| {{#var:112|! Hierfür wird kein NAT vom Typ NETMAP mehr benötigt}} |gelb}}
+| {{Kasten| <nowiki>[–]</nowiki> NAT}} {{b|{{#var:Typ}} }} || {{Hinweis-box|{{#var:112}} |g}}
 |- class="Leerzeile"
 |
 |-
-| class="Leerzeile top"  rowspan="11" | {{spc|utm|s|'''{{#var:Filiale}}'''|c=grün }}
+| class="Leerzeile top"  rowspan="11" | {{spc|utm|s|'''{{#var:Filiale}}''' |c=grün }}
-! colspan="2" | {{#var:47|Auf der Seite der}} {{spc|utm|s|'''{{#var:Filiale}} '''|c=grün }} {{#var:Mapping ausgehend}}
+! colspan="2" | {{#var:47}} {{spc|utm|s|'''{{#var:Filiale}} '''|c=grün}} {{#var:Mapping ausgehend}}
 |-
-| {{b| {{#var:48|Quelle}} }} || {{ic| internal network |dr|icon=net|iconborder=none|class=mw15}}
+| {{b|{{#var:Quelle}} }} || {{ic|internal network |dr|icon=net|iconborder=none|class=mw18}}
 |-
-| {{b| {{#var:49|Ziel}} }} || {{ic| netmap_remotenet |dr|icon=net|iconborder=none|class=mw15}} {{#var:55|Mapnetz der Zentrale}}
+| {{b|{{#var:Ziel}} }} || {{ic|{{#var:netmap_remotenet_zentrale}} |dr|icon=net|iconborder=none|class=mw18}} {{#var:55}}
 |-
-| {{b| {{#var:51|Dienst}} }} || {{ic| any |dr|icon=other|iconborder=none|class=mw15}} {{#var:any-Dienst--desc}}
+| {{b|{{#var:Dienst}} }} || {{ic|any |dr|icon=other|iconborder=none|class=mw18}} {{#var:any-Dienst--desc}}
 |-
-| {{Kasten| <nowiki>[–]</nowiki> NAT}} {{b|{{#var:53|Typ}} }} || {{Button| NETMAP|dr|class=mw15}}
+| {{Kasten| <nowiki>[–]</nowiki> NAT}} {{b|{{#var:Typ}} }} || {{Button|NETMAP|dr|class=mw18}}
 |-
-| {{b| {{#var:54|Netzwerkobjekt}} }} || {{ic| netmap_localnet |dr|icon=net|iconborder=none|class=mw15}} {{#var:Mapnetz der Filiale}}
+| {{b|{{#var:Netzwerkobjekt}} }} || {{ic|netmap_localnet|dr|icon=net|iconborder=none|class=mw18}} {{#var:Mapnetz der Filiale}}
 |-
-! colspan="2" | {{#var:47|Auf der Seite der}} {{spc|utm|s|'''{{#var:Filiale}} '''|c=grün }}  {{#var:Mapping eingehend}}
+! colspan="2" | {{#var:47}} {{spc|utm|s|'''{{#var:Filiale}} ''' |c=grün}} {{#var:Mapping eingehend}}
 |-
-| {{b|  {{#var:48|Quelle}} }} || {{ic| netmap_remotenet |dr|icon=net|iconborder=none|class=mw15}} {{#var:55|Mapnetz der Zentrale}}
+| {{b|{{#var:Quelle}} }} || {{ic|{{#var:netmap_remotenet_zentrale}} |dr|icon=net|iconborder=none|class=mw18}} {{#var:55}}
 |-
-| {{b| {{#var:49|Ziel}} }} || {{ic| internal network |dr|icon=net|iconborder=none|class=mw15}}
+| {{b|{{#var:Ziel}} }} || {{ic|internal network |dr|icon=net|iconborder=none|class=mw18}}
 |-
-| {{b| {{#var:51|Dienst}} }} ||  {{ic| any |dr|icon=other|iconborder=none|class=mw15}} {{#var:any-Dienst--desc}}
+| {{b|{{#var:Dienst}} }} || {{ic|any |dr|icon=other|iconborder=none|class=mw18}} {{#var:any-Dienst--desc}}
 |-
-| {{Kasten| <nowiki>[–]</nowiki> NAT}} {{b|{{#var:53|Typ}} }} ||  {{Hinweis-neu| {{#var:112|! Hierfür wird kein NAT vom Typ NETMAP mehr benötigt}} |gelb}}
+| {{Kasten| <nowiki>[–]</nowiki> NAT}} {{b|{{#var:Typ|Typ}} }} ||  {{Hinweis-box|{{#var:112}} |g}}
 |}
 </div>
 ----
 ==== {{#var:Portfilterregeln}} ====
 <div class="Einrücken">
-{{#var:Portfilterregeln--desc}}
+{{#var:Portfilterregeln--desc}}<br>
-<p>{{#var:105|Zwei Möglichkeiten stehen zur Verfügung:}}</p>
+{{#var:105}}
+</div>
 ===== {{#var:Implizite Regeln}} =====
-<div class="Einrücken">{{pt3| {{#var:Implizite Regeln--Bild}} | {{#var:Implizite Regeln--cap}} }}
+<div class="Einrücken">
-{{spc|utm|s|'''{{#var:Zentrale}}'''|c=grün }} & {{spc|utm|s|'''{{#var:jede Filiale}}'''|c=grün }}<br>
+{{pt3| {{#var:Implizite Regeln--Bild}} |{{#var:Implizite Regeln--cap}} }}
-{{#var:106|Menü {{Menu | Firewall|Implizite Regeln}} → Gruppe {{ic|IpsecTraffic}} → Regel {{ic|Acceppt}} {{ButtonAn|Ein}}<br>
+{{spc|utm|s|'''{{#var:Zentrale}}''' |c=grün }} & {{spc|utm|s|'''{{#var:jede Filiale}}'''|c=grün }}<br>
-<p>In diesem Falle werden Regeln im Hintergrund angelegt, die  alle Dienste für alle Rechner auf beiden Seiten zulassen. <small>'''(Default)'''</small><br>}}
+{{#var:106}}
 </div><br clear=all>
-<div style="width: 30%;"><hr></div>
 ===== {{#var:Dedizierte Portfilter Regeln}} =====
 <div class="Einrücken">
-<p>{{Hinweis-neu|! {{#var:Empfohlen}}|gr}} </p>
+<p>{{Hinweis-box|{{#var:Empfohlen}} |gr}}</p>
 <!-- {{pt3| {{#var:107|UTM_v11.8.7_Firewall_Portfilter_Regel_Netmap-Filiale2.png}} }} -->
-{{Gallery3	| | <p>{{#var:109|Eigene Portfilterregeln…}}</p>'''{{#var:ipsec-Netzwerkobjekt}}'''
+{{Gallery3| | <p>{{#var:109}}</p>'''{{#var:ipsec-Netzwerkobjekt}}'''
 			| {{#var:ipsec-Netzwerkobjekt Zentrale--Bild}} | {{#var:ipsec-Netzwerkobjekt Zentrale--desc}} | Abb2={{#var:ipsec-Netzwerkobjekt Zentrale--cap}}
 			| {{#var:ipsec-Netzwerkobjekt Filiale--Bild}} | {{#var:ipsec-Netzwerkobjekt Filiale--desc}} | Abb3={{#var:ipsec-Netzwerkobjekt Filiale--cap}}
@@ Zeile 193: / Zeile 222: @@
 <br clear=all>
-{|
+{| class="noborder sptable2 zh1"
+|-
+| {{Hinweis-box|{{#var:101}} |r}}<br> {{Hinweis-box|{{#var:112}} |g}}
+|
+| class="Bild" rowspan="3" | {{Bild| {{#var:Portfilter IPSec-Regel Zentrale--Bild}} |{{#var:Portfilter IPSec-Regel Zentrale--cap}} }}
 |-
-| | {{Hinweis-neu|! {{#var:101|Es wird für jede Filiale eine eigene Regel benötigt.}} }}
+| colspan="2" | {{#var:Zentrale ausgehende Regel}}
-{{Hinweis-neu| {{#var:112|! Hierfür wird kein NAT vom Typ NETMAP mehr benötigt}} |gelb}}
+|- class=Leerzeile
-{{#var:Zentrale ausgehende Regel}}
+|
-| class="Bild" rowspan="10" | {{Bild |  {{#var:Portfilter IPSec-Regel Zentrale--Bild}}|{{#var:Portfilter IPSec-Regel Zentrale--cap}} }}
 |}
@@ Zeile 205: / Zeile 237: @@
 |- class="bold small no1cell"
 | class="Leerzeile bc__default" |<big>{{spc|utm|s|{{#var:Zentrale}}|c=grün }}</big> {{#var:Übersicht der Portfilterregeln}} || || <nowiki>#</nowiki> || class=mw12 | {{#var:Quelle}} || class=mw12 | {{#var:Ziel}} || class=mw12 | {{#var:Dienst}} || class=mw6 | NAT || {{#var:Aktion}} || {{#var:Aktiv}} || class=mw12 |
 |-
-| class="bc__default" | {{#var:netmap Regel in Zentrale}}, {{#var:um das eigene lokale Netz zu mappen}} || {{spc|drag|o|-}} || 4 || {{spc|net|o|-}} internal network || {{spc|net|o|-}} {{#var:netmap_remotenet_Filiale}}1 || {{spc|other|o|-}} any || {{Kasten|NM|blau|title="Netzwerkobjekt: {{#var:netmap_localnet}}"}} || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}}
+| class="bc__default" | {{#var:netmap Regel in Zentrale}}, {{#var:um das eigene lokale Netz zu mappen}} || {{spc|drag|o|-}} || 4 || {{spc|net|o|-}} internal network || {{spc|net|o|-}} {{#var:netmap_remotenet_Filiale}}1 || {{spc|other|o|-}} any || {{Kasten|NM|blau|title={{#var:Netzwerkobjekt}}: netmap_localnet}} || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}}
 |-
-| class="bc__default" | {{#var:netmap Regel in Zentrale}}, {{#var:um das Netz der Filiale zu mappen}} || {{spc|drag|o|-}} || 5 || {{spc|net|o|-}} {{#var:netmap_remotenet_Filiale}}1 || {{spc|net|o|-}} internal network || {{spc|other|o|-}} any || {{Kasten|NM|blau|title="Netzwerkobjekt: {{#var:netmap_localnet}}"}} || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}}
+| class="bc__default" | {{#var:netmap Regel in Zentrale}}, {{#var:um das Netz der Filiale zu mappen}} || {{spc|drag|o|-}} || 5 || {{spc|net|o|-}} {{#var:netmap_remotenet_Filiale}}1 || {{spc|net|o|-}} internal network || {{spc|other|o|-}} any || || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}}
 |-
-| class="bc__default" | {{#var:Eingehender Netzwerkverkehr in der Zentrale von Filiale}} || {{spc|drag|o|-}} || 6 || {{spc|vpn-network|o|ipsec_remotenet_{{#var:Filiale}}1 }}  || {{spc|net|o|-}} internal network || {{spc|tcp|o|-}} ms-rdp || || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}}
+| class="bc__default" | {{#var:Eingehender Netzwerkverkehr in der Zentrale von Filiale}} <small>({{#var:Beispielhafte Portfilterregel}})</small> || {{spc|drag|o|-}} || 6 || {{spc|vpn-network|o|ipsec_remotenet_{{#var:Filiale}}1 }}  || {{spc|net|o|-}} internal network || {{spc|tcp|o|-}} ms-rdp || || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}}
 |- class="Leerzeile bc__default"
 | <br>
 |- class="bold small no1cell"
 | class="Leerzeile bc__default" | <big>{{spc|utm|s|{{#var:Filiale}}|c=grün }}</big> {{#var:Übersicht der Portfilterregeln}}|| || <nowiki>#</nowiki> || style="min-width:12em;"| {{#var:Quelle}} || style="min-width:12em;"| {{#var:Ziel}} || style="min-width:12em;"| {{#var:Dienst}} || style="min-width:6em;"| NAT || {{#var:Aktion}} || {{#var:Aktiv}} ||style="min-width:5em;"|
 |-
-| class="bc__default" | {{#var:netmap Regel in Filiale}}, {{#var:um das eigene lokale Netz zu mappen}} || {{spc|drag|o|-}} || 4 || {{spc|net|o|-}} internal network || {{spc|net|o|-}} {{#var:mapnet_remotenet_Zentrale}} || {{spc|other|o|-}} any || {{Kasten|NM|blau|title="Netzwerkobjekt: {{#var:netmap_remotenet_Filiale}}"}} || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}}
+| class="bc__default" | {{#var:netmap Regel in Filiale}}, {{#var:um das eigene lokale Netz zu mappen}} || {{spc|drag|o|-}} || 4 || {{spc|net|o|-}} internal network || {{spc|net|o|-}} {{#var:mapnet_remotenet_Zentrale}} || {{spc|other|o|-}} any || {{Kasten|NM|blau|title={{#var:Netzwerkobjekt}}: netmap_localnet}} || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}}
 |-
-| class="bc__default" | {{#var:netmap Regel in Filiale}}, {{#var:um das Netz der Zentrale zu mappen}} || {{spc|drag|o|-}} || 5 || {{spc|net|o|-}} {{#var:mapnet_remotenet_Zentrale}} || {{spc|net|o|-}} internal network || {{spc|other|o|-}} any || {{Kasten|NM|blau|title="Netzwerkobjekt: {{#var:netmap_remotenet_Filiale}}"}} || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}}
+| class="bc__default" | {{#var:netmap Regel in Filiale}}, {{#var:um das Netz der Zentrale zu mappen}} || {{spc|drag|o|-}} || 5 || {{spc|net|o|-}} {{#var:mapnet_remotenet_Zentrale}} || {{spc|net|o|-}} internal network || {{spc|other|o|-}} any || || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}}
 |-
-| class="bc__default" | {{#var:Ausgehender Netzwerkverkehr in der Filiale}} {{#var:zur Zentrale}}|| {{spc|drag|o|-}} || 6 || {{spc|network|o|-}} internal-network || {{spc|vpn-network|o|-}} ipsec_remotenet_Zentrale || {{spc|tcp|o|-}} ms-rdp ||  || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}}
+| class="bc__default" | {{#var:Ausgehender Netzwerkverkehr in der Filiale}} {{#var:zur Zentrale}} <small>({{#var:Beispielhafte Portfilterregel}})</small> || {{spc|drag|o|-}} || 6 || {{spc|network|o|-}} internal-network || {{spc|vpn-network|o|-}} ipsec_remotenet_Zentrale || {{spc|tcp|o|-}} ms-rdp ||  || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}}
 |}
 <!--
 {| class="sptable pd5"
-! class="Leerzeile top" rowspan=6" | {{spc|utm|s|'''{{#var:Zentrale}}'''|c=grün }} !! colspan="2" | {{#var:47|Auf der Seite der}} {{spc|utm|s|'''{{#var:Zentrale}}'''|c=grün }} {{#var:für eingehenden Netzwerkverkehr}}
+! class="Leerzeile top" rowspan=6" | {{spc|utm|s|'''{{#var:Zentrale}}'''|c=grün }} !! colspan="2" | {{#var:47}} {{spc|utm|s|'''{{#var:Zentrale}}'''|c=grün }} {{#var:für eingehenden Netzwerkverkehr}}
-| class="Bild" rowspan="10" | {{Bild |  {{#var:Portfilter IPSec-Regel Zentrale--Bild}}|{{#var:Portfilter IPSec-Regel Zentrale--cap}} }}
+| class="Bild" rowspan="10" | {{Bild| {{#var:Portfilter IPSec-Regel Zentrale--Bild}} |{{#var:Portfilter IPSec-Regel Zentrale--cap}} }}
 |-
-| {{b| {{#var:48|Quelle}} }} || {{ic| ipsec_remotenet |dr|icon=vpn-network|iconborder=none|class=mw15}} {{#var:111|(Mapnetz der VPN Gegenstelle)}}
+| {{b|{{#var:Quelle}} }} || {{ic|ipsec_remotenet |dr|icon=vpn-network|iconborder=none|class=mw18}} {{#var:111}}
 |-
-| {{b| {{#var:49|Ziel}} }} || {{ic| internal network |dr|icon=net|iconborder=none|class=mw15}}
+| {{b|{{#var:Ziel}} }} || {{ic|internal network |dr|icon=net|iconborder=none|class=mw18}}
 |-
-| {{b| {{#var:51|Dienst}} }} || {{ic| ms-rdp |dr|icon=tcp|iconborder=none|class=mw15}} {{#var:91|Benötigte Dienste}}
+| {{b|{{#var:Dienst}} }} || {{ic|ms-rdp |dr|icon=tcp|iconborder=none|class=mw18}} {{#var:91}}
 |- class="Leerzeile"
-|  || {{Hinweis-neu|! {{#var:101|Es wird für jede Filiale eine eigene Regel benötigt.}} }}
+|  || {{Hinweis-box|{{#var:101}} }}
-{{Hinweis-neu| {{#var:112|! Hierfür wird kein NAT vom Typ NETMAP mehr benötigt}} |gelb}}
+{{Hinweis-box|{{#var:112}} |g}}
 {{#var:Zentrale ausgehende Regel}}
 |- class="Leerzeile"
 |
 |-
-! class="Leerzeile top" rowspan=5" | {{spc|utm|s|'''{{#var:Filiale}}'''|c=grün }} !! colspan="2" | {{#var:47|Auf der Seite der}} {{spc|utm|s|'''{{#var:Filiale}}'''|c=grün }} für ausgehenden Netzwerkverkehr
+! class="Leerzeile top" rowspan=5" | {{spc|utm|s|'''{{#var:Filiale}}''' |c=grün }} !! colspan="2" | {{#var:47}} {{spc|utm|s|'''{{#var:Filiale}}''' |c=grün}} für ausgehenden Netzwerkverkehr
 |-
-| {{b| {{#var:48|Quelle}} }} || {{ic| internal network |dr|icon=net|iconborder=none|class=mw15}}
+| {{b|{{#var:Quelle}} }} || {{ic|internal network |dr|icon=net|iconborder=none|class=mw18}}
 |-
-| {{b| {{#var:49|Ziel}} }} || {{ic| ipsec_remotenet |dr|icon=vpn-network|iconborder=none|class=mw15}} {{#var:111|(Mapnetz der VPN Gegenstelle)}}
+| {{b|{{#var:Ziel}} }} || {{ic|ipsec_remotenet |dr|icon=vpn-network|iconborder=none|class=mw18}} {{#var:111}}
 |-
-| {{b| {{#var:51|Dienst}} }} || {{ic| ms-rdp |dr|icon=tcp|iconborder=none|class=mw15}} {{#var:91|Benötigte Dienste}}
+| {{b|{{#var:Dienst}} }} || {{ic|ms-rdp |dr|icon=tcp|iconborder=none|class=mw18}} {{#var:91}}
 |- class="Leerzeile"
 |
 |}
 -->
+</div></div>
+----
-</div></div>
-----
+==== {{#var:71}} ====
-==== {{#var:71|Erreichbarkeit von Hosts der Gegenstelle}} ====
 <div class="Einrücken">
-{{#var:72|Ein Rechner mit der IP-Adresse 172.16.3.10 in der Filiale wird von der Zentrale aus mit der IP-Adresse 10.0.2.10 angesprochen.<br>
+{{#var:72}}
-Einen Rechner mit der IP-Adresse 172.16.3.120 in der Zentrale wird von der Filiale aus mit der IP-Adresse 10.0.1.120 angesprochen.}}
 </div>
 <div style="width: 100%; height:10px; background: {{Farbe|rot}}"></div>
+'''{{#var:16}} '''
-'''{{#var:16|Ausgangslage:}} '''
+=== {{#var:73}} ===
-=== {{#var:73|Mehrere Filialen haben das gleiche Subnetz}} ===
 <div class="Einrücken">
-{{pt3|{{#var:74|Netmap_sz2.png}} |hochkant=2}}
+{{pt3| {{#var:74}} |hochkant=2}}
 {| class="sptable0 pd5"
 |-
-| || {{#var:75|Lokales Netz}} || {{#var:76|Öffentliche IP}} || {{#var:77|Netmap}}
+| || {{#var:75}} || {{#var:76}} || Netmap
 |-
-| {{#var:10|Zentrale:}} ||172.16.'''0'''.0/24 || 192.0.2.192 || ''{{#var:78|nicht erforderlich}} ''
+| {{#var:10}} || 172.16.'''0'''.0/24 || 192.0.2.192 || ''{{#var:78}} ''
 |-
-| {{#var:Filiale}} 1: ||  172.16.'''3'''.0/24 || 192.0.2.193 || ''{{#var:78|nicht erforderlich}}''
+| {{#var:Filiale}} 1: ||  172.16.'''3'''.0/24 || 192.0.2.193 || ''{{#var:78}}''
 |-
 | {{#var:Filiale}} 2: ||  172.16.'''3'''.0/24 || 192.0.2.194 || 10.0.1.0/24
 |}
-<br>
+<br clear=all>
-{{#var:79|Hierbei wird das Mapping nur auf den Filialen eingerichtet, die das gleiche Netzwerk nutzen wie auf einer schon eingerichteten VPN-Verbindung. In der Zentrale wird kein Mapping benötigt, sofern sich das interne Netz der Zentrale von denen der Filiale unterscheidet. Ebenfalls kann in einer Filiale das vorhandene Netz ohne Mapping verwendet werden.}}
+{{#var:79}}
 <li class="list--element__alert list--element__warning">{{#var:Mapnetz-Warnung}}</li>
 </div><br clear=all>
+----
-----
-==== {{#var:60|VPN-Verbindung anlegen}} ====
+==== {{#var:VPN-Verbindung anlegen}} ====
 <div class="xnop">
-{{pt3| {{#var:93|UTM_v11.8.7_VPN_IPSEC-Verbindung_Schritt4b.png}} | hochkant=1.6| {{#var:93b|Schritt 4 mit Remotenetz}} }}
+{{pt3| {{#var:93}} |hochkant=1.6| {{#var:93b}} }}
-{{pt3 | {{#var:94|UTM_v11.8.7_VPN_IPSEC-Verbindung_Schritt3.png}} | hochkant=1.6| {{#var:95|Schritt 3  in {{spc|utm|s|'''Filiale 2'''|c=grün }} mit lokalem '''Map'''netz}} }}
+{{pt3| {{#var:94}} |hochkant=1.6| {{#var:95}} }}
-<p>{{#var:65|Anlegen einer IPSec-Site-to-Site VPN-Verbindung, [http://wiki.securepoint.de/index.php/IPSec_Site_to_Site_v11#VPN-Verbindung_anlegen wie im Wiki beschrieben].}}<br></p><br>
+<p>{{#var:65}}</p>
+<br>
-<p>{{spc|utm|s|'''{{#var:Filiale}} 1'''|c=grün }} <small>{{#var:nicht abgebildet}}</small>
+<p>{{spc|utm|s|'''{{#var:Filiale}} 1''' |c=grün}} <small>{{#var:nicht abgebildet}}</small>
 <div class="Einrücken">
 * {{#var:Filiale1 behält Subnetz}}
-<li class="list--element__alert list--element__hint">{{#var:96|In Schritt 3 muss das lokale Netz (ohne mapping) freigegeben werden.<br>Im Beispiel: }} {{cb|172.16.3.0/24}}</li>
+<li class="list--element__alert list--element__hint">{{#var:96}}</li>
-</div></p><br>
+</div></p>
-<p>{{spc|utm|s|'''{{#var:Filiale}} 2'''|c=grün }} <small>{{#var:97|(und ggf. weitere Filialen)}}</small>
+<p>{{spc|utm|s|'''{{#var:Filiale}} 2'''|c=grün }} <small>{{#var:97}}</small>
 <div class="Einrücken">
 <li class="list--element__alert list--element__hint">{{#var:Schritt 3 lokales Mapnetz freigeben}} {{cb|10.0.1.0/24}} </li>
 </div></p><br>
-<p>{{spc|utm|s|'''{{#var:jede Filiale}} '''|c=grün }}
+<p>{{spc|utm|s|'''{{#var:jede Filiale}}''' |c=grün}}
 <div class="Einrücken">
 <li class="list--element__alert list--element__hint">{{#var:Remote-Netz der Zentrale freigeben}} {{cb|172.16.0.0/24}}</li>
 </div></p><br>
-<p>{{spc|utm|s|'''{{#var:Zentrale}}'''|c=grün }}
+<p>{{spc|utm|s|'''{{#var:Zentrale}}''' |c=grün}}
 <div class="Einrücken">
-<li class="list--element__alert list--element__warning">{{#var:101|Es wird für '''jede Filiale''' eine Verbindung benötigt.}}</li>
+<li class="list--element__alert list--element__warning">{{#var:101}}</li>
-* {{#var:102|In Schritt 3 muss das lokale Netz freigegeben werden.<br>Im Beispiel:}} {{cb|172.16.0.0/24}}
-* {{#var:103|in Schritt 4 wird das gemapte Remote-Netz der entsprechenden Filiale freigegeben.<br>Im Beispiel:}} {{cb|10.0.1.0/24}}
-</div></p>
+* {{#var:102}} {{cb|172.16.0.0/24}}
-</div>
+* {{#var:103}} {{cb|10.0.1.0/24}}
-<br clear=all>
+</div></p></div><br clear=all>
 ----
-==== {{#var:26|Netzwerkobjekte erstellen}} ====
+==== {{#var:Netzwerkobjekte erstellen}} ====
 <div class="Einrücken">
-{{pt3| {{#var:83|UTM_v11.8.7_Firewall_Portfilter_Netzwerkobjekte_localnet-filiale2.png}} | hochkant=1.2| {{#var:84|Netzwerkobjekt in der Filiale 2 für das eigene Mapnetz (Lokal). So wird die '''Filiale 2''' für die Zentrale gemapt.}} }}
+{{pt3| {{#var:83}} |hochkant=1.2| {{#var:84}} }}
-{{pt3 | {{#var:83b| UTM_v11.8.7_Netzwerk_Portfilter_Netzwerkobjekte_f2z.png }} | hochkant=1.2 | {{#var:84b| Netzwerkobjekt in der Filiale 2 für das Netz der Zentrale }} }}
+{{pt3| {{#var:83b}} |hochkant=1.2| {{#var:84b}} }}
 <p>{{#var:mapnet der Zentrale für Filialen}}</p>
 <p>{{#var:Lokales Mapnetz für Filialen}}</p>
 <li class="list--element__alert list--element__warning">{{#var:Lokales Mapnetz für Filialen--Hinweis}}</li>
 </div><br clear=All>
-<div style="width: 30%;"><hr></div>
-==== {{#var:86|NETMAP Regel anlegen}} ====
+==== {{#var:86}} ====
+{{pt3| {{#var:87}} |{{#var:88}} }}
-{{pt3| {{#var:87|UTM_v11.8.7_Firewall_Portfilter_Regel_Netmap-Filiale.png}} |{{#var:88|NETMAP Portfilterregel}} }}
+{{#var:89}}
-{{#var:89|Portfilterregeln in der '''Filiale 2'''}}
 {| class="sptable pd5"
-! class="Leerzeile top"  rowspan="14" | {{spc|utm|s|'''{{#var:Filiale}} 2'''|c=grün }} !! colspan="2" | {{#var:47|Auf der Seite der}} {{spc|utm|s|'''{{#var:Filiale}} 2'''|c=grün }} {{#var:Mapping ausgehend}}
+! class="Leerzeile top" rowspan="14" | {{spc|utm|s|'''{{#var:Filiale}} 2''' |c=grün}} !! colspan="2" | {{#var:47}} {{spc|utm|s|'''{{#var:Filiale}} 2''' |c=grün}} {{#var:Mapping ausgehend}}
 |-
-| {{b| {{#var:48|Quelle}} }} || {{ic| internal network|dr|icon=net|iconborder=none|class=mw17}}
+| {{b|{{#var:Quelle}} }} || {{ic|internal network|dr|icon=net|iconborder=none|class=mw18}}
 |-
-| {{b| {{#var:49|Ziel}} }} || {{ic| {{#var:mapnet_remotenet_Zentrale}} |dr|icon=vpn-network|iconborder=none|class=mw17}}
+| {{b|{{#var:Ziel}} }} || {{ic|{{#var:mapnet_remotenet_Zentrale}} |dr|icon=network|iconborder=none|class=mw18}}
 |-
-| {{b| {{#var:51|Dienst}} }} || {{ic| any |dr|icon=other|iconborder=none|class=mw17}} {{#var:any-Dienst--desc}}
+| {{b|{{#var:Dienst}} }} || {{ic|any|dr|icon=other|iconborder=none|class=mw18}} {{#var:any-Dienst--desc}}
 |-
-| {{b|{{#var:Aktion}} }} || {{Button|Accept|dr|class=mw17}} {{#var:Aktion--desc}}
+| {{b|{{#var:Aktion}} }} || {{Button|Accept|dr|class=mw18}}
 |-
-| {{Kasten| <nowiki>[–]</nowiki> NAT}} {{b|{{#var:53|Typ}} }} || {{Button| NETMAP|dr|class=mw17}}
+| {{Kasten| <nowiki>[–]</nowiki> NAT}} {{b|{{#var:Typ}} }} || {{Button|NETMAP|dr|class=mw18}}
 |-
-| {{b| {{#var:54|Netzwerkobjekt}} }} || {{ic| {{#var:mapnet_localnet_Filiale2}} |dr|icon=net|iconborder=none|class=mw17}}
+| {{b|{{#var:Netzwerkobjekt}} }} || {{ic|{{#var:mapnet_localnet_Filiale2}} |dr|icon=net|iconborder=none|class=mw18}}
 |-
-| {{b| {{#var:51|Dienst}} }} || {{ic| any |dr|icon=other|iconborder=none|class=mw17}} {{#var:any-Dienst--desc}}
+| {{b|{{#var:Dienst}} }} || {{ic|any|dr|icon=other|iconborder=none|class=mw18}} {{#var:any-Dienst--desc}}
 |}
 <br clear=All>
 ----
@@ Zeile 376: / Zeile 385: @@
 <div class="Einrücken">
 {{#var:Portfilterregeln--desc}}
-<p>{{#var:105|Zwei Möglichkeiten stehen zur Verfügung:}}</p>
+<p>{{#var:105}}</p>
+</div>
 ===== {{#var:Implizite Regeln}} =====
-<div class="Einrücken">{{pt3| {{#var:Implizite Regeln--Bild}} | {{#var:Implizite Regeln--cap}} }}
+<div class="Einrücken">
+{{pt3| {{#var:Implizite Regeln--Bild}} |{{#var:Implizite Regeln--cap}} }}
 {{spc|utm|s|'''{{#var:Zentrale}}'''|c=grün }} & {{spc|utm|s|'''{{#var:jede Filiale}}'''|c=grün }}<br>
-{{#var:106|Menü {{Menu | Firewall|Implizite Regeln}} → Gruppe {{ic|IpsecTraffic}} → Regel {{ic|Acceppt}} {{ButtonAn|Ein}}<br>
+{{#var:106}}
-<p>In diesem Falle werden Regeln im Hintergrund angelegt, die  alle Dienste für alle Rechner auf beiden Seiten zulassen. <small>'''(Default)'''</small><br>}}
 </div><br clear=all>
-<div style="width: 30%;"><hr></div>
 ===== {{#var:Dedizierte Portfilter Regeln}} =====
 <div class="Einrücken">
-<p>{{Hinweis-neu|! {{#var:Empfohlen}}|gr}} </p>
+<p>{{Hinweis-box|{{#var:Empfohlen}} |gr}}</p>
-<!-- {{pt3| {{#var:107|UTM_v11.8.7_Firewall_Portfilter_Regel_Netmap-Filiale2.png}} }} -->
+<!-- {{pt3| {{#var:107}} }} -->
-{{Gallery3	| | <p>{{#var:109|Eigene Portfilterregeln…}}</p>'''{{#var:ipsec-Netzwerkobjekt}}'''
+{{Gallery3| | <p>{{#var:109}}</p>''' {{#var:ipsec-Netzwerkobjekt}}'''
 			| {{#var:Netzwerkobjekt ipsec-vpn Filiale2 in Zentrale--Bild}} | {{#var:Netzwerkobjekt ipsec-vpn Filiale2 in Zentrale--desc}} | Abb2={{#var:Netzwerkobjekt ipsec-vpn Filiale2 in Zentrale--cap}}
 			| {{#var:Netzwerkobjekt ipsec-vpn Zentrale in Filiale2--Bild}} | {{#var:ipsec-Netzwerkobjekt Filiale2--desc}} | Abb3={{#var:Netzwerkobjekt ipsec-vpn Zentrale in Filiale2--cap}}
 |i=3| class-cell1=blank noborder}}
 <br clear=all>
@@ Zeile 401: / Zeile 412: @@
 |- class="bold small no1cell"
 | class="Leerzeile bc__default" |<big>{{spc|utm|s|{{#var:Zentrale}}|c=grün }}</big> {{#var:Übersicht der Portfilterregeln}} || || <nowiki>#</nowiki> || class=mw12 | {{#var:Quelle}} || class=mw12 | {{#var:Ziel}} || class=mw12 | {{#var:Dienst}} || class=mw6 | NAT || {{#var:Aktion}} || {{#var:Aktiv}} || class=mw12 |
 |-
-| class="bc__default" | {{#var:Eingehender Netzwerkverkehr in der Zentrale von Filiale}}1 || {{spc|drag|o|-}} || 4 || {{spc|vpn-network|o|ipsec_remotenet_{{#var:Filiale}}1 }}  || {{spc|net|o|-}} internal network || {{spc|tcp|o|-}} ms-rdp ||  || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}}
+| class="bc__default" | {{#var:Eingehender Netzwerkverkehr in der Zentrale von Filiale}}1 <small>({{#var:Beispielhafte Portfilterregel}})</small> || {{spc|drag|o|-}} || 4 || {{spc|vpn-network|o|ipsec_remotenet_{{#var:Filiale}}1 }}  || {{spc|net|o|-}} internal network || {{spc|tcp|o|-}} ms-rdp ||  || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}}
 |-
-| class="bc__default" | {{#var:Eingehender Netzwerkverkehr in der Zentrale von Filiale}}2 || {{spc|drag|o|-}} || 5 || {{spc|vpn-network|o|ipsec_remotenet_{{#var:Filiale}}2 }} || {{spc|net|o|-}} internal network || {{spc|tcp|o|-}} ms-rdp ||  || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}}
+| class="bc__default" | {{#var:Eingehender Netzwerkverkehr in der Zentrale von Filiale}}2 <small>({{#var:Beispielhafte Portfilterregel}})</small> || {{spc|drag|o|-}} || 5 || {{spc|vpn-network|o|ipsec_remotenet_{{#var:Filiale}}2 }} || {{spc|net|o|-}} internal network || {{spc|tcp|o|-}} ms-rdp ||  || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}}
 |- class="Leerzeile bc__default"
 | <br>
 |- class="bold small no1cell"
 | class="Leerzeile bc__default" | <big>{{spc|utm|s|{{#var:Filiale}}1|c=grün }}</big> {{#var:Übersicht der Portfilterregeln}}|| || <nowiki>#</nowiki> || style="min-width:12em;"| {{#var:Quelle}} || style="min-width:12em;"| {{#var:Ziel}} || style="min-width:12em;"| {{#var:Dienst}} || style="min-width:6em;"| NAT || {{#var:Aktion}} || {{#var:Aktiv}} ||style="min-width:5em;"|
 |-
-| class="bc__default" | {{#var:Ausgehender Netzwerkverkehr in der Filiale}}1 {{#var:zur Zentrale}}|| {{spc|drag|o|-}} || 5 || {{spc|network|o|-}} internal-network || {{spc|vpn-network|o|-}} ipsec_remotenet_Zentrale || {{spc|tcp|o|-}} ms-rdp ||  || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}}
+| class="bc__default" | {{#var:Ausgehender Netzwerkverkehr in der Filiale}}1 {{#var:zur Zentrale}} <small>({{#var:Beispielhafte Portfilterregel}})</small> || {{spc|drag|o|-}} || 5 || {{spc|network|o|-}} internal-network || {{spc|vpn-network|o|-}} ipsec_remotenet_Zentrale || {{spc|tcp|o|-}} ms-rdp ||  || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}}
 |- class="Leerzeile bc__default"
 | <br>
 |- class="small bold no1cell"
 | class="Leerzeile bc__default" | <big>{{spc|utm|s|{{#var:Filiale}}2|c=grün }}</big> {{#var:Übersicht der Portfilterregeln}} || || <nowiki>#</nowiki> || style="min-width:12em;" class=bold | {{#var:Quelle}} || style="min-width:12em;"| {{#var:Ziel}} || style="min-width:12em;"| {{#var:Dienst}} || style="min-width:6em;"| NAT || {{#var:Aktion}} || {{#var:Aktiv}} ||style="min-width:5em;"|
 |-
 | class="bc__default" | {{#var:netmap Regel in Filiale}}2, {{#var:um das eigene lokale Netz zu mappen}} || {{spc|drag|o|-}} || 4 || {{spc|net|o|-}} internal network || {{spc|net|o|-}} {{#var:mapnet_remotenet_Zentrale}} || {{spc|other|o|-}} any || {{Kasten|NM|blau|title="Netzwerkobjekt: {{#var:mapnet_localnet_Filiale2}}"}} || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}}
 |-
-| class="bc__default" | {{#var:Ausgehender Netzwerkverkehr in der Filiale}}2 {{#var:zur Zentrale}}|| {{spc|drag|o|-}} || 5 || {{spc|network|o|-}} internal-network || {{spc|vpn-network|o|-}} ipsec_remotenet_Zentrale || {{spc|tcp|o|-}} ms-rdp ||  || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}}
+| class="bc__default" | {{#var:Ausgehender Netzwerkverkehr in der Filiale}}2 {{#var:zur Zentrale}} <small>({{#var:Beispielhafte Portfilterregel}})</small> || {{spc|drag|o|-}} || 5 || {{spc|network|o|-}} internal-network || {{spc|vpn-network|o|-}} ipsec_remotenet_Zentrale || {{spc|tcp|o|-}} ms-rdp ||  || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}}
 |}
 ----
-==== {{#var:114|Erreichbarkeit von Hosts der Gegenstelle}} ====
+==== {{#var:114}} ====
+<div class="Einrücken">
-{{#var:115|Ein Rechner mit der IP-Adresse 172.16.3.10 in der Filiale 1 wird von der Zentrale aus mit eben dieser IP-Adresse (172.1.6.3.10) angesprochen.<br>
+{{#var:115}}
-Ein Rechner mit der IP-Adresse 172.16.3.10 in der Filiale 2 wird von der Zentrale aus mit der gemapten IP-Adresse 10.0.1.10 angesprochen.<br>
+<br clear=all></div>
-Einen Rechner mit der IP-Adresse 172.16.0.120 in der Zentrale wird von der Filiale aus mit der IP-Adresse 172.16.0.120 angesprochen.}}

notempty Es wird für jede Filiale eine Verbindung benötigt. notempty Hierfür wird kein NAT vom Typ NETMAP mehr benötigt		Portfilter Regel Zentrale für eingehendes IPSec-VPN
Soll auch von der Zentrale aus, auf die Filiale zugegriffen werden, sind entsprechend weitere Regeln notwendig (z.B. um VoIP-Verbindungen aufbauen zu können).