Wechseln zu:Navigation, Suche
Wiki
Keine Bearbeitungszusammenfassung
Keine Bearbeitungszusammenfassung
Zeile 1: Zeile 1:
{{DISPLAYTITLE:Securepoint UTM SSL-VPN Roadwarrior Netmap}}
{{DISPLAYTITLE:SSL-VPN Roadwarrior Netmap}}
==NATten von gleichen Ziel-Subnetzen bei gleichzeitigem VPN-Verbindungsaufbau eines VPN-Client zu verschiedenen Standorten==
== Informationen ==
Letze Anpassung zur Version: '''11.7'''
<br>
Bemerkung: Funktions- und Designanpassung
<br>
Vorherige Versionen: [[UTM/VPN/SSL_VPN-Roadwarrior-Netmap_v11.6 | 11.6.12]]
<br>
 
== Einleitung ==
In diesem Wiki wollen wir den Fall behandeln, wenn ein Roadwarrior gleichzeitig eine VPN Verbindung zu verschiedenen Zielen aufbaut, die aber jeweils das gleiche Subnetz verwenden. Weiterhin bekommt der VPN-Client auch noch eine Adresse aus dem gleichen Roadwarrior Pool von den VPN-Servern. In diesem Fall hätte der Client natürlich das Problem, dass er nicht zwischen den Zielen unterscheiden kann.
In diesem Wiki wollen wir den Fall behandeln, wenn ein Roadwarrior gleichzeitig eine VPN Verbindung zu verschiedenen Zielen aufbaut, die aber jeweils das gleiche Subnetz verwenden. Weiterhin bekommt der VPN-Client auch noch eine Adresse aus dem gleichen Roadwarrior Pool von den VPN-Servern. In diesem Fall hätte der Client natürlich das Problem, dass er nicht zwischen den Zielen unterscheiden kann.


Zeile 20: Zeile 28:
</table>
</table>


Weiterhin gehen wir davon aus, dass die SSL-VPN Roadwarrior Verbindung bereits eingerichtet ist und funktioniert.


Weiterhin gehen wir davon aus, dass die SSL-VPN Roadwarrior Verbindung schon eingerichtet ist und auch funktioniert wenn nur eine einzige Verbindung aufgebaut wird.
==Konfiguration des SSL-VPN Roadwarriorserver mit Netmap==
 
===Vorbereitungen===
===Vorbereitungen===
Zur Nutzung der NETMAP Funktion sind folgende Bedingungen zu beachten:
Zur Nutzung der NETMAP Funktion sind folgende Bedingungen zu beachten:
*Die Subnetze der am NETMAP beteiligten Objekte müssen alle die gleiche Größe haben, zum Beispiel alle /24.
*Die Subnetze der am NETMAP beteiligten Objekte müssen alle die gleiche Größe haben, zum Beispiel alle /24.
*Alle beteiligten Objekte müssen eine definierte Netzwerk IP-Adresse eingetragen haben. Es dürfen also keine Schnittstellen ausgewählt werden.
*Alle beteiligten Objekte müssen eine definierte Netzwerk IP-Adresse eingetragen haben. Es dürfen also keine Schnittstellen ausgewählt werden.
 
<br>
 
[[Datei:UTM115_AI_PFNOintaddr.png|250px|thumb|right|Netzwerkobjekt auf Adresse umstellen]]
[[Datei:UTM115_AI_PFNOintaddr.png|250px|thumb|right|Netzwerkobjekt auf Adresse umstellen]]
Das Netzwerkobjekt des Internen Netzwerkes darf nicht auf die Schnittstelle eingerichtet sein. Dieses kann gegebenenfalls auf Adresse umgestellt werden indem der Radio-Button vor ''Adresse'' aktiviert und die Netzwerk-Adresse mit der entsprechenden Subnetzmaske in das Feld eintragen wird. In diesem Beispiel haben wir auf beiden Seiten das Netzwerk 192.168.0.0/24
Das Netzwerkobjekt des Internen Netzwerkes darf nicht auf die Schnittstelle eingerichtet sein. Dieses kann gegebenenfalls auf Adresse umgestellt werden indem der Radio-Button vor ''Adresse'' aktiviert und die Netzwerk-Adresse mit der entsprechenden Subnetzmaske in das Feld eintragen wird. In diesem Beispiel haben wir auf beiden Seiten das Netzwerk 192.168.0.0/24
 
<br><br><br><br>
 
<br><br><br><br>
 
 
 
 
 


===Einstellung im SSL-VPN Server===
===Einstellung im SSL-VPN Server===
[[Datei:UTM115_AI_VSVnetmap2.png|250px|thumb|right|Netmap Adresse im Roadwarrior-Server]]
[[Datei:utm_ssl-vpn_roadwarrior-netmap02.png|250px|thumb|right|Netmap Adresse im Roadwarrior-Server]]
Unter dem Menüpunkt befinden sich die Einstellungen für SSL-VPN. Hier wird die zu ändernde Rodwarrior-Server Instanz ausgewählt und bearbeitet.
Unter dem Menüpunkt befinden sich die Einstellungen für SSL-VPN. Hier wird die zu ändernde Rodwarrior-Server Instanz ausgewählt und bearbeitet.


Zeile 46: Zeile 48:


Sollten weitere Subnetze an den Client übermittelt werden, muss vorher überprüft werden, dass diese nicht auch auf anderen Zielen vorhanden sind.
Sollten weitere Subnetze an den Client übermittelt werden, muss vorher überprüft werden, dass diese nicht auch auf anderen Zielen vorhanden sind.
 
<br><br><br><br>
 
<br><br><br><br>
 
<br><br><br><br>
 
 
 
 
 
 
 
 
 


===Netzwerkobjekte erstellen===
===Netzwerkobjekte erstellen===
Zeile 76: Zeile 69:
</tr>
</tr>
</table>
</table>
 
<br><br><br><br>
 


===Portfilterregeln===
===Portfilterregeln===
Zeile 85: Zeile 77:


Bei dieser Portfilterregel geht es um die grundsätzliche Steuerung der Datenübertragung vom Roadwarrior zum Internen Netzwerk mit bestimmten Diensten. Hierbei ändert sich auch nichts.
Bei dieser Portfilterregel geht es um die grundsätzliche Steuerung der Datenübertragung vom Roadwarrior zum Internen Netzwerk mit bestimmten Diensten. Hierbei ändert sich auch nichts.


[[Datei:UTM115_AI_PFRrwnm.png|250px|thumb|right|Portfilterregel für Netmap]]
[[Datei:UTM115_AI_PFRrwnm.png|250px|thumb|right|Portfilterregel für Netmap]]
Zeile 114: Zeile 100:
</tr>
</tr>
</table>
</table>
<br><br><br><br>


===Zu beachten===
==Hinweise==
Der VPN Client muss die Verbindung neu aufbauen, damit dieser auch das korrekte Subnetz übermittelt bekommt.
Der VPN Client muss die Verbindung neu aufbauen, damit dieser auch das korrekte Subnetz übermittelt bekommt.



Version vom 12. April 2017, 09:30 Uhr

Informationen

Letze Anpassung zur Version: 11.7
Bemerkung: Funktions- und Designanpassung
Vorherige Versionen: 11.6.12

Einleitung

In diesem Wiki wollen wir den Fall behandeln, wenn ein Roadwarrior gleichzeitig eine VPN Verbindung zu verschiedenen Zielen aufbaut, die aber jeweils das gleiche Subnetz verwenden. Weiterhin bekommt der VPN-Client auch noch eine Adresse aus dem gleichen Roadwarrior Pool von den VPN-Servern. In diesem Fall hätte der Client natürlich das Problem, dass er nicht zwischen den Zielen unterscheiden kann.

Hierbei kann der NAT-Typ NETMAP Abhilfe schaffen.

Netmap ssl rw.png

In unserem Beispiel nehmen wir die folgenden Vorgaben an:

Roadwarrior Pool: 192.168.250.0/24
Internes Netz der Standorte: 192.168.0.0/24
Netmap-Netz des ersten Standort:   192.168.2.0/24

Weiterhin gehen wir davon aus, dass die SSL-VPN Roadwarrior Verbindung bereits eingerichtet ist und funktioniert.

Konfiguration des SSL-VPN Roadwarriorserver mit Netmap

Vorbereitungen

Zur Nutzung der NETMAP Funktion sind folgende Bedingungen zu beachten:

  • Die Subnetze der am NETMAP beteiligten Objekte müssen alle die gleiche Größe haben, zum Beispiel alle /24.
  • Alle beteiligten Objekte müssen eine definierte Netzwerk IP-Adresse eingetragen haben. Es dürfen also keine Schnittstellen ausgewählt werden.


Netzwerkobjekt auf Adresse umstellen

Das Netzwerkobjekt des Internen Netzwerkes darf nicht auf die Schnittstelle eingerichtet sein. Dieses kann gegebenenfalls auf Adresse umgestellt werden indem der Radio-Button vor Adresse aktiviert und die Netzwerk-Adresse mit der entsprechenden Subnetzmaske in das Feld eintragen wird. In diesem Beispiel haben wir auf beiden Seiten das Netzwerk 192.168.0.0/24







Einstellung im SSL-VPN Server

Netmap Adresse im Roadwarrior-Server

Unter dem Menüpunkt befinden sich die Einstellungen für SSL-VPN. Hier wird die zu ändernde Rodwarrior-Server Instanz ausgewählt und bearbeitet.

Unter Subnetze übermitteln wird nur das Netmap-Netz eingetragen und nicht das Original Subnetz des internen Netzwerk.

Sollten weitere Subnetze an den Client übermittelt werden, muss vorher überprüft werden, dass diese nicht auch auf anderen Zielen vorhanden sind.











Netzwerkobjekte erstellen

Netzwerkobjekt für Netmap-Netz

Neben dem vorhandenen Netzwerkobjekt für den Roadwarrior, wird ein weiteres für das Netmap-Netz mit den folgenden Eigenschaften benötigt um eine entsprechende Portfilterregel zu erstellen:

Name:Ist frei wählbar. In diesem Beispiel Netmap-Netz
Typ: Netzwerk (Adresse)
Adresse:   Das Subnetz das für Netmap verwendet werden soll. In diesem Beispiel 192.168.2.0/24
Zone: Die Netzwerkzone in der sich auch das Netzwerk befindet, mit deren Hosts der Client eine Verbindung per VPN hergestellt werden soll.





Portfilterregeln

Zuletzt werden zwei Portfilterregeln benötigt.

Portfilterregel für Roadwarrior

Die erste wird schon vorhanden sein, denn die SSL-VPN Verbindung wurde ja schon angelegt und funktioniert, wenn vom Client nicht gleichzeitig eine weitere Verbindung zu einem anderen Ziel mit dem selben Subnetz aufgebaut wird.

Bei dieser Portfilterregel geht es um die grundsätzliche Steuerung der Datenübertragung vom Roadwarrior zum Internen Netzwerk mit bestimmten Diensten. Hierbei ändert sich auch nichts.

Portfilterregel für Netmap

Die zweite Portfilterregel ist neu und bezieht sich auf das Netmap. Diese hat die folgenden Eigenschaften:

Quelle:Netzwerk auf das der Roadwarrior Zugriff haben soll. In diesem Beispiel internal-network
Ziel:Netzwerk des Roadwarrior
Dienst:any
NAT-TypNETMAP
NAT-NetzwerkobjektNetmap-Netz
NAT-Dienstany





Hinweise

Der VPN Client muss die Verbindung neu aufbauen, damit dieser auch das korrekte Subnetz übermittelt bekommt.

Der Zugriff vom Client auf einen Host im internen Netzwerk erfolgt dann über die IP-Adresse 192.168.2.x, da hier die Subnetzmaske /24 definiert wurde. Das letzte Oktet ist also die Original Host-IP.
Wenn wir in diesem Beispiel also den Host mit der Original IP-Adresse 192.168.0.1 ansprechen möchten, muss der Client die IP-Adresse 192.168.2.1 verwenden um diesen zu erreichen.

Der Client kann hier nur mit IP-Adressen auf die Hosts im internen Netzwerk zugreifen. Eine DNS abfrage würde zur Folge haben, dass die Original IP des Host übertragen werden würde und darüber ist dieser vom Client nicht mehr erreichbar.