Erstellen einer L2TP-Remotezugriffsverbindung

Sie möchten eine L2TP-Verbindung für den Remotezugriff erstellen.

Einführung

Um die L2TP-Verbindung herzustellen, gehen Sie wie folgt vor:

• Aktivieren Sie L2TP-VPN-Verbindungen und geben Sie Ihre Einstellungen an.
• Erstellen Sie Ihre L2TP-Richtlinie.
• Routenpriorität festlegen.
• Erstellen Sie eine Firewall-Regel, um eingehenden VPN-Verkehr zuzulassen.

Erstellen einer L2TP-Verbindung

1. Gehe zu Remote-Zugriff-VPN > L2TP und klicken Sie auf Globale L2TP-Einstellungen.

   

2. Wählen Aktivieren Sie L2TP um L2TP-Verbindungen zu aktivieren.

3. Geben Sie die allgemeinen Einstellungen an:

   Name	Beschreibung
   IP zuweisen von	Geben Sie den zu leasenden IP-Adressbereich ein.
   Erlauben Sie das Leasing einer IP-Adresse vom RADIUS-Server für L2TP, PPTP und den Sophos Connect-Client.	Diese Einstellung ist optional. Wählen Sie diese Option, wenn Sie IP-Adressen über RADIUS leasen möchten.

4. Geben Sie die Clientinformationen an:

   Name	Beschreibung
   Primärer DNS-Server	Wählen Sie einen DNS-Server aus der Dropdown-Liste aus oder geben Sie den DNS-Server an, indem Sie Andere und geben Sie die Adresse des Servers ein.
   Sekundärer DNS-Server	Diese Einstellung ist optional. Wählen Sie einen DNS-Server aus der Dropdown-Liste aus oder geben Sie den DNS-Server an, indem Sie Andere und geben Sie die Adresse des Servers ein.
   Primärer WINS-Server	Diese Einstellung ist optional. Geben Sie die IP-Adresse Ihres primären WINS-Servers ein.
   Sekundärer WINS-Server	Diese Einstellung ist optional. Geben Sie die IP-Adresse Ihres sekundären WINS-Servers ein.

5. Klicken Mitglieder hinzufügen.

   

6. Wählen Sie Ihre Benutzer und Gruppen aus und klicken Sie dann auf Hinzufügen.

   

7. Klicken Anwenden.

   Das folgende Bild zeigt Beispieleinstellungen.

   

Erstellen einer L2TP-Richtlinie

1. Gehe zu Remote-Zugriff-VPN > L2TP und klicken Sie auf Hinzufügen.
2. Geben Sie einen Namen ein.

3. Geben Sie die allgemeinen Einstellungen an:

   Name	Beschreibung
   Profil	Für den Datenverkehr zu verwendendes IPsec-Profil.
   Gateway-Typ	Zu ergreifende Maßnahmen beim Neustart des VPN-Dienstes oder der Firewall: Deaktivieren: Die Verbindung bleibt inaktiv, bis ein Benutzer sie aktiviert. Nur antworten: Hält die Verbindung bereit, um auf alle eingehenden Anfragen zu antworten.

4. Geben Sie die Authentifizierungseinstellungen an.

   Name	Beschreibung
   Authentifizierungstyp	Für die Verbindung zu verwendende Authentifizierung. Vorinstallierter Schlüssel: Authentifiziert Endpunkte mithilfe des Geheimnisses, das beiden Endpunkten bekannt ist. Digitales Zertifikat: Authentifiziert Endpunkte durch den Austausch von Zertifikaten (lokal signiert oder von einer Zertifizierungsstelle ausgestellt).

5. Geben Sie die Details des lokalen Netzwerks an.

   Name	Beschreibung
   Lokaler WAN-Port	Wählen Sie einen WAN-Port aus, der als Endpunkt für den Tunnel fungiert.
   Lokale ID	Wählen Sie für den vorinstallierten Schlüssel einen ID-Typ aus und geben Sie einen Wert ein. DER ASN1DN (X.509) wird nicht akzeptiert.

6. Geben Sie die Details des Remote-Netzwerks an.

   Name	Beschreibung
   Remote-Host	IP-Adresse oder Hostname des Remote-Endpunkts. Um eine beliebige IP-Adresse anzugeben, geben Sie „*“ ein.
   NAT-Traversal zulassen	Aktivieren Sie NAT-Traversal, wenn zwischen Ihren Endpunkten ein NAT-Gerät vorhanden ist, d. h. wenn der Remote-Peer über eine private oder nicht routbare IP-Adresse verfügt.
   Remote-Subnetz	Remote-Netzwerke, zu denen Sie Zugriff gewähren möchten.
   Remote-ID	Wählen Sie für den vorinstallierten Schlüssel einen ID-Typ aus und geben Sie einen Wert ein. DER ASN1DN (X.509) wird nicht akzeptiert.

7. Geben Sie Schnellmodus-Selektoren an.

   Name	Beschreibung
   Lokaler Hafen	Port, den der lokale Peer für TCP- oder UDP-Verkehr verwendet. Um einen beliebigen Port anzugeben, geben Sie *.
   Remote-Port	Port, den der Remote-Peer für TCP- oder UDP-Verkehr verwendet. Um einen beliebigen Port anzugeben, geben Sie *.

8. Geben Sie die erweiterten Einstellungen an:

   Name	Beschreibung
   Trennen, wenn der Tunnel inaktiv ist	Trennt inaktive Clients nach der angegebenen Zeit von der Sitzung.
   Zeitintervall für inaktive Sitzungen	Zeit in Sekunden, nach der die Firewall die Verbindung zu inaktiven Clients trennt.

9. Klicken Speichern.

   Die folgenden Bilder zeigen Beispieleinstellungen.

   

   

10. Klicken Sie auf das rote Symbol unter der Spalte „Aktiv“, um die Verbindung herzustellen. Sobald die Verbindung hergestellt ist, wird es grün angezeigt.

    Hier ist ein Beispiel:

    

Informationen zum Konfigurieren einer L2TP-Verbindung unter Windows 10 finden Sie unter Konfigurieren einer L2TP-Verbindung für Windows 10.

Routenpriorität festlegen

Die Standardroutenpriorität sind statische Routen, gefolgt von SD-WAN-Richtlinienrouten und schließlich VPN-Routen. Um eine L2TP-Verbindung herzustellen, müssen VPN-Routen an erster Stelle stehen, gefolgt von statischen Routen und SD-WAN-Richtlinienrouten (in beliebiger Reihenfolge).

1. Melden Sie sich bei der CLI der Firewall an.
2. Eingeben 4 zu wählen Gerätekonsole.
3. Laufen system route_precedence set vpn static sdwan_policyroute.
4. Laufen system route_precedence show um zu überprüfen, ob VPN-Routen an erster Stelle stehen.

Erstellen einer Firewallregel

1. Gehe zu Regeln und Richtlinien > Firewall-Regelnund klicken Sie auf IPv4.
2. Klicken Firewallregel hinzufügenund klicken Sie dann auf Neue Firewall-Regel.

3. Konfigurieren Sie die Regel wie folgt:

   Name	Beschreibung
   Regelname	VPN-LAN
   Quellzonen	VPN
   Quellnetzwerke und -geräte	Any
   Zielzonen	LAN
   Zielnetzwerke	Any
   Leistungen	Any

   Beispiel:

   

4. Klicken Speichern.

   Um dem Remote-Host den Internetzugriff über die Sophos Firewall zu ermöglichen, erstellen Sie eine Firewall-Regel mit VPN als Quellzone und WAN als Zielzone.

Weitere Ressourcen

• L2TP
• Hinzufügen einer Firewallregel