Zur Startseite gehen
0,00 €*

Seiten-Permalink

Verwenden Sie beim Verweisen auf diese Seite immer den folgenden Permalink. Er bleibt in zukünftigen Hilfeversionen unverändert.

https://docs.sophos.com/nsg/sophos-firewall/20.0/Help/en-us/webhelp/onlinehelp/index.html?contextId=site-to-site-VPN-NAT-IPsec-same-subnets

NAT mit richtlinienbasiertem IPsec, wenn lokale und Remote-Subnetze identisch sind

Konfigurieren Sie Network Address Translation (NAT) mit richtlinienbasiertem IPsec-VPN, wenn die Subnetze in der lokalen und der Remote-Firewall identisch sind.

Sie können 1:1 (Host-zu-Host), 1:n (Host-zu-Subnetz) oder n:n (Subnetz-zu-Subnetz) NAT verwenden. Für die Konfiguration von n:n NAT müssen das ursprüngliche und das übersetzte Subnetz dieselbe Größe haben.

Das Beispielszenario zeigt n:n NAT mit einem /24 Subnetz.

Wichtige Schritte

Die wichtigsten Schritte sind wie folgt:

  1. Konfigurieren Sie die Firewall der Zentrale:

    1. Fügen Sie die IP-Hosts hinzu.
    2. Fügen Sie eine IPsec-Verbindung hinzu.
    3. Fügen Sie eingehende und ausgehende Firewallregeln hinzu.

  2. Konfigurieren Sie die Firewall der Zweigstelle:

    1. Fügen Sie die IP-Hosts hinzu.
    2. Fügen Sie eine IPsec-Verbindung hinzu.
    3. Fügen Sie eingehende und ausgehende Firewallregeln hinzu.

  3. Stellen Sie die IPsec-Verbindung her.

  4. Bestätigen Sie den Verkehrsfluss.

Alle Konfigurationsdetails sind Beispiele, die auf dem Netzwerk im folgenden Diagramm basieren:

Site-to-site IPsec NAT network diagram.

Firewall der Zentrale

Konfigurieren Sie Folgendes:

Konfigurieren von IP-Hosts

Konfigurieren Sie die Firewall der Zentrale so, dass NAT-Datenverkehr über die Site-to-Site-Verbindung erfolgt. Die folgenden Einstellungen sind Beispiele:

  1. Gehe zu Gastgeber und Dienste > IP-Host, wählen Hinzufügen, und erstellen Sie das lokale LAN.

    Hier ist ein Beispiel:

    Local LAN IP host configuration on firewall one.

  2. Gehe zu Gastgeber und Dienste > IP-Host, wählen Hinzufügen, und erstellen Sie das lokale NAT-LAN.

    Hier ist ein Beispiel:

    Local translated LAN IP host configuration on firewall one.

  3. Gehe zu Gastgeber und Dienste > IP-Host, wählen Hinzufügen, und erstellen Sie das Remote-NAT-LAN.

    Hier ist ein Beispiel:

    Remote translated LAN IP host configuration on firewall one.

Notiz

Sie müssen für das lokale LAN und die NAT-Netzwerke dieselbe Subnetzmaske verwenden.

Konfigurieren einer IPsec-Verbindung

Nachfolgend sind Beispieleinstellungen aufgeführt:

  1. Gehe zu Site-to-Site-VPN > IPsec.
  2. Unter IPsec-Verbindungenauf Hinzufügen.
  3. Geben Sie einen Namen ein.
  4. Stellen Sie sicher Anschlussart ist eingestellt auf Site-to-Site.

  5. Stellen Sie sicher Gateway-Typ ist eingestellt auf Nur antworten.

    Hier ist ein Beispiel:

    IPsec configuration on firewall one.

  6. Unter Verschlüsselung, Satz Profil Zu Standard-Hauptsitz.

  7. Für Authentifizierungstyp, wählen Vorinstallierter Schlüssel.
  8. Geben Sie einen vorinstallierten Schlüssel ein.

  9. Bestätigen Sie den vorinstallierten Schlüssel.

    Hier ist ein Beispiel:

    Encryption settings on firewall one.

  10. Für Abhörschnittstelle, wählen Port2.

  11. Für Gateway-Adresse, eingeben 172.20.120.15.
  12. Für Lokales Subnetz, wählen NAT_LAN_HO_192.168.1.0.
  13. Für Remote-Subnetz, wählen NAT_LAN_BO_192.168.3.0.
  14. Wählen Netzwerkadressübersetzung (NAT).
  15. Für Ursprüngliches Subnetz, wählen HO_LAN_192.168.2.0.

  16. Klicken Speichern.

    Hier ist ein Beispiel:

    Gateway, subnet, and NAT settings in HO.

  17. Klicken Sie auf die Statusschaltfläche Button to activate the connection. , um die Verbindung zu aktivieren.

    Activate IPsec connection on firewall one.

Konfigurieren von Firewallregeln

Nachfolgend sind Beispieleinstellungen aufgeführt:

  1. Gehe zu Regeln und Richtlinien > Firewall-Regeln und klicken Sie auf Firewallregel hinzufügen.

  2. Erstellen Sie zwei Regeln wie folgt:

    1. Eine Regel zum Zulassen eingehenden Datenverkehrs.

      Inbound firewall rule on firewall one.

    2. Eine Regel zum Zulassen ausgehenden Datenverkehrs.

      Outbound firewall rule on firewall one.

    Notiz

    Stellen Sie sicher, dass die VPN-Firewallregeln ganz oben in der Firewall-Regelliste stehen.

Firewall für Zweigstellen

Konfigurieren Sie Folgendes:

Konfigurieren von IP-Hosts

Konfigurieren Sie die zweite Sophos Firewall so, dass der Datenverkehr über die Site-to-Site-Verbindung per NAT gesteuert wird. Die folgenden Einstellungen sind Beispiele:

  1. Gehe zu Gastgeber und Dienste > IP-Host und wählen Sie Hinzufügen und erstellen Sie das lokale LAN.

    Local LAN IP host configuration on firewall two.

  2. Gehe zu Gastgeber und Dienste > IP-Host und wählen Sie Hinzufügen und erstellen Sie das lokale NAT-LAN.

    Local translated LAN IP host configuration on firewall two.

  3. Gehe zu Gastgeber und Dienste > IP-Host und wählen Sie Hinzufügen und erstellen Sie das Remote-NAT-LAN.

    Remote translated LAN IP host configuration on firewall two.

Notiz

Sie müssen für das lokale LAN und die NAT-Netzwerke dieselbe Subnetzmaske verwenden.

Konfigurieren einer IPsec-Verbindung

Nachfolgend sind Beispieleinstellungen aufgeführt:

  1. Gehe zu Site-to-Site-VPN > IPsec und wählen Sie Hinzufügen.
  2. Geben Sie einen Namen ein.
  3. Stellen Sie sicher Anschlussart ist eingestellt auf Site-to-Site.

  4. Stellen Sie sicher Gateway-Typ ist eingestellt auf Verbindung herstellen.

    Hier ist ein Beispiel:

    IPsec configuration on firewall one.

  5. Unter Verschlüsselung, Satz Profil Zu Standard-Zweigstelle.

  6. Für Authentifizierungstyp, wählen Vorinstallierter Schlüssel.

  7. Geben Sie einen vorinstallierten Schlüssel ein und geben Sie ihn erneut ein.

    Hier ist ein Beispiel:

    Encryption settings on firewall one.

  8. Für Abhörschnittstelle, wählen Port3.

  9. Für Gateway-Adresse, eingeben 172.20.120.10.
  10. Für Lokales Subnetz, wählen NAT_LAN_BO_192.168.3.0.
  11. Für Remote-Subnetz, wählen NAT_LAN_HO_192.168.1.0.
  12. Wählen Netzwerkadressübersetzung (NAT).
  13. Für Ursprüngliches Subnetz, wählen BO_LAN_192.168.2.0.

  14. Klicken Speichern.

    Hier ist ein Beispiel:

    Encryption settings on firewall one.

  15. Klicken Sie auf die Statusschaltfläche Button to activate the connection. , um die Verbindung zu aktivieren.

    Activate IPsec connection on firewall one.

Konfigurieren von Firewallregeln

Nachfolgend sind Beispieleinstellungen aufgeführt:

  1. Gehe zu Regeln und Richtlinien > Firewall-Regeln und klicken Sie auf Firewallregel hinzufügen.

  2. Erstellen Sie zwei Regeln wie folgt:

    1. Eine Regel zum Zulassen eingehenden Datenverkehrs.

      Inbound firewall rule on firewall two.

    2. Eine Regel zum Zulassen ausgehenden Datenverkehrs.

      Outbound firewall rule on firewall two.

    Notiz

    Stellen Sie sicher, dass die VPN-Firewallregeln ganz oben in der Firewall-Regelliste stehen.

Herstellen der IPsec-Verbindung

Sobald beide Sophos Firewall-Geräte in der Zentrale und in den Zweigstellen konfiguriert sind, müssen Sie die IPsec-Verbindung herstellen.

  1. Gehe zu Site-to-Site-VPN > IPsec.

  2. Klicken Sie auf die Statusschaltfläche Button to activate connection. , um die Verbindung zu aktivieren.

    Active IPsec connection.

    Die Verbindungsanzeige leuchtet grün, wenn die Verbindung hergestellt ist.

    IPsec connection established.

Verkehrsfluss bestätigen

  1. Generieren Sie Datenverkehr, der über die VPN-Verbindung läuft.
  2. Gehe zu Regeln und Richtlinien > Firewall-Regeln.

  3. Vergewissern Sie sich, dass die zuvor erstellten Firewall-Regeln den Datenverkehr in beide Richtungen zulassen.

    Confirm firewall rules are allowing traffic.

  4. Gehe zu Berichte > VPN und bestätigen Sie die IPsec-Nutzung.

    IPsec report traffic.

  5. Klicken Sie auf den Verbindungsnamen, um weitere Details anzuzeigen.

    IPsec report connection details.

Überprüfen Sie die Konnektivität des Tunnels

Um sicherzustellen, dass der Datenverkehr durchgehende Konnektivität hat, senden Sie einen Ping von den Endpunkten der Zweigstelle und der Zentrale an die in der Remote-Firewall verwendeten NAT-Adressen. Gehen Sie dazu wie folgt vor:

  1. Öffnen Sie auf dem Zweigstellenendpunkt die Windows-Eingabeaufforderung.
  2. Führen Sie den folgenden Befehl aus: ping 192.168.1.2.
  3. Öffnen Sie auf dem Endpunkt der Zentrale die Windows-Eingabeaufforderung.
  4. Führen Sie den folgenden Befehl aus: ping 192.168.3.2.

Weitere Informationen

In einer Konfiguration mit Hauptsitz und Zweigstelle fungiert die Firewall der Zweigstelle normalerweise als Tunnelinitiator und die Firewall der Hauptniederlassung als Responder. Dies hat folgende Gründe:

  • Wenn das Gerät in der Zweigstelle mit einer dynamischen IP-Adresse konfiguriert ist, kann das Gerät in der Zentrale die Verbindung nicht herstellen.
  • Da die Anzahl der Zweigstellen variiert, empfehlen wir, dass jede Zweigstelle den Verbindungsversuch wiederholt, anstatt dass die Zentrale alle Verbindungsversuche zu den Zweigstellen wiederholt.
Unsere Website benutzt Cookies, die für den technischen Betrieb der Website erforderlich sind und stets gesetzt werden. Andere Cookies, die den Komfort bei Benutzung dieser Website erhöhen, der Direktwerbung dienen oder die Interaktion mit anderen Websites und sozialen Netzwerken vereinfachen sollen, werden nur mit Ihrer Zustimmung gesetzt. Zur Datenschutzerklärung