Zur Startseite gehen
0,00 €*

Seiten-Permalink

Verwenden Sie beim Verweisen auf diese Seite immer den folgenden Permalink. Er bleibt in zukünftigen Hilfeversionen unverändert.

https://docs.sophos.com/nsg/sophos-firewall/21.0/Help/en-us/webhelp/onlinehelp/index.html?contextId=site-to-site-VPN-IPsec-firewall-behind-router

IPsec-VPN mit Firewall hinter einem Router

Sie können IPsec-VPN-Verbindungen zwischen Firewalls hinter einem Router konfigurieren.

In diesem Beispiel befindet sich die Firewall der Zentrale hinter einem Router und verfügt nicht über eine öffentliche IP-Adresse. Sie müssen in der Zentrale und in der Zweigstelle Folgendes konfigurieren:

  1. Firewall-Voraussetzung: Konfigurieren Sie IP-Hosts für die lokalen und Remote-Subnetze.
  2. Konfigurieren Sie die IPsec-VPN-Verbindung.
  3. Optional: Bearbeiten Sie die automatisch erstellte Firewall-Regel, um eine unabhängige Regel für ausgehenden Datenverkehr zu erstellen.
  4. Optional: Erstellen Sie eine Firewall-Regel für eingehenden Datenverkehr, wenn Sie unabhängige Firewall-Regeln wünschen.
  5. Zugriff auf Dienste zulassen.
  6. Konfigurieren Sie die Routereinstellungen.
  7. Überprüfen Sie die Konnektivität.
  8. Überprüfen Sie die Protokolle.

Hier ist ein Beispiel für ein Netzwerkdiagramm:

Network diagram for NAT traversal.

Konfigurieren der Firewall der Zentrale

Konfigurieren Sie die IPsec-Verbindung und Firewall-Regeln.

Hinzufügen einer IPsec-Verbindung

Erstellen und aktivieren Sie eine IPsec-Verbindung in der Zentrale.

  1. Gehe zu Site-to-Site-VPN > IPsec und klicken Sie auf Hinzufügen.
  2. Geben Sie einen Namen ein.
  3. Wählen Beim Speichern aktivieren.
  4. Wählen Erstellen einer Firewallregel.
  5. Für Anschlussart, wählen Site-to-Site.

  6. Für Gateway-Typ, wählen Nur antworten.

    Hier ist ein Beispiel:

    General settings.

  7. Für Profil, wählen Hauptsitz (IKEv2).

  8. Für Authentifizierungstyp, wählen Vorinstallierter Schlüssel.

  9. Geben Sie einen Schlüssel ein und bestätigen Sie ihn.

    Hier ist ein Beispiel:

    Encryption settings.

  10. Für Abhörschnittstelle, wählen Sie den WAN-Port der lokalen Firewall (Beispiel: 10.10.10.2).

  11. Für Gateway-Einstellungen, geben Sie den WAN-Port der Remote-Firewall ein (Beispiel: 203.0.113.10).
  12. Für Lokales Subnetz, wählen Sie den IP-Host aus, den Sie für 192.168.2.0.
  13. Für Remote-Subnetz, wählen Sie den IP-Host aus, den Sie für 192.168.3.0.

  14. Klicken Speichern.

    Hier ist ein Beispiel:

    Gateway settings.

Bearbeiten der Firewall-Regel

Um eine unabhängige ausgehende VPN-Regel zu konfigurieren, bearbeiten Sie die automatisch erstellte Firewall-Regel. Alternativ können Sie die Einstellungen überprüfen, wenn Sie bereits eine Firewall-Regel für VPN-Verkehr haben.

  1. Gehe zu Regeln und Richtlinien > Firewall-Regeln.

  2. Klicken Sie auf die Regelgruppe Automatische VPN-Regeln und klicken Sie auf die Regel, die Sie erstellt haben.

    Hier ist ein Beispiel:

    Click the firewall rule.

  3. Geben Sie die folgenden Einstellungen an:

    Option Einstellung
    Regelname Outbound VPN traffic
    Quellzonen UND
    Quellnetzwerke und -geräte HQ_LAN
    Zielzonen VPN
    Zielnetzwerke Branch_LAN
    Leistungen Beliebig

  4. Klicken Speichern.

    Hier ist ein Beispiel:

    Outbound firewall rule.

Hinzufügen einer Firewallregel

Erstellen Sie eine Firewall-Regel für eingehenden VPN-Verkehr, falls Sie noch keine haben.

  1. Gehe zu Regeln und Richtlinien > Firewall-Regeln.
  2. Klicken Firewallregel hinzufügen und wählen Sie Neue Firewall-Regel.

  3. Geben Sie die folgenden Einstellungen an:

    Option Einstellung
    Regelname Inbound VPN traffic
    Quellzonen VPN
    Quellnetzwerke und -geräte Branch_LAN
    Zielzonen UND
    Zielnetzwerke HQ_LAN
    Leistungen Beliebig

  4. Klicken Speichern.

    Hier ist ein Beispiel:

    Inbound firewall rule.

Zugriff auf Dienste zulassen

  1. Gehe zu Verwaltung > Gerätezugriff.
  2. Unter IPsec, wählen VAN.

  3. Unter Ping/Ping6, wählen VPN.

    Benutzer können die IP-Adresse der Firewall über das VPN anpingen, um die Konnektivität zu überprüfen.

  4. Klicken Anwenden.

Konfigurieren Sie Ihre Routereinstellungen

Gehen Sie wie folgt vor:

  1. Stellen Sie sicher, dass Sie auf dem Router eine DNAT-Regel konfigurieren, um den VPN-Verkehr zuzulassen.

    1. Stellen Sie das ursprüngliche Ziel auf die WAN-Schnittstelle des Routers ein (Beispiel: 203.0.113.1).
    2. Legen Sie das übersetzte Ziel auf die WAN-Schnittstelle der lokalen Firewall fest (Beispiel: 10.10.10.2).

  2. Erlauben Sie die folgenden Dienste:

    1. UDP-Port 500
    2. UDP-Port 4500
    3. IP-Protokoll 50

Konfigurieren der Firewall der Zweigstelle

Konfigurieren Sie die IPsec-Verbindung und Firewall-Regeln.

Hinzufügen einer IPsec-Verbindung

Erstellen und aktivieren Sie eine IPsec-Verbindung in der Filiale.

  1. Gehe zu Site-to-Site-VPN > IPsec und klicken Sie auf Hinzufügen.
  2. Geben Sie einen Namen ein.
  3. Wählen Beim Speichern aktivieren.
  4. Wählen Erstellen einer Firewallregel.
  5. Für Anschlussart, wählen Site-to-Site.

  6. Für Gateway-Typ, wählen Verbindung herstellen.

    Hier ist ein Beispiel:

    General settings.

  7. Für Profil, wählen Zweigstelle (IKEv2).

  8. Für Authentifizierungstyp, wählen Vorinstallierter Schlüssel.

  9. Geben Sie einen Schlüssel ein und bestätigen Sie ihn.

    Hier ist ein Beispiel:

    Encryption settings.

  10. Für Abhörschnittstelle, wählen Sie den WAN-Port der lokalen Firewall (203.0.113.10).

  11. Für Gateway-Einstellungen, geben Sie den WAN-Port des Routers der Zentrale ein (203.0.113.1).
  12. Für Lokales Subnetz, wählen Sie den IP-Host aus, den Sie für 192.168.2.0.
  13. Für Remote-Subnetz, wählen Sie den IP-Host aus, den Sie für 192.168.3.0.

  14. Klicken Speichern.

    Gateway settings.

Bearbeiten der Firewall-Regel

Um eine unabhängige ausgehende VPN-Regel zu konfigurieren, bearbeiten Sie die automatisch erstellte Firewall-Regel. Alternativ können Sie die Einstellungen überprüfen, wenn Sie bereits eine Firewall-Regel für VPN-Verkehr haben.

  1. Gehe zu Regeln und Richtlinien > Firewall-Regeln.

  2. Klicken Sie auf die Regelgruppe Automatische VPN-Regeln und klicken Sie auf die Regel, die Sie erstellt haben.

    Hier ist ein Beispiel:

    Click the firewall rule.

  3. Geben Sie die folgenden Einstellungen an:

    Option Einstellung
    Regelname Outbound VPN traffic
    Quellzonen UND
    Quellnetzwerke und -geräte Branch_LAN
    Zielzonen VPN
    Zielnetzwerke HQ_LAN
    Leistungen Beliebig

  4. Klicken Speichern.

    Hier ist ein Beispiel:

    Outbound firewall rule.

Hinzufügen einer Firewallregel

Erstellen Sie eine Regel für eingehenden VPN-Verkehr, falls Sie noch keine haben.

  1. Gehe zu Regeln und Richtlinien > Firewall-Regeln.
  2. Klicken Firewallregel hinzufügen und wählen Sie Neue Firewall-Regel.

  3. Geben Sie die folgenden Einstellungen an:

    Option Einstellung
    Regelname Inbound VPN traffic
    Quellzonen VPN
    Quellnetzwerke und -geräte HQ_LAN
    Zielzonen UND
    Zielnetzwerke Branch_LAN
    Leistungen Beliebig

  4. Klicken Speichern.

    Hier ist ein Beispiel:

    Outbound firewall rule.

Zugriff auf Dienste zulassen

  1. Gehe zu Verwaltung > Gerätezugriff.

  2. Unter Ping/Ping6, wählen VPN.

    Benutzer können die IP-Adresse der Firewall über das VPN anpingen, um die Konnektivität zu überprüfen.

  3. Klicken Anwenden.

Überprüfen Sie die Konnektivität

Überprüfen Sie die VPN-Konnektivität zwischen der Zentrale und der Zweigstelle.

  • Firewall der Zentrale: Pingen Sie das Subnetz der Zweigstelle an. Geben Sie unter Windows beispielsweise den folgenden Befehl in die Eingabeaufforderung ein: ping 192.168.3.0
  • Firewall der Zweigstelle: Pingen Sie das Subnetz der Zentrale an. Geben Sie unter Windows beispielsweise den folgenden Befehl in die Eingabeaufforderung ein: ping 192.168.2.0

Überprüfen Sie die Protokolle

Aus den Protokollen der Firewall der Zentrale geht hervor, dass davor ein NAT-Gerät erkannt wurde.

Aus den Protokollen der Firewall der Zweigstelle geht hervor, dass vor der Firewall der Hauptniederlassung ein NAT-Gerät erkannt wurde.

Weitere Ressourcen

Unsere Website benutzt Cookies, die für den technischen Betrieb der Website erforderlich sind und stets gesetzt werden. Andere Cookies, die den Komfort bei Benutzung dieser Website erhöhen, der Direktwerbung dienen oder die Interaktion mit anderen Websites und sozialen Netzwerken vereinfachen sollen, werden nur mit Ihrer Zustimmung gesetzt. Zur Datenschutzerklärung