IPsec-VPN mit Firewall hinter einem Router

Sie können IPsec-VPN-Verbindungen zwischen Firewalls hinter einem Router konfigurieren.

In diesem Beispiel befindet sich die Firewall der Zentrale hinter einem Router und verfügt nicht über eine öffentliche IP-Adresse. Sie müssen in der Zentrale und in der Zweigstelle Folgendes konfigurieren:

1. Firewall-Voraussetzung: Konfigurieren Sie IP-Hosts für die lokalen und Remote-Subnetze.
2. Konfigurieren Sie die IPsec-VPN-Verbindung.
3. Optional: Bearbeiten Sie die automatisch erstellte Firewall-Regel, um eine unabhängige Regel für ausgehenden Datenverkehr zu erstellen.
4. Optional: Erstellen Sie eine Firewall-Regel für eingehenden Datenverkehr, wenn Sie unabhängige Firewall-Regeln wünschen.
5. Zugriff auf Dienste zulassen.
6. Konfigurieren Sie die Routereinstellungen.
7. Überprüfen Sie die Konnektivität.
8. Überprüfen Sie die Protokolle.

Hier ist ein Beispiel für ein Netzwerkdiagramm:

Konfigurieren der Firewall der Zentrale

Konfigurieren Sie die IPsec-Verbindung und Firewall-Regeln.

Hinzufügen einer IPsec-Verbindung

Erstellen und aktivieren Sie eine IPsec-Verbindung in der Zentrale.

1. Gehe zu Site-to-Site-VPN > IPsec und klicken Sie auf Hinzufügen.
2. Geben Sie einen Namen ein.
3. Wählen Beim Speichern aktivieren.
4. Wählen Erstellen einer Firewallregel.
5. Für Anschlussart, wählen Site-to-Site.

6. Für Gateway-Typ, wählen Nur antworten.

   Hier ist ein Beispiel:

   

7. Für Profil, wählen Hauptsitz (IKEv2).

8. Für Authentifizierungstyp, wählen Vorinstallierter Schlüssel.

9. Geben Sie einen Schlüssel ein und bestätigen Sie ihn.

   Hier ist ein Beispiel:

   

10. Für Abhörschnittstelle, wählen Sie den WAN-Port der lokalen Firewall (Beispiel: 10.10.10.2).

11. Für Gateway-Einstellungen, geben Sie den WAN-Port der Remote-Firewall ein (Beispiel: 203.0.113.10).
12. Für Lokales Subnetz, wählen Sie den IP-Host aus, den Sie für 192.168.2.0.
13. Für Remote-Subnetz, wählen Sie den IP-Host aus, den Sie für 192.168.3.0.

14. Klicken Speichern.

    Hier ist ein Beispiel:

    

Bearbeiten der Firewall-Regel

Um eine unabhängige ausgehende VPN-Regel zu konfigurieren, bearbeiten Sie die automatisch erstellte Firewall-Regel. Alternativ können Sie die Einstellungen überprüfen, wenn Sie bereits eine Firewall-Regel für VPN-Verkehr haben.

1. Gehe zu Regeln und Richtlinien > Firewall-Regeln.

2. Klicken Sie auf die Regelgruppe Automatische VPN-Regeln und klicken Sie auf die Regel, die Sie erstellt haben.

   Hier ist ein Beispiel:

   

3. Geben Sie die folgenden Einstellungen an:

   Option	Einstellung
   Regelname	Outbound VPN traffic
   Quellzonen	UND
   Quellnetzwerke und -geräte	HQ_LAN
   Zielzonen	VPN
   Zielnetzwerke	Branch_LAN
   Leistungen	Beliebig

4. Klicken Speichern.

   Hier ist ein Beispiel:

   

Hinzufügen einer Firewallregel

Erstellen Sie eine Firewall-Regel für eingehenden VPN-Verkehr, falls Sie noch keine haben.

1. Gehe zu Regeln und Richtlinien > Firewall-Regeln.
2. Klicken Firewallregel hinzufügen und wählen Sie Neue Firewall-Regel.

3. Geben Sie die folgenden Einstellungen an:

   Option	Einstellung
   Regelname	Inbound VPN traffic
   Quellzonen	VPN
   Quellnetzwerke und -geräte	Branch_LAN
   Zielzonen	UND
   Zielnetzwerke	HQ_LAN
   Leistungen	Beliebig

4. Klicken Speichern.

   Hier ist ein Beispiel:

   

Zugriff auf Dienste zulassen

1. Gehe zu Verwaltung > Gerätezugriff.
2. Unter IPsec, wählen VAN.

3. Unter Ping/Ping6, wählen VPN.

   Benutzer können die IP-Adresse der Firewall über das VPN anpingen, um die Konnektivität zu überprüfen.

4. Klicken Anwenden.

Konfigurieren Sie Ihre Routereinstellungen

Gehen Sie wie folgt vor:

1. Stellen Sie sicher, dass Sie auf dem Router eine DNAT-Regel konfigurieren, um den VPN-Verkehr zuzulassen.

   1. Stellen Sie das ursprüngliche Ziel auf die WAN-Schnittstelle des Routers ein (Beispiel: 203.0.113.1).
   2. Legen Sie das übersetzte Ziel auf die WAN-Schnittstelle der lokalen Firewall fest (Beispiel: 10.10.10.2).

2. Erlauben Sie die folgenden Dienste:

   1. UDP-Port 500
   2. UDP-Port 4500
   3. IP-Protokoll 50

Konfigurieren der Firewall der Zweigstelle

Konfigurieren Sie die IPsec-Verbindung und Firewall-Regeln.

Hinzufügen einer IPsec-Verbindung

Erstellen und aktivieren Sie eine IPsec-Verbindung in der Filiale.

1. Gehe zu Site-to-Site-VPN > IPsec und klicken Sie auf Hinzufügen.
2. Geben Sie einen Namen ein.
3. Wählen Beim Speichern aktivieren.
4. Wählen Erstellen einer Firewallregel.
5. Für Anschlussart, wählen Site-to-Site.

6. Für Gateway-Typ, wählen Verbindung herstellen.

   Hier ist ein Beispiel:

   

7. Für Profil, wählen Zweigstelle (IKEv2).

8. Für Authentifizierungstyp, wählen Vorinstallierter Schlüssel.

9. Geben Sie einen Schlüssel ein und bestätigen Sie ihn.

   Hier ist ein Beispiel:

   

10. Für Abhörschnittstelle, wählen Sie den WAN-Port der lokalen Firewall (203.0.113.10).

11. Für Gateway-Einstellungen, geben Sie den WAN-Port des Routers der Zentrale ein (203.0.113.1).
12. Für Lokales Subnetz, wählen Sie den IP-Host aus, den Sie für 192.168.2.0.
13. Für Remote-Subnetz, wählen Sie den IP-Host aus, den Sie für 192.168.3.0.

14. Klicken Speichern.

    

Bearbeiten der Firewall-Regel

Um eine unabhängige ausgehende VPN-Regel zu konfigurieren, bearbeiten Sie die automatisch erstellte Firewall-Regel. Alternativ können Sie die Einstellungen überprüfen, wenn Sie bereits eine Firewall-Regel für VPN-Verkehr haben.

1. Gehe zu Regeln und Richtlinien > Firewall-Regeln.

2. Klicken Sie auf die Regelgruppe Automatische VPN-Regeln und klicken Sie auf die Regel, die Sie erstellt haben.

   Hier ist ein Beispiel:

   

3. Geben Sie die folgenden Einstellungen an:

   Option	Einstellung
   Regelname	Outbound VPN traffic
   Quellzonen	UND
   Quellnetzwerke und -geräte	Branch_LAN
   Zielzonen	VPN
   Zielnetzwerke	HQ_LAN
   Leistungen	Beliebig

4. Klicken Speichern.

   Hier ist ein Beispiel:

   

Hinzufügen einer Firewallregel

Erstellen Sie eine Regel für eingehenden VPN-Verkehr, falls Sie noch keine haben.

1. Gehe zu Regeln und Richtlinien > Firewall-Regeln.
2. Klicken Firewallregel hinzufügen und wählen Sie Neue Firewall-Regel.

3. Geben Sie die folgenden Einstellungen an:

   Option	Einstellung
   Regelname	Inbound VPN traffic
   Quellzonen	VPN
   Quellnetzwerke und -geräte	HQ_LAN
   Zielzonen	UND
   Zielnetzwerke	Branch_LAN
   Leistungen	Beliebig

4. Klicken Speichern.

   Hier ist ein Beispiel:

   

Zugriff auf Dienste zulassen

1. Gehe zu Verwaltung > Gerätezugriff.

2. Unter Ping/Ping6, wählen VPN.

   Benutzer können die IP-Adresse der Firewall über das VPN anpingen, um die Konnektivität zu überprüfen.

3. Klicken Anwenden.

Überprüfen Sie die Konnektivität

Überprüfen Sie die VPN-Konnektivität zwischen der Zentrale und der Zweigstelle.

• Firewall der Zentrale: Pingen Sie das Subnetz der Zweigstelle an. Geben Sie unter Windows beispielsweise den folgenden Befehl in die Eingabeaufforderung ein: ping 192.168.3.0
• Firewall der Zweigstelle: Pingen Sie das Subnetz der Zentrale an. Geben Sie unter Windows beispielsweise den folgenden Befehl in die Eingabeaufforderung ein: ping 192.168.2.0

Überprüfen Sie die Protokolle

Aus den Protokollen der Firewall der Zentrale geht hervor, dass davor ein NAT-Gerät erkannt wurde.

Aus den Protokollen der Firewall der Zweigstelle geht hervor, dass vor der Firewall der Hauptniederlassung ein NAT-Gerät erkannt wurde.

Weitere Ressourcen

• NAT-Traversal