Zur Startseite gehen
0,00 €*

Leiten Sie vom System generierte Authentifizierungsabfragen durch einen IPsec-Tunnel weiter

Sie können den von der Sophos Firewall generierten Datenverkehr durch einen richtlinienbasierten oder routenbasierten VPN-Tunnel leiten.

So können Sie beispielsweise die Authentifizierungsanfragen der Firewall einer Zweigstelle über einen IPsec-Tunnel an den in der Zentrale eingesetzten AD-Server weiterleiten.

Überblick

Ein IPsec-VPN-Tunnel verbindet die Firewalls der Zentrale und der Zweigstellen.

Der vom System generierte Datenverkehr verwendet ein Gateway, das auf Netzwerk > WAN-Link-Manager standardmäßig. Sie können sicherstellen, dass dieser Datenverkehr einen IPsec-Tunnel verwendet. Dieses Beispiel zeigt, wie Sie richtlinien- und routenbasierte Tunnel für den Datenverkehr verwenden.

Gehen Sie für richtlinienbasierte IPsec-Tunnel auf der Firewall der Zweigstelle wie folgt vor:

  • Fügen Sie eine IPsec-Route für systemgenerierten Datenverkehr zum AD-Server hinzu.
  • Übersetzen (Source-NAT) Sie die Gateway-Adressen der Zweigstelle in eine LAN- oder WAN-Schnittstelle für Authentifizierungsabfragen an die Adresse des AD-Servers. In diesem Beispiel verwenden wir eine LAN-Schnittstelle.
  • Überprüfen Sie die lokalen und Remote-Subnetze in Ihrer richtlinienbasierten IPsec-Konfiguration auf die LAN- oder WAN-Schnittstelle, die Sie bei der Übersetzung verwendet haben.

Gehen Sie für routenbasierte IPsec-Tunnel wie folgt vor:

  • Übersetzen Sie (Source-NAT) die Gateway-Adressen der Zweigstelle in die XFRM-Schnittstelle für Authentifizierungsabfragen an die Adresse des AD-Servers. Führen Sie dies in der Firewall der Zweigstelle durch.
  • Konfigurieren Sie eine SD-WAN-Route, um Authentifizierungsabfragen an die XFRM-Schnittstelle zu senden. Führen Sie dies auf den Firewalls der Zweigstelle und der Zentrale durch.
  • Konfigurieren Sie eingehende und ausgehende Firewall-Regeln für die Firewall der Hauptniederlassung.

Die Konfigurationsdetails sind Beispiele, die auf dem folgenden Netzwerkdiagramm basieren:

IPsec route for AD server network diagram.

Voraussetzung: Konfigurieren eines IPsec-VPN-Tunnels

Sie müssen auf beiden Firewalls über eine der folgenden VPN-Konfigurationen verfügen:

Sie müssen die folgenden IP-Hosts auf beiden Firewalls konfigurieren:

  • AD-Server (Beispiel: 10.10.1.15)
  • LAN-Schnittstelle der Zweigstelle (Beispiel: 10.10.1.1)
  • XFRM-Schnittstellenadressen (Beispiel: 3.3.3.3 Und 3.3.3.4)

Sie müssen eine IPsec-Route hinzufügen und die Gateway-Adressen in der Firewall der Zweigstelle übersetzen.

Zweigstelle: Hinzufügen einer IPsec-Route

Gehen Sie wie folgt vor:

  1. Melden Sie sich bei der CLI der Firewall der Zweigstelle an.
  2. Eingeben 4 für Gerätekonsole und drücken Sie die Eingabetaste.

  3. Um eine IPsec-Route hinzuzufügen, die vom System generierten Datenverkehr über eine IPsec-Verbindung an den AD-Server sendet, geben Sie den folgenden Befehl ein:

    system ipsec_route add host <IP address of host> tunnelname <tunnel>

    Beispiel

    System ipsec_route Host hinzufügen 10.10.2.15 Tunnelname Zweigstelle_zur_Zentrale

Übersetzen Sie die Adressen von Gateways, die vom systemgenerierten Datenverkehr genutzt werden

Gehen Sie wie folgt vor:

  1. Übersetzen Sie die Gateway-Adressen der Firewall der Zweigstelle in eine LAN-Schnittstellenadresse für Authentifizierungsabfragen an den AD-Server in der Zentrale.

    Geben Sie den folgenden Befehl ein:

    set advanced-firewall sys-traffic-nat add destination <Destination or network IP address> snatip <NATed IP>

    Beispiel

    Erweiterte Firewall festlegen, Sys-Traffic-Nat, Ziel hinzufügen 10.10.2.15 Schnappschuss 10.10.1.1

  2. Stellen Sie sicher, dass Sie die übersetzte LAN-Schnittstelle als lokales und Remote-Subnetz in den entsprechenden IPsec-Konfigurationen der Zweigstelle und der Zentrale ausgewählt haben.

Sie können einen routenbasierten Tunnel mit beliebigen Subnetzen verwenden.

Zweigstelle: SD-WAN-Route hinzufügen

  1. Gehe zu Routenplanung > SD-WAN-Routen und klicken Sie auf Hinzufügen.
  2. Geben Sie einen Name.
  3. Satz Quellnetzwerke Zu Beliebig.
  4. Satz Zielnetzwerke zum IP-Host für den AD-Server. So konfigurieren Sie den IP-Host:
    1. Klicken Neues Element hinzufügen und klar Beliebig.
    2. Klicken Hinzufügen und geben Sie eine Name.
    3. Für IP-Adresse, eingeben 10.10.2.15
    4. Klicken Speichern.

  5. Für Leistungen, erstellen Sie ein Objekt für TCP-Port 636 (den Standardport für sichere AD- und LDAP-Authentifizierung).

    Gehen Sie wie folgt vor:

    1. Klicken Neues Element hinzufügen und klar Beliebig.
    2. Klicken Hinzufügen und klicken Sie auf Leistungen.
    3. Geben Sie einen Name.
    4. Für Zielhafen, eingeben 636.

    5. Klicken Speichern.

      SD-WAN port in branch office.

  6. Unter Einstellungen für die Linkauswahl, wählen Primäre und Backup-Gateways.

  7. Klicken Sie auf die Dropdown-Liste für Primäres Gateway und klicken Sie auf Hinzufügen.

  8. Gehen Sie wie folgt vor:

    1. Geben Sie einen Namen ein.
    2. Für Gateway-IP, geben Sie die XFRM-IP-Adresse der Zentrale ein (3.3.3.3).

    3. Für Schnittstelle, wählen Sie die XFRM-Schnittstelle aus, die Sie auf dieser Firewall konfiguriert haben (Beispiel: xfrm1_3.3.3.4).

      SD-WAN XFRM gateway in branch office.

    4. Falls Sie es wollen Gesundheitscheck auf, für Überwachungsbedingung, geben Sie die IP-Adresse des AD-Servers ein (10.10.2.15).

      SD-WAN healthcheck settings in branch office.

  9. Wählen Weiterleiten nur über angegebene Gateways.

    Die Firewall blockiert dann den Datenverkehr, wenn der Tunnel nicht verfügbar ist.

  10. Klicken Speichern.

Zweigstelle: Ping über VPN einschalten

  1. Gehe zu Verwaltung > Gerätezugriff.
  2. Unter Ping/Ping6aktivieren Sie das Kontrollkästchen für VPN.
  3. Klicken Anwenden.

Zweigstelle: Übersetzen Sie das standardmäßig verwendete Gateway

Übersetzen Sie (Source-NAT) die Gateway-Adressen der Firewall der Zweigstelle in die XFRM-Schnittstellenadresse für systemgenerierten Datenverkehr zum AD-Server der Hauptniederlassung.

Geben Sie den folgenden Befehl ein:

set advanced-firewall sys-traffic-nat add destination <Destination or network IP address> snatip <NATed IP>

Beispiel

Erweiterte Firewall festlegen, Sys-Traffic-Nat, Ziel hinzufügen 10.10.2.15 Schnappschuss 10.10.1.1

Hauptsitz: SD-WAN-Route hinzufügen

  1. Gehe zu Routenplanung > SD-WAN-Routen und klicken Sie auf Hinzufügen.
  2. Geben Sie einen Name.
  3. Satz Quellnetzwerke zum IP-Host für den AD-Server (10.10.2.15).
  4. Satz Zielnetzwerke zum IP-Host für die LAN-Schnittstelle, auf die Sie in der Firewall der Zweigstelle übersetzt haben (10.10.1.1).

  5. Für Leistungen, erstellen Sie ein Objekt für TCP-Port 636 (den Standardport für sichere AD- und LDAP-Authentifizierung).

    Gehen Sie wie folgt vor:

    1. Klicken Neues Element hinzufügen und klar Beliebig.
    2. Klicken Hinzufügen und klicken Sie auf Leistungen.
    3. Geben Sie einen Name.
    4. Für Zielhafen, eingeben 636.
    5. Klicken Speichern.

    SD-WAN settings in head office.

  6. Unter Einstellungen für die Linkauswahl, wählen Primäre und Backup-Gateways.

  7. Klicken Sie auf die Dropdown-Liste für Primäres Gateway und klicken Sie auf Hinzufügen.

  8. Gehen Sie wie folgt vor:

    1. Geben Sie einen Namen ein.
    2. Für Gateway-IP, geben Sie die XFRM-IP-Adresse der Zweigstelle ein (3.3.3.4).

    3. Für Schnittstelle, wählen Sie die XFRM-Schnittstelle aus, die Sie auf dieser Firewall konfiguriert haben (Beispiel: xfrm1_3.3.3.3).

      SD-WAN XFRM gateway in head office.

    4. Falls Sie es wollen Gesundheitscheck auf, für Überwachungsbedingung, geben Sie eine IP-Adresse im LAN der Zweigstelle ein (10.10.1.10).

      SD-WAN healthcheck settings in head office.

  9. Wählen Weiterleiten nur über angegebene Gateways.

    Die Firewall blockiert dann den Datenverkehr, wenn der Tunnel nicht verfügbar ist.

  10. Klicken Speichern.

Zentrale: Ping über VPN einschalten

  1. Gehe zu Verwaltung > Gerätezugriff.
  2. Unter Ping/Ping6aktivieren Sie das Kontrollkästchen für VPN.
  3. Klicken Anwenden.

Hauptsitz: Firewallregel für ausgehenden Datenverkehr

Konfigurieren Sie eine Firewall-Regel, um ausgehenden Datenverkehr über die Firewall der Zentrale zuzulassen. Dadurch kann der AD-Server seine Antworten über den routenbasierten VPN-Tunnel senden.

Wählen Sie Folgendes aus:

  1. Quellzonen: DMZ
  2. Quellnetzwerke und -geräte: ADServer
  3. Zielzonen: VPN
  4. Zielnetzwerke: BO_LAN
  5. Leistungen: AD_LDAP

  6. Klicken Speichern.

    Hier ist ein Beispiel:

    Outbound firewall rule for AD server in head office.

Hauptsitz: Firewall-Regel für eingehenden Datenverkehr

Konfigurieren Sie eine Firewall-Regel, um eingehenden Datenverkehr über die Firewall der Zentrale zuzulassen. Über den routenbasierten VPN-Tunnel empfangene Authentifizierungsanfragen werden dann an den AD-Server gesendet.

Wählen Sie Folgendes aus:

  1. Quellzonen: VPN
  2. Quellnetzwerke und -geräte: BO_LAN
  3. Zielzonen: DMZ
  4. Zielnetzwerke: ADServer
  5. Leistungen: AD_LDAP

  6. Klicken Speichern.

    Hier ist ein Beispiel:

    Inbound firewall rule for DHCP server in head office.

Unsere Website benutzt Cookies, die für den technischen Betrieb der Website erforderlich sind und stets gesetzt werden. Andere Cookies, die den Komfort bei Benutzung dieser Website erhöhen, der Direktwerbung dienen oder die Interaktion mit anderen Websites und sozialen Netzwerken vereinfachen sollen, werden nur mit Ihrer Zustimmung gesetzt. Zur Datenschutzerklärung