ROTE Schnittstellen
Ein Remote Ethernet Device (RED) bietet einen sicheren Tunnel zwischen einem Remote-Standort und der Sophos Firewall.
REDs verbinden Zweigstellen mit Ihrer Zentrale, als wäre die Zweigstelle Teil Ihres lokalen Netzwerks. Mithilfe von RED-Schnittstellen können Sie RED-Appliances konfigurieren und installieren oder einen Site-to-Site-RED-Tunnel zwischen zwei Sophos Firewall-Geräten in einer Client-Server-Konfiguration erstellen.
Warnung
RED 15, 15 (w) und 50 sind nun nicht mehr verfügbar (EOL). Ihre bestehenden Tunnel mit diesen Geräten werden beim Upgrade auf SFOS 20.0 MR1 oder höher getrennt. Um sie weiterhin nutzen zu können, müssen Sie SFOS 20.0 GA oder frühere Versionen ausführen. Wir empfehlen die Verwendung von SD-RED 20 oder 60. Siehe Ende der Lebensdauer von RED 15/15(w) und RED 50 Und Ruhestandskalender.
Sie können RED-Tunnel mit den folgenden Optionen konfigurieren:
-
RED-Appliance: Sie können einen Tunnel zwischen der Sophos Firewall in der Zentrale und einer RED-Appliance in der Niederlassung einrichten. Die Firewall unterstützt die SD-RED 20 und 60 Appliances. Sie können ein RED-Gerät auf eine der folgenden Arten bereitstellen:
- Automatisch über den Bereitstellungsdienst: Die Sophos Firewall stellt die Remote-RED-Appliance automatisch über den RED-Provisioning-Server bereit. Siehe Ein RED-Gerät automatisch einrichten.
- Manuell über USB-Stick: Sie stellen die Remote-RED-Appliance über ein USB-Gerät bereit. Bei dieser Methode kopieren Sie die Provisioning-Datei von der Sophos Firewall auf ein USB-Gerät und installieren die Datei auf der RED-Appliance. Siehe Ein RED-Gerät manuell einrichten.
Notiz
Für eine optimale Leistung deaktivieren Sie die 802.3az-Einstellung auf den Switches, die mit SD-RED 20 und 60 verbunden sind.
-
Firewall-RED-Gerät: Sie können einen Site-to-Site-RED-Tunnel zwischen zwei Sophos Firewall-Geräten in einer Client-Server-Konfiguration erstellen. Firewall-RED-Geräte sind Sophos Firewall-Geräte, die über den RED-Tunnel kommunizieren. Sie können Firewall-RED-Gerätetypen wie folgt verwenden:
- Firewall RED-Server oder -Client: Wählen Sie diese Option, wenn Sie zwei Sophos Firewall-Geräte oder zwei UTM-Geräte verbinden.
- Firewall RED-Server oder -Client (Legacy): Wählen Sie diese Option, wenn Sie Sophos Firewall mit einem UTM-Gerät verbinden.
RED-Netzwerkkonfiguration
In einer typischen Konfiguration richten Sie das Gerät in einer Zweigstelle ein und verbinden es mit der Firewall in der Zentrale.
Das RED baut einen VPN-Tunnel zur Firewall auf. Dadurch wird alles, was mit dem RED verbunden ist, Teil des Netzwerks. Der gesamte Datenverkehr der Zweigstelle wird über das RED geleitet. Sie können dieselben Richtlinien für lokalen und Remote-Datenverkehr anwenden oder benutzerdefinierte Richtlinien für jeden Standort erstellen.
RED-Bereitstellungsserver
Wenn Sie ein RED auf der Sophos Firewall konfigurieren, lädt die Firewall die folgenden Konfigurationsdetails auf die RED-Bereitstellungsserver hoch:
- IP-Adresse der Web-Admin-Konsole der Firewall
-
WAN-Einstellungen:
- WAN-Uplink-Modus (DHCP, PPPoE, Statisch)
- Einstellungen für die mobile Breitbandverbindung für RED-Hardware
- Wenn Sie den statischen Uplink-Modus ausgewählt haben, RED WAN IP-Adresseinstellungen (IP-Adresse, Netzmaske, Standard-Gateway und DNS-Server)
-
Tunnelbetriebsart (Beispiel: Standard)
- Freischaltcode
Die Cloud-basierten RED-Bereitstellungsserver speichern die Konfigurationen. Wenn Sie ein RED-Gerät hinzufügen, führt es eine DNS-Suche durch von red.astaro.com
, stellt eine sichere Verbindung zum nächstgelegenen Bereitstellungsserver her und ruft seine Konfiguration von diesem ab. Wenn eine vorhandene Konfiguration nicht funktioniert, prüft es die Bereitstellungsserver auf aktualisierte Anweisungen. Ein funktionierendes RED stellt keine Verbindung zu den Bereitstellungsservern her.
SD-RED 20 und 60 verwenden die Ports TCP 3400 und UDP 3410. Eine vollständige Liste der Hostnamen und Ports des RED-Bereitstellungsservers finden Sie unter Standarddienste.
RED-Freischaltcodes
Ein RED-Freischaltcode ermöglicht den Bereitstellungsservern, eine neue Konfiguration für ein RED zu akzeptieren. Er verhindert, dass ein verwendetes RED versehentlich oder böswillig umgeleitet wird.
Erstmalige Verwendung
Wenn Sie eine RED zum ersten Mal konfigurieren, lassen Sie das Feld für den Entsperrcode leer und speichern Sie die Konfiguration. Die Firewall lädt die RED-Konfiguration auf den Provisioning-Server hoch. Der Provisioning-Server generiert einen RED-spezifischen Entsperrcode. Sie können ihn in der Webadministrationskonsole einsehen. Er sendet den Code auch an die E-Mail-Adresse, die Sie beim Aktivieren des RED-Provisioning-Dienstes angegeben haben. Wenn Sie die RED auf eine neue Firewall übertragen, müssen Sie den alten Entsperrcode eingeben, um die RED dort zu registrieren.
Zuvor verwendetes ROT
Wenn Sie eine RED-Schnittstelle aus der Web-Admin-Konsole löschen, wird der Entsperrcode in einer Popup-Meldung angezeigt, die den Löschvorgang bestätigt. Der Code wird außerdem an die E-Mail-Adresse gesendet, die Sie auf Systemdienste > ROT.
Warnung
Bewahren Sie den Freischaltcode auf. Stellen Sie sicher, dass die E-Mail-Adresse aktuell und korrekt ist. Sie benötigen den Code, um die RED auf einer anderen Firewall einzurichten.
Wenn Sie den Entsperrcode nicht finden können, wenden Sie sich an den Sophos-Support.
So konfigurieren Sie ein RED
Sie können eine RED-Appliance oder Sophos Firewall als RED-Appliance konfigurieren.
So konfigurieren Sie ein RED-Gerät
Sie können im Remote-Büro installierte RED-Geräte wie SD-RED mit der im Hauptbüro installierten Sophos Firewall verbinden.
- Gehe zu Systemdienste > ROT.
- Aktivieren Sie den RED-Dienst und registrieren Sie die Sophos Firewall beim RED-Provisioning-Server. Dies ist eine einmalige Aktion.
- Konfigurieren Sie die ROTE Schnittstelle Ihrer Sophos Firewall. Siehe Fügen Sie eine ROTE Schnittstelle hinzu.
- Gehe zu Verwaltung > Gerätezugriff und RED-Dienste zulassen.
- Verbinden Sie das RED-Gerät am Remote-Standort mit dem Internet.
So konfigurieren Sie die Firewall als RED-Appliance
Sie können Sophos Firewall-Geräte in der Zentrale und in den Remote-Büros über einen Site-to-Site-RED-Tunnel verbinden.
- Gehe zu Systemdienste > ROT.
- Aktivieren Sie den RED-Dienst und registrieren Sie die Sophos Firewall beim RED-Provisioning-Server. Dies ist eine einmalige Aktion.
- Konfigurieren
firewall 1
als die Firewall RED Server. Sehen Fügen Sie eine ROTE Schnittstelle hinzu. - Gehe zu Netzwerk > Schnittstellen. Laden Sie die Bereitstellungsdatei herunter für
firewall 1
. - Konfigurieren
firewall 2
als die Firewall RED-Client. Laden Sie die Bereitstellungsdatei hoch. - Gehe zu Verwaltung > Gerätezugriff und erlauben Sie RED-Dienste auf beiden Firewalls.
Sehen Erstellen Sie einen Site-to-Site-RED-Tunnel.
Weitere Ressourcen