Fügen Sie eine ROTE Schnittstelle hinzu
Sie können zwei Arten von RED-Schnittstellen erstellen. Die Konfigurationsschritte variieren je nach Schnittstellentyp.
- RED-Hardwaremodell: Dedizierte RED-Hardware ohne Benutzeroberfläche.
- Firewall RED: Die Firewall fungiert als RED in einer Client-Server-Konfiguration. Sie benötigt lediglich Netzwerkeinstellungen.
Sie müssen zuerst den RED-Dienst aktivieren auf Systemdienste > ROT.
Warnung
Bei einem Failover in einem HA-Cluster kommt es zu einer Verzögerung bei der Wiederherstellung der RED-Tunnel mit der zusätzlichen Firewall. Die Zeit bis zur Wiederherstellung der Tunnel hängt von der Anzahl der Schnittstellen und anderen Einstellungen ab. Dies gilt für Site-to-Site-RED-Tunnel und RED-Appliances.
Führen Sie je nach Art der Schnittstelle, die Sie erstellen, einen der folgenden Schritte aus:
Fügen Sie eine Schnittstelle für ein RED-Hardwaremodell hinzu.
Gehen Sie wie folgt vor:
- Gehe zu Netzwerk > Schnittstellenauf Schnittstelle hinzufügenund wählen Sie ROT hinzufügen.
- Geben Sie einen Filialnamen ein.
-
Wählen Sie den Typ der RED-Schnittstelle aus der Liste aus.
Warnung
RED 15, 15 (w) und 50 sind nun veraltet (EOL). Ab SFOS 20.0 MR1 und späteren Versionen können Sie mit diesen Geräten keine Tunnel mehr verbinden, obwohl sie in dieser Liste als Optionen angezeigt werden. Um sie weiterhin nutzen zu können, müssen Sie SFOS 20.0 GA oder frühere Versionen ausführen. Wir empfehlen die Auswahl von SD-RED 20 oder 60. Siehe Ende der Lebensdauer von RED 15/15(w) und RED 50 Und Ruhestandskalender.
-
Geben Sie die RED-Einstellungen an.
Einstellung Beschreibung ROTE ID ROTE Identifikationsnummer. Sie finden die ID auf der Rückseite des Geräts und auf der Produktverpackung. Tunnel-ID Tunnelkennung. Stellen Sie sicher, dass Sie einen Tunnel verwenden, der auf keinem der Geräte verwendet wird. Entsperrcode Ein Code, der es den Bereitstellungsservern ermöglicht, eine neue RED-Konfiguration zu akzeptieren. Der RED-Bereitstellungsserver weist jedem RED-Hardwaremodell einen eindeutigen Code zu.
Lassen Sie das Feld für den Entsperrcode bei der Erstkonfiguration leer.
Firewall-IP/Hostname Öffentliche IP-Adresse oder Hostname der Firewall. 2. Firewall-IP/Hostname Alternative öffentliche IP-Adresse oder Hostname der Firewall. Verwenden Sie die zweite IP/den zweiten Hostnamen für Wählen Sie aus den folgenden Optionen:
- Ausfallsicherung: Der sekundäre Host übernimmt automatisch, wenn der primäre ausfällt.
- Lastenausgleich: Verteilen Sie den Datenverkehr gleichmäßig zwischen dem primären und dem sekundären Host.
Gerätebereitstellung Wählen Sie aus den folgenden Optionen:
- Automatisch über den Bereitstellungsdienst: Sophos Firewall stellt die Remote-RED-Appliance automatisch über den RED-Bereitstellungsserver bereit.
- Manuell über USB-Stick: Verwenden Sie diese Option, um ein RED-Gerät in einem privaten Netzwerk bereitzustellen. Gehen Sie wie folgt vor:
- Gehe zu Netzwerk > Schnittstellen.
- Klicken Sie auf Menü
und klicken Sie auf Bereitstellungsdatei herunterladen.
- Kopieren Sie die Datei in das Stammverzeichnis eines USB-Geräts und stecken Sie es in das Remote-RED-Gerät.
Notiz
RED-Geräte synchronisieren ihre Zeit mit dem Sophos NTP-Serverpool. Die Synchronisierung ist für den TLS-Handshake mit der Firewall erforderlich.
Um sicherzustellen, dass Geräte im Offline-Modus ihre Zeit aktualisieren können, gewähren Sie ihnen Internetzugang, um sich mit den NTP-Servern zu verbinden, oder erstellen Sie eine lokale Service-ACL-Ausnahmeregel, die es dem RED ermöglicht, sich von der WAN-Zone aus mit der Firewall zu verbinden. Siehe ROTES Gerät im Offline-Modus stellt keine Verbindung zur Firewall her.
-
Geben Sie die Uplink-Einstellungen an.
Einstellung Beschreibung Uplink-Verbindung Wählen Sie aus den folgenden Optionen:
- DHCP: Weisen Sie die Adresse dynamisch zu. Wir empfehlen diese Methode. Wenn Sie den RED über den Provisioning-Dienst einrichten, muss der RED mindestens einmal eine Verbindung zu einem DHCP-Netzwerk herstellen, um die Konfiguration herunterzuladen.
- Statisch: Geben Sie eine statische IP-Adresse an. Verwenden Sie diese Option nur, wenn DHCP nicht unterstützt wird. Für die statische Konfiguration müssen Sie das RED-Gerät manuell einrichten. Siehe Ein RED-Gerät manuell einrichten.
2. Uplink-Verbindung Wählen Sie aus den folgenden Optionen:
- DHCP: Weisen Sie die Adresse dynamisch zu. Wir empfehlen diese Methode. Wenn Sie den RED über den Provisioning-Dienst einrichten, muss der RED mindestens einmal eine Verbindung zu einem DHCP-Netzwerk herstellen, um die Konfiguration herunterzuladen.
- Statisch: Geben Sie eine statische IP-Adresse an. Verwenden Sie diese Option nur, wenn DHCP nicht unterstützt wird. Für die statische Konfiguration müssen Sie das RED-Gerät manuell einrichten. Siehe Ein RED-Gerät manuell einrichten.
Wenn Sie Statisch Stellen Sie bei der ersten und zweiten Uplink-Verbindung sicher, dass die DNS-Server-IP-Adressen der beiden Uplinks unterschiedlich sind.
Das RED prüft den Routeneintrag der ersten Uplink-Verbindung auf DNS-Auflösung. Reagiert das Gateway nicht, behandelt es die IP-Adresse des DNS-Servers als nicht erreichbar und prüft nicht weiter, ob dieselbe IP-Adresse des DNS-Servers für die zweite Uplink-Verbindung verwendet wird.
2. Uplink-Modus Wählen Sie aus den folgenden Optionen:
- Ausfallsicherung: Der sekundäre Uplink übernimmt automatisch, wenn der primäre ausfällt.
- Lastenausgleich: Verteilen Sie den Datenverkehr gleichmäßig zwischen dem primären und sekundären Uplink.
3G/UMTS-Failover Nutzen Sie bei einem WAN-Ausfall ein Mobilfunknetz. Die Einstellungen erhalten Sie von Ihrem Mobilfunkanbieter. Für die 3G/UMTS-Failover-Funktion ist ein USB-Dongle erforderlich. Notiz
3G/UMTS-Failover ist nicht verfügbar, wenn Sie RED-Betriebsmodus Zu Transparent/Geteilt.
Die RED-Firmware 2.0.018 unterstützt den D-Link DWM-222 USB-Adapter nicht.
-
Geben Sie die RED-Netzwerkeinstellungen an.
Einstellung Beschreibung RED-Betriebsmodus Wählen Sie einen Modus, um das Remote-Netzwerk hinter dem RED in Ihr lokales Netzwerk zu integrieren. Geteilte Netzwerke unterstützen keine FQDN-Hosts.
Weitere Informationen finden Sie unter ROTE Betriebsmodi.
ROTE IP IP-Adresse des RED.
Wenn Sie die IP-Adresse einer vorhandenen RED-Schnittstelle ändern und der neue IP-Adressbereich außerhalb des Bereichs des RED-DHCP-Servers liegt, schaltet die Sophos Firewall den RED-DHCP-Server aus.
Zone Der Schnittstelle zugewiesene Zone. Konfigurieren von DHCP Erlauben Sie RED, Geräten DHCP bereitzustellen. ROTER DHCP-Bereich DHCP-Bereich für Geräte hinter RED. Geteiltes Netzwerk Der Datenverkehr zu den aufgeführten Netzwerken wird durch die Firewall geleitet. Der verbleibende Internetverkehr wird über das Standard-Gateway geleitet. Anfragen an interne Ressourcen im verbleibenden Datenverkehr (die nicht zum geteilten Netzwerk gehören) werden direkt an diese Ressourcen weitergeleitet. MAC-Filtertyp Wählen Sie aus den folgenden Optionen:
- Zulassungsliste: Nur Adressen auf der Liste zulassen.
- Sperrliste: Adressen auf der Liste blockieren.
Überprüfen Sie die Spezifikationen Ihres Geräts auf die maximal zulässige Anzahl an MAC-Adressen.
Tunnelkompression Komprimieren Sie den Tunnelverkehr, um den Durchsatz zu erhöhen. PERSON Der MTU-Wert (Maximum Transmission Unit) in Bytes. Dies ist die größte Paketgröße, die ein Netzwerk übertragen kann. Pakete, die den angegebenen Wert überschreiten, werden vor dem Senden in kleinere Pakete aufgeteilt. -
Angeben Schaltereinstellungen.
SD-RED 60-Geräte unterstützen VLANs.
Weitere Informationen finden Sie unter RED LAN-Modi.
-
Angeben PoE-Einstellungen. Sie können Power over Ethernet für einen oder beide PoE-Ports von SD-RED 60 einschalten.
-
Angeben Erweiterte Einstellungen für SD-RED 20 und SD-RED 60.
Remote-IP-Zuweisung weist der Bridge mit dem RED-Tunnel auf der WAN-Schnittstelle eine IP-Adresse zu. Verwenden Sie diese Option nur, wenn die Geräte hinter einem RED-Tunnel nicht auf ARP-Anfragen reagieren. Wählen Sie DHCP die IP-Adresse vom lokalen DHCP-Server zuweisen zu lassen oder Statisch um die IP-Adresse manuell zuzuweisen.
-
Klicken Speichern.
Fügen Sie eine ROTE Schnittstelle für einen ROTEN Tunnel zwischen zwei Sophos Firewall-Geräten oder Sophos Firewall und Sophos UTM hinzu.
Gehen Sie wie folgt vor:
- Gehe zu Netzwerk > Schnittstellenauf Schnittstelle hinzufügenund wählen Sie Hinzufügen.
- Geben Sie einen Filialnamen ein.
-
Wählen Sie eine Option wie folgt aus:
- Firewall RED Server: Diese Firewall ist der Server.
- Firewall RED-Client: Diese Firewall ist der Client.
- Firewall RED Server Legacy: Diese Firewall ist der Server.
- Firewall RED-Client-Legacy: Diese Firewall ist der Client.
Einstellung Beschreibung Tunnel-ID Tunnelkennung. Stellen Sie sicher, dass Sie einen Tunnel verwenden, der auf keinem der Geräte verwendet wird. Firewall-IP/Hostname Öffentliche IP-Adresse oder Hostname der Firewall. Bereitstellungsdatei Datei, die die Konfigurationsdaten enthält, die der Client-Firewall bereitgestellt werden sollen. -
Geben Sie die RED-Netzwerkeinstellungen an.
Einstellung Beschreibung ROTE IP IP-Adresse des RED.
Wenn Sie die IP-Adresse einer vorhandenen RED-Schnittstelle ändern und der neue IP-Adressbereich außerhalb des Bereichs des RED-DHCP-Servers liegt, schaltet die Sophos Firewall den RED-DHCP-Server aus.
ROTE Netzmaske Subnetzmaske der ROTEN IP-Adresse. Zone Der Schnittstelle zugewiesene Zone. Tunnelkompression Komprimieren Sie den Tunnelverkehr. Datenkomprimierung kann den Durchsatz des RED-Verkehrs in Regionen mit langsamen Internetverbindungen erhöhen. PERSON Der MTU-Wert (Maximum Transmission Unit) in Bytes. Dies ist die größte Paketgröße, die ein Netzwerk übertragen kann. Pakete, die den angegebenen Wert überschreiten, werden vor dem Senden in kleinere Pakete aufgeteilt. -
Klicken Speichern.
Aktualisieren einer vorhandenen RED-Schnittstelle
Sie können einen der folgenden Schritte ausführen:
- Aktualisieren Sie die vorhandenen DHCP-Servereinstellungen, wie z. B. Dynamische IP-Lease, Statische IP-MAC-Zuordnung, DNSund andere zugehörige Einstellungen.
- Erstellen Sie einen neuen DHCP-Server für den neuen IP-Adressbereich.
Weitere Ressourcen