Zur Startseite gehen
0,00 €*

Permalink zur Seite

Verwenden Sie beim Verweisen auf diese Seite stets den folgenden Permalink. Er bleibt in zukünftigen Hilfeversionen unverändert.

https://docs.sophos.com/nsg/sophos-firewall/21.5/Help/en-us/webhelp/onlinehelp/index.html?contextId=site-to-site-VPN-route-based-VPN-traffic-selectors

Erstellen Sie ein routenbasiertes VPN mit Verkehrsselektoren

Sie möchten ein routenbasiertes VPN (RBVPN) zwischen Ihrer Hauptniederlassung (HO) und einer Zweigniederlassung (BO) für bestimmte lokale und entfernte Subnetze erstellen und einrichten.

Bei einer Konfiguration mit Hauptsitz und Zweigstelle fungiert die Firewall in der Zweigstelle üblicherweise als Tunnelinitiator. Die Firewall im Hauptsitz fungiert als Responder. Dies hat folgende Gründe:

  • Da es üblicherweise viele Zweigstellen gibt, empfehlen wir, dass jede Zweigstelle die Verbindung erneut versucht, anstatt dass die Hauptniederlassung alle Verbindungen zu den Zweigstellen erneut versucht.

  • Wenn das Gerät in der Zweigstelle mit einer dynamischen IP-Adresse konfiguriert ist, kann das Gerät in der Hauptniederlassung keine Verbindung herstellen.

    Wenn Sie jedoch dynamisches DNS (DDNS) auf der Sophos-Firewall in der Zentrale konfigurieren, kann das Gerät in der Zentrale die Verbindung herstellen. Weitere Informationen finden Sie unter [Link einfügen]. Fügen Sie einen dynamischen DNS-Anbieter hinzu..

Routenbasiertes VPN-Netzwerkdiagramm

In diesem Szenario initiiert die Zweigstelle die Verbindung.

Notiz

Die hier verwendeten Netzwerkadressen dienen lediglich als Beispiele. Verwenden Sie Ihre eigenen Netzwerkadressen, wenn Sie Ihr routenbasiertes VPN erstellen.

Route-Based VPN network diagram.

Hauptsitz

IP-Hosts für LANs erstellen

Erstellen Sie Hosts für die Netzwerke der Hauptniederlassung und der Zweigstellen.

  1. Gehe zu Gastgeber und Dienstleistungen > IP-Host und klicken Hinzufügen.

  2. Legen Sie die Einstellungen für das LAN der Hauptniederlassung fest.

    Einstellung Wert
    Name HO_LAN
    IP-Version IPv4
    Typ Network
    IP-Adresse 192.168.1.0
    Subnetz /24 (255.255.255.0)

    Hier ein Beispiel:

    Create a LAN IP host.

  3. Klicken Speichern.

  4. Klicken Hinzufügen.

  5. Legen Sie die Einstellungen für das LAN der Zweigstelle fest.

    Einstellung Wert
    Name BO_LAN
    IP-Version IPv4
    Typ Network
    IP-Adresse 192.168.3.0
    Subnetz /24 (255.255.255.0)

  6. Klicken Speichern.

Routenbasiertes VPN konfigurieren

Um einen routenbasierten VPN-Tunnel zu erstellen, gehen Sie wie folgt vor:

  1. Gehe zu Site-to-Site-VPN > IPsec und klicken Hinzufügen.
  2. Geben Sie einen Namen ein.

  3. Legen Sie die allgemeinen Einstellungen fest.

    Einstellung Wert
    IP-Version

    Der Tunnel leitet nur Daten weiter, die die angegebene IP-Version verwenden.

    Wählen Sie IPv4.
    Verbindungstyp Wählen Routenbasiert (Tunnelschnittstelle): Dadurch wird eine Tunnelschnittstelle zwischen zwei Endpunkten erstellt. Die Schnittstelle trägt den Namen xfrm gefolgt von einer Zahl.
    Gateway-Typ

    Wählen Sie den folgenden Gateway-Typ aus:

    Nur antworten: Hält die Verbindung bereit, auf jede eingehende Anfrage zu reagieren.
    Beim Speichern aktivieren Wählen Sie diese Option. Dadurch wird die VPN-Verbindung beim Klicken aktiviert. Speichern.

    Beispiel:

    Route-based VPN settings.

  4. Legen Sie die Verschlüsselungseinstellungen fest.

    Einstellung Wert
    Profil

    Das für den Datenverkehr zu verwendende IPsec-Profil.

    Wählen Hauptsitz (IKEv2).
    Authentifizierungstyp

    Wählen Sie folgenden Authentifizierungstyp aus:

    RSA-Schlüssel: Authentifiziert Endpunkte mithilfe von RSA-Schlüsseln.

    Der lokale RSA-Schlüssel wird automatisch generiert. Sie müssen den RSA-Schlüssel von der Sophos-Firewall der Zweigstelle kopieren und einfügen.

    Beispiel:

    Route-based VPN encryption settings.

  5. Legen Sie die Gateway-Einstellungen fest.

    Einstellung Wert
    Zuhörschnittstelle

    Schnittstelle, die auf Verbindungsanfragen wartet.

    Wählen Sie die WAN-Schnittstelle aus (Port2-172.20.120.10: ).
    Gateway-Adresse

    Geben Sie die WAN-IP-Adresse der Sophos-Firewall der Zweigstelle ein (172.20.120.15).

    Wenn die Gateway-Typ ist eingestellt auf Nur antworten: Sie können eine Platzhalteradresse verwenden (*Wenn Sie eine Platzhalteradresse verwenden, müssen Sie mindestens eine der folgenden Einstellungen festlegen:

    • Lokaler ID-Typ Und Lokale ID
    • Remote-ID-Typ Und Remote-ID
    Lokales Subnetz HO_LAN
    Remote-Subnetz BO_LAN

    Beispiel:

    Route-based VPN's gateway settings.

  6. Klicken Speichern.

  7. Gehe zu Profile > IPsec-Profile und stellen Sie sicher Erkennung toter Gleichaltrige ist aktiviert. Wir empfehlen Ihnen, eine der folgenden Aktionen auszuwählen, wenn der Peer (die Zweigstelle) nicht erreichbar ist:

    • Halten
    • Trennen

  8. Um die XFRM-Oberfläche anzuzeigen, gehen Sie zu Netzwerk > Schnittstellen und klicken Sie auf die blaue Leiste neben der Schnittstelle, die Sie als die ausgewählt haben. Zuhörschnittstelle.

    Hier ein Beispiel:

    Click the port to see the xfrm interface.

Zugriff erlauben

Gerätezugriff erlauben

  1. Gehe zu Verwaltung > Gerätezugriff.
  2. Unter IPsec, wählen VAN.
  3. Unter Ping/Ping6, wählen VPN.
  4. Klicken Anwenden.

Firewall-Regeln hinzufügen

Erstellen Sie Firewall-Regeln für eingehenden und ausgehenden VPN-Datenverkehr.

  1. Gehe zu Regeln und Richtlinien > Firewall-Regeln.
  2. Wählen IPv4 Protokoll.
  3. Wählen Firewall-Regel hinzufügen und auswählen Neue Firewall-Regel.

  4. Legen Sie die Einstellungen fest.

    Einstellung Wert
    Regelname Inbound_Allow
    Firewall-Verkehr protokollieren Wählen Sie die Einstellung.
    Quellzonen VPN
    Quellnetzwerke und Geräte BO_LAN
    Zielzonen LAN
    Zielnetzwerke HO_LAN

    Beispiel:

    Firewall rule for inbound and outbound traffic.

  5. Klicken Speichern.

  6. Wählen IPv4 Protokoll und Auswahl Firewall-Regel hinzufügen. Wählen Neue Firewall-Regel.

  7. Legen Sie die Einstellungen fest.

    Einstellung Wert
    Regelname Outbound_Allow
    Firewall-Verkehr protokollieren Wählen Sie die Einstellung.
    Quellzonen UND
    Quellnetzwerke und Geräte HO_LAN
    Zielzonen VPN
    Zielnetzwerke BO_LAN

  8. Klicken Speichern.

Zweigstelle

IP-Hosts für LANs konfigurieren

Erstellen Sie Hosts für die Netzwerke der Zweigstellen und der Hauptniederlassung.

  1. Gehe zu Gastgeber und Dienstleistungen > IP-Host und klicken Hinzufügen.

  2. Legen Sie die Einstellungen für das LAN der Zweigstelle fest.

    Einstellung Wert
    Name BO_LAN
    Typ Netzwerk
    IP-Adresse 192.168.3.0
    Subnetz /24 (255.255.255.0)

  3. Legen Sie die Einstellungen für das LAN der Hauptniederlassung fest.

    Einstellung Wert
    Name HO_LAN
    Typ Netzwerk
    IP-Adresse 192.168.1.0
    Subnetz /24 (255.255.255.0)

Routenbasiertes VPN konfigurieren

Um einen routenbasierten VPN-Tunnel zu erstellen, gehen Sie wie folgt vor:

  1. Gehe zu Site-to-Site-VPN > IPsec und klicken Hinzufügen.
  2. Geben Sie einen Namen ein.

  3. Allgemeine Einstellungen festlegen:

    Einstellung Wert
    IP-Version

    Der Tunnel leitet nur Daten weiter, die die angegebene IP-Version verwenden.

    Wählen Sie IPv4.
    Verbindungstyp Wählen Routenbasiert (Tunnelschnittstelle): Dadurch wird eine Tunnelschnittstelle zwischen zwei Endpunkten erstellt. Die Schnittstelle trägt den Namen xfrm gefolgt von einer Zahl.
    Gateway-Typ

    Wählen Sie den folgenden Gateway-Typ aus:

    Verbindung herstellen: Stellt die Verbindung jedes Mal wieder her, wenn die VPN-Dienste oder das Gerät neu gestartet werden.
    Beim Speichern aktivieren Wählen Sie diese Option. Dadurch wird die VPN-Verbindung beim Klicken aktiviert. Speichern.

  4. Legen Sie die Verschlüsselungseinstellungen fest.

    Einstellung Wert
    Profil Für den Datenverkehr soll das IPsec-Profil verwendet werden. Auswählen Zweigstelle (IKEv2).
    Authentifizierungstyp

    Wählen Sie folgenden Authentifizierungstyp aus:

    RSA-Schlüssel: Authentifiziert Endpunkte mithilfe von RSA-Schlüsseln.

    Der lokale RSA-Schlüssel wird automatisch generiert. Sie müssen den RSA-Schlüssel von der Sophos-Firewall der Zentrale kopieren und einfügen.

  5. Geben Sie die lokalen Gateway-Einstellungen an.

    Einstellung Wert
    Zuhörschnittstelle Schnittstelle, die auf Verbindungsanfragen wartet. Wählen Sie die WAN-Schnittstelle aus (Port2-172.20.120.15: ).
    Lokales Subnetz BO_LAN

  6. Geben Sie die Einstellungen für das Remote-Gateway an.

    Einstellung Wert
    Gateway-Adresse Geben Sie die WAN-IP-Adresse (oder den Hostnamen) der Sophos-Firewall am Hauptsitz ein (172.20.120.10).
    Remote-Subnetz HO_LAN

    Notiz

    Sie müssen eine Gateway-IP-Adresse oder einen DNS-Hostnamen eingeben. Die Eingabe einer Wildcard-Adresse ist nicht möglich (*) für routenbasierte VPNs mit Gateway-Typ eingestellt auf Verbindung herstellen.

  7. Klicken Speichern.

  8. Gehe zu Profile > IPsec-Profile und stellen Sie sicher Erkennung toter Gleichaltrige ist aktiviert. Wählen Sie die folgende Aktion aus, die ausgeführt werden soll, wenn der Peer (Hauptsitz) nicht erreichbar ist: Neu starten.
  9. Um die XFRM-Oberfläche anzuzeigen, gehen Sie zu Netzwerk > Schnittstellen und klicken Sie auf die blaue Leiste neben der Schnittstelle, die Sie als die ausgewählt haben. Zuhörschnittstelle.

Zugriff erlauben

Gerätezugriff erlauben

  1. Gehe zu Verwaltung > Gerätezugriff.
  2. Unter Ping/Ping6, wählen VPN.
  3. Klicken Anwenden.

Firewall-Regeln hinzufügen

Erstellen Sie Firewall-Regeln für eingehenden und ausgehenden VPN-Datenverkehr.

  1. Gehe zu Regeln und Richtlinien > Firewall-Regeln.
  2. Wählen IPv4 Protokoll.
  3. Wählen Firewall-Regel hinzufügen und auswählen Neue Firewall-Regel.

  4. Legen Sie die Einstellungen fest.

    Einstellung Wert
    Regelname Inbound_Allow
    Firewall-Verkehr protokollieren Wählen Sie die Einstellung.
    Quellzonen VPN
    Quellnetzwerke und Geräte HO_LAN
    Zielzonen UND
    Zielnetzwerke BO_LAN

  5. Klicken Speichern.

  6. Wählen IPv4 Protokoll und Auswahl Firewall-Regel hinzufügen. Wählen Neue Firewall-Regel.

  7. Legen Sie die Einstellungen fest.

    Einstellung Wert
    Regelname Outbound_Allow
    Firewall-Verkehr protokollieren Wählen Sie die Einstellung.
    Quellzonen UND
    Quellnetzwerke und Geräte BO_LAN
    Zielzonen VPN
    Zielnetzwerke HO_LAN

  8. Klicken Speichern.

Verbindung prüfen

Vom Hauptsitz aus gehen Sie wie folgt vor:

  1. Ein Gerät im LAN der Zweigstelle soll kontinuierlich angepingt werden. Unter Windows öffnen Sie die Eingabeaufforderung und geben Folgendes ein: ping 192.168.3.10 -t
  2. Gehen Sie in der Sophos Firewall zu Diagnostik > Paketerfassung > Konfigurieren. In BPF-Zeichenkette Geben Sie Folgendes ein: host 192.168.1.10 and proto ICMP
  3. Klicken Speichern.
  4. Einschalten Paketerfassung: Wenn der Ping erfolgreich ist, können Sie den ICMP-Datenverkehr sehen, der über die xfrm-Schnittstelle ausgegeben wird.
  5. Gehe zu Protokollanzeige. Suchen nach 192.168.1.10 Wenn der Ping erfolgreich ist, können Sie den ICMP-Datenverkehr sehen, der von der xfrm-Schnittstelle zur Ziel-IP-Adresse 192.160.1.10 gesendet wird.

Zur weiteren Fehlerbehebung wählen Sie die Firewall-Regel-ID aus und wählen Sie anschließend aus. Firewall-Filterregel: Dadurch wird die Firewall-Regel in der Web-Administrationskonsole geöffnet, wo Sie Ihre Einstellungen überprüfen können.

Weitere Ressourcen

Hilfe benötigt?

Die Anleitung passt nicht zu Ihrer Situation oder funktioniert nicht wie erwartet? Wir stehen Ihnen gern zur Seite, damit Ihre Konfiguration reibungslos funktioniert. Unser zertifiziertes Support-Team hilft Ihnen schnell weiter:

Support-Ticket eröffnen