IPsec-VPN mit Firewall hinter einem Router

Sie können IPsec-VPN-Verbindungen zwischen Firewalls hinter einem Router konfigurieren.

In diesem Beispiel befindet sich die Firewall der Hauptniederlassung hinter einem Router und verfügt nicht über eine öffentliche IP-Adresse. Sie müssen Folgendes sowohl in der Hauptniederlassung als auch in der Zweigstelle konfigurieren:

1. Firewall-Voraussetzung: Konfigurieren Sie IP-Hosts für die lokalen und Remote-Subnetze.
2. Konfigurieren Sie die IPsec-VPN-Verbindung.
3. Optional: Bearbeiten Sie die automatisch erstellte Firewall-Regel, um eine unabhängige Regel für ausgehenden Datenverkehr zu erstellen.
4. Optional: Erstellen Sie eine Firewall-Regel für eingehenden Datenverkehr, wenn Sie unabhängige Firewall-Regeln wünschen.
5. Zugriff auf Dienste gewähren.
6. Konfigurieren Sie die Router-Einstellungen.
7. Verbindungsstatus prüfen.
8. Überprüfen Sie die Protokolle.

Hier ist ein Beispiel für ein Netzwerkdiagramm:

Konfigurieren Sie die Firewall der Hauptniederlassung.

Konfigurieren Sie die IPsec-Verbindung und die Firewall-Regeln.

Fügen Sie eine IPsec-Verbindung hinzu.

Erstellen und aktivieren Sie eine IPsec-Verbindung am Hauptsitz.

1. Gehe zu Site-to-Site-VPN > IPsec und klicken Hinzufügen.
2. Geben Sie einen Namen ein.
3. Wählen Beim Speichern aktivieren.
4. Wählen Firewall-Regel erstellen.
5. Für Verbindungstyp, wählen Politikbasiert.

6. Für Gateway-Typ, wählen Nur antworten.

   Hier ein Beispiel:

   

7. Für Profil, wählen Hauptsitz (IKEv2).

8. Für Authentifizierungstyp, wählen Vorinstallierter Schlüssel.

9. Geben Sie einen Schlüssel ein und bestätigen Sie ihn.

   Hier ein Beispiel:

   

10. Für Zuhörschnittstelle: Wählen Sie den WAN-Port der lokalen Firewall aus (Beispiel: 10.10.10.2).

11. Für Gateway-Einstellungen: Geben Sie den WAN-Port der Remote-Firewall ein (Beispiel: 203.0.113.10).
12. Für Lokales Subnetz: Wählen Sie den IP-Host aus, den Sie für 192.168.2.0.
13. Für Remote-Subnetz: Wählen Sie den IP-Host aus, den Sie für 192.168.3.0.

14. Klicken Speichern.

    Hier ein Beispiel:

    

Bearbeiten Sie die Firewall-Regel

Um eine separate ausgehende VPN-Regel zu konfigurieren, bearbeiten Sie die automatisch erstellte Firewall-Regel. Alternativ können Sie die Einstellungen überprüfen, falls bereits eine Firewall-Regel für VPN-Datenverkehr vorhanden ist.

1. Gehe zu Regeln und Richtlinien > Firewall-Regeln.

2. Klicken Sie auf die Regelgruppe Automatische VPN-Regeln und klicke auf die von dir erstellte Regel.

   Hier ein Beispiel:

   

3. Nehmen Sie folgende Einstellungen vor:

   Einstellung	Wert
   Regelname	Outbound VPN traffic
   Quellzonen	UND
   Quellnetzwerke und Geräte	HQ_LAN
   Zielzonen	VPN
   Zielnetzwerke	Branch_LAN
   Dienstleistungen	Beliebig

4. Klicken Speichern.

   Hier ein Beispiel:

   

Fügen Sie eine Firewall-Regel hinzu

Erstellen Sie eine Firewall-Regel für eingehenden VPN-Datenverkehr, falls Sie noch keine haben.

1. Gehe zu Regeln und Richtlinien > Firewall-Regeln.
2. Klicken Firewall-Regel hinzufügen und auswählen Neue Firewall-Regel.

3. Nehmen Sie folgende Einstellungen vor:

   Einstellung	Wert
   Regelname	Inbound VPN traffic
   Quellzonen	VPN
   Quellnetzwerke und Geräte	Branch_LAN
   Zielzonen	UND
   Zielnetzwerke	HQ_LAN
   Dienstleistungen	Beliebig

4. Klicken Speichern.

   Hier ein Beispiel:

   

Zugriff auf Dienste gewähren

1. Gehe zu Verwaltung > Gerätezugriff.
2. Unter IPsec, wählen VAN.

3. Unter Ping/Ping6, wählen VPN.

   Benutzer können die IP-Adresse der Firewall über das VPN anpingen, um die Konnektivität zu überprüfen.

4. Klicken Anwenden.

Konfigurieren Sie Ihre Router-Einstellungen

Gehen Sie wie folgt vor:

1. Stellen Sie sicher, dass Sie auf dem Router eine DNAT-Regel konfigurieren, um den VPN-Datenverkehr zuzulassen.

   1. Legen Sie als ursprüngliches Ziel die WAN-Schnittstelle des Routers fest (Beispiel: 203.0.113.1).
   2. Legen Sie das übersetzte Ziel auf die WAN-Schnittstelle der lokalen Firewall fest (Beispiel: 10.10.10.2).

2. Folgende Dienste zulassen:

   1. UDP-Port 500
   2. UDP-Port 4500
   3. IP-Protokoll 50

Konfigurieren Sie die Firewall der Zweigstelle.

Konfigurieren Sie die IPsec-Verbindung und die Firewall-Regeln.

Fügen Sie eine IPsec-Verbindung hinzu.

Erstellen und aktivieren Sie eine IPsec-Verbindung in der Zweigstelle.

1. Gehe zu Site-to-Site-VPN > IPsec und klicken Hinzufügen.
2. Geben Sie einen Namen ein.
3. Wählen Beim Speichern aktivieren.
4. Wählen Firewall-Regel erstellen.
5. Für Verbindungstyp, wählen Politikbasiert.

6. Für Gateway-Typ, wählen Verbindung herstellen.

   Hier ein Beispiel:

   

7. Für Profil, wählen Zweigstelle (IKEv2).

8. Für Authentifizierungstyp, wählen Vorinstallierter Schlüssel.

9. Geben Sie einen Schlüssel ein und bestätigen Sie ihn.

   Hier ein Beispiel:

   

10. Für Zuhörschnittstelle, wählen Sie den WAN-Port der lokalen Firewall aus (203.0.113.10).

11. Für Gateway-Einstellungen, geben Sie den WAN-Port des Routers in der Hauptniederlassung ein (203.0.113.1).
12. Für Lokales Subnetz: Wählen Sie den IP-Host aus, den Sie für 192.168.2.0.
13. Für Remote-Subnetz: Wählen Sie den IP-Host aus, den Sie für 192.168.3.0.

14. Klicken Speichern.

    

Bearbeiten Sie die Firewall-Regel

Um eine separate ausgehende VPN-Regel zu konfigurieren, bearbeiten Sie die automatisch erstellte Firewall-Regel. Alternativ können Sie die Einstellungen überprüfen, falls bereits eine Firewall-Regel für VPN-Datenverkehr vorhanden ist.

1. Gehe zu Regeln und Richtlinien > Firewall-Regeln.

2. Klicken Sie auf die Regelgruppe Automatische VPN-Regeln und klicke auf die von dir erstellte Regel.

   Hier ein Beispiel:

   

3. Nehmen Sie folgende Einstellungen vor:

   Einstellung	Wert
   Regelname	Outbound VPN traffic
   Quellzonen	UND
   Quellnetzwerke und Geräte	Branch_LAN
   Zielzonen	VPN
   Zielnetzwerke	HQ_LAN
   Dienstleistungen	Beliebig

4. Klicken Speichern.

   Hier ein Beispiel:

   

Fügen Sie eine Firewall-Regel hinzu

Erstellen Sie eine Regel für eingehenden VPN-Datenverkehr, falls Sie noch keine haben.

1. Gehe zu Regeln und Richtlinien > Firewall-Regeln.
2. Klicken Firewall-Regel hinzufügen und auswählen Neue Firewall-Regel.

3. Nehmen Sie folgende Einstellungen vor:

   Einstellung	Wert
   Regelname	Inbound VPN traffic
   Quellzonen	VPN
   Quellnetzwerke und Geräte	HQ_LAN
   Zielzonen	UND
   Zielnetzwerke	Branch_LAN
   Dienstleistungen	Beliebig

4. Klicken Speichern.

   Hier ein Beispiel:

   

Zugriff auf Dienste gewähren

1. Gehe zu Verwaltung > Gerätezugriff.

2. Unter Ping/Ping6, wählen VPN.

   Benutzer können die IP-Adresse der Firewall über das VPN anpingen, um die Konnektivität zu überprüfen.

3. Klicken Anwenden.

Überprüfen Sie die Verbindung.

Prüfen Sie die VPN-Verbindung zwischen der Hauptniederlassung und der Zweigniederlassung.

• Firewall der Hauptniederlassung: Pingen Sie das Subnetz der Zweigstelle an. Geben Sie beispielsweise unter Windows folgenden Befehl in der Eingabeaufforderung ein: ping 192.168.3.0
• Firewall der Zweigstelle: Pingen Sie das Subnetz der Hauptniederlassung an. Geben Sie beispielsweise unter Windows folgenden Befehl in der Eingabeaufforderung ein: ping 192.168.2.0

Überprüfen Sie die Protokolle.

Die Protokolle der Firewall der Hauptniederlassung zeigen, dass ein NAT-Gerät vorgeschaltet wurde.

Die Protokolle der Firewall der Zweigstelle zeigen, dass ein NAT-Gerät vor der Firewall der Hauptniederlassung erkannt wurde.

Weitere Ressourcen

• NAT-Traversal