Konfigurieren einer richtlinienbasierten IPsec-VPN-Verbindung mithilfe digitaler Zertifikate

Dieser Artikel zeigt ein Beispiel für die Konfiguration einer richtlinienbasierten IPsec-VPN-Verbindung mit digitalen Zertifikaten als Authentifizierungsmethode für VPN-Teilnehmer. Sie können die Werte entsprechend den Gegebenheiten Ihrer Organisation anpassen.

Netzwerkdiagramm

Zertifikate und Zertifizierungsstellen konfigurieren

Laden Sie die SF1 CA nach SF2 hoch.

1. Gehen Sie auf der Sophos Firewall 1 (SF1) zu Zertifikate > Zertifizierungsbehörden.
2. Klicken Standard: Überprüfen Sie die Angaben und klicken Sie dann Herunterladen.
3. Entpacken Sie die Datei und benennen Sie sie um Default.pem Zu Head_Office_Default.pem um sie von der Zweigstellen-Zertifizierungsstelle (BO) zu unterscheiden.
4. Gehen Sie auf der Sophos Firewall 2 (SF2) zu Zertifikate > Zertifizierungsbehörden und klicken Hinzufügen.
5. Klicken Datei auswählen und auswählen Head_Office_Default.pem.
6. Eingeben SF1_CA als die Name.
7. Klicken Speichern.

Laden Sie die SF2 CA nach SF1 hoch.

1. Gehe in SF2 zu Zertifikate > Zertifizierungsbehörden.
2. Klicken Standard: Überprüfen Sie die Angaben und klicken Sie dann auf Herunterladen.
3. Entpacken Sie die Datei und benennen Sie sie um Default.pem Zu Branch_Office_Default.pem.
4. Auf SF1 gehe zu Zertifikate > Zertifizierungsbehörden und klicken Hinzufügen.
5. Klicken Datei auswählen und auswählen Branch_Office_Default.pem.
6. Eingeben SF2_CA als die Name.
7. Klicken Speichern.

Konfigurieren Sie ein lokal signiertes Zertifikat in SF1

1. Auf SF1 gehe zu Zertifikate > Zertifikate und klicken Hinzufügen.
2. Wählen Lokal signiertes Zertifikat generieren.

3. Konfigurieren Sie die Konfiguration wie folgt:

   Einstellung	Wert
   Name	SF1_Certificate
   Gültig ab	23.02.2023
   Gültig bis	23.02.2024
   Schlüsseltyp	RSA
   Schlüssellänge	2048
   Sicherer Hash	SHA - 256

   Tipp

   Verlängern Sie das Ablaufdatum der Lizenz von der Standardeinstellung von einem Jahr, um die jährliche Neugenerierung und Aktualisierung des Zertifikats zu vermeiden.

4. Eingeben SophosFirewall1 als die Gebräuchlicher Name.

5. Unter Alternative Subjektnamen (SANs), klicken Erweiterte Einstellungen.

6. Wählen Sie eine Zertifikats-ID und geben Sie einen Wert ein. Zertifikats-ID ist erforderlich, um die Firewall zu identifizieren.

   • DNS: Geben Sie einen beliebigen Namen ein.
   • IP-Adresse: Geben Sie eine beliebige IP-Adresse ein.
   • E-Mail: Geben Sie eine beliebige E-Mail-Adresse ein.
   • DER ASN1 DN [X.509]: Verwendet automatisch die Thema der Standard-CA.

   Beispiel:

   Einstellung	Wert	Wert
   Zertifikats-ID	IP-Adresse	172.10.10.1

   Notiz

   Wenn Sie verwenden DER ASN1 DN [X.509]: Konfigurieren Sie nichts im DNS-Namen Und IP-Adresse unter der Alternative Subjektnamen (SANs) weil dies zu einem Konflikt bei der Authentifizierung der IPsec-VPN-Verbindung führen wird.

7. Klicken Speichern.

8. Laden Sie das Zertifikat herunter.
9. Benennen Sie die Zertifikatserweiterung um in .cer.
10. Gehe in SF2 zu Zertifikate > Zertifikate und klicken Hinzufügen.
11. Wählen Upload-Zertifikat.

12. Konfigurieren Sie die Konfiguration wie folgt:

    Einstellung	Wert
    Name	SF1_Certificate
    Zertifikatsdateiformat	CER (.cer)
    Zertifikat	Klicken Datei auswählen und wählen Sie die .cer Datei heruntergeladen von SF1.

13. Klicken Speichern.

14. Prüfen Sie, ob ein grünes Häkchen vorhanden ist. zeigt unter der Vertrauenswürdig Spalte.

    Dies deutet auf das Vorhandensein der validierenden Zertifizierungsstelle in der Firewall hin.

Konfigurieren eines lokal signierten Zertifikats in SF2

1. Gehe in SF2 zu Zertifikate > Zertifikate und klicken Hinzufügen.
2. Wählen Lokal signiertes Zertifikat generieren.

3. Konfigurieren Sie die Konfiguration wie folgt:

   Einstellung	Wert
   Name	SF2_Certificate
   Gültig ab	23.02.2023
   Gültig bis	23.02.2024
   Schlüsseltyp	RSA
   Schlüssellänge	2048
   Sicherer Hash	SHA - 256

   Tipp

   Verlängern Sie das Ablaufdatum der Lizenz von der Standardeinstellung von einem Jahr, um die jährliche Neugenerierung und Aktualisierung des Zertifikats zu vermeiden.

4. Eingeben SophosFirewall2 als die Gebräuchlicher Name.

5. Unter Alternative Subjektnamen (SANs), klicken Erweiterte Einstellungen.

6. Wählen Sie eine Zertifikats-ID und geben Sie einen Wert ein. Zertifikats-ID ist erforderlich, um die Firewall zu identifizieren.

   • DNS: Geben Sie einen beliebigen Namen ein.
   • IP-Adresse: Geben Sie eine beliebige IP-Adresse ein.
   • E-Mail: Geben Sie eine beliebige E-Mail-Adresse ein.
   • DER ASN1 DN [X.509]: Verwendet automatisch die Thema der Standard-CA.

   Beispiel:

   Einstellung	Wert	Wert
   Zertifikats-ID	IP-Adresse	172.20.20.1

   Notiz

   Wenn Sie verwenden DER ASN1 DN [X.509]: Konfigurieren Sie nichts im DNS-Namen Und IP-Adresse unter der Alternative Subjektnamen (SANs) weil dies zu einem Konflikt bei der Authentifizierung der IPsec-VPN-Verbindung führen wird.

7. Klicken Speichern.

8. Laden Sie das Zertifikat herunter.
9. Benennen Sie die Zertifikatserweiterung um in .cer.
10. Auf SF1 gehe zu Zertifikate > Zertifikate und klicken Hinzufügen.
11. Wählen Upload-Zertifikat.

12. Konfigurieren Sie die Konfiguration wie folgt:

    Einstellung	Wert
    Name	SF2_Certificate
    Zertifikatsdateiformat	CER (.cer)
    Zertifikat	Klicken Datei auswählen und wählen Sie die .cer Datei heruntergeladen von SF2.

13. Klicken Speichern.

14. Prüfen Sie, ob ein grünes Häkchen vorhanden ist. zeigt unter der Vertrauenswürdig Spalte.

    Dies deutet auf das Vorhandensein der validierenden Zertifizierungsstelle in der Firewall hin.

Konfigurieren Sie die IPsec-VPN-Verbindung

SF1-Konfiguration

1. Gehe zu Hosting und Services > IP-Host.

2. Konfigurieren Sie die IP-Hosts für die lokalen und entfernten Subnetze wie folgt:

   Einstellung	IP-Host 1	IP-Host 2
   Name	SF1_LAN	SF2_LAN
   IP-Version	IPv4	IPv4
   Typ	Netzwerk	Netzwerk
   IP-Adresse	192.10.10.0	192.20.20.0

3. Klicken Speichern.

4. Gehe zu Site-to-Site-VPN > IPsec und klicken Hinzufügen.

5. Konfigurieren Sie die Konfiguration wie folgt:

   Einstellung	Wert
   Name	SF1_to_SF2
   IP-Version	IPv4
   Verbindungstyp	Politikbasiert
   Gateway-Typ	Nur antworten
   Beim Speichern aktivieren	Eingeschaltet
   Firewall-Regel erstellen	Eingeschaltet
   Profil	Hauptsitz (IKEv2)
   Authentifizierungstyp	Digitales Zertifikat
   Lokales Zertifikat	SF1_Zertifikat
   Remote-Zertifikat	SF2-Zertifikat
   Zuhörschnittstelle	Port2 - 172.10.10.1
   Lokales Subnetz	SF1_LAN
   Gateway-Adresse	172.20.20.1
   Remote-Subnetz	SF2_LAN

6. Klicken Speichern.

   Notiz

   Die Verbindung wird aktiviert und eine Firewall-Regel mit dem Namen IPsec SF1_to_SF2 Diese Regel wird automatisch erstellt und ganz oben in der Firewall-Regelliste platziert. Stellen Sie sicher, dass sich die Firewall-Regel an oberster Stelle befindet.

7. Überprüfen Sie, ob die Aktiv In der Spalte wird ein grüner Knopf angezeigt .

   Dies zeigt an, dass die HO IPsec VPN-Verbindung aktiv ist.

SF2-Konfiguration

1. Gehe zu Hosting und Services > IP-Host.

2. Konfigurieren Sie die IP-Hosts für die lokalen und entfernten Subnetze wie folgt:

   Einstellung	IP-Host 1	IP-Host 2
   Name	SF2_LAN	SF1_LAN
   IP-Version	IPv4	IPv4
   Typ	Netzwerk	Netzwerk
   IP-Adresse	192.20.20.0	192.10.10.0

3. Klicken Speichern.

4. Gehe zu Site-to-Site-VPN > IPsec und klicken Hinzufügen.

5. Konfigurieren Sie die Konfiguration wie folgt:

   Einstellung	Wert
   Name	SF2_to_SF1
   IP-Version	IPv4
   Verbindungstyp	Politikbasiert
   Gateway-Typ	Verbindung herstellen
   Beim Speichern aktivieren	Eingeschaltet
   Firewall-Regel erstellen	Eingeschaltet
   Profil	Zweigstelle (IKEv2)
   Authentifizierungstyp	Digitales Zertifikat
   Lokales Zertifikat	SF2-Zertifikat
   Remote-Zertifikat	SF1_Zertifikat
   Zuhörschnittstelle	Port2 - 172.20.20.1
   Lokales Subnetz	SF2_LAN
   Gateway-Adresse	172.10.10.1
   Remote-Subnetz	SF1_LAN

6. Klicken Speichern.

   Notiz

   Die Verbindung wird aktiviert, der BO stellt die Verbindung zum HO her, und eine Firewall-Regel mit dem Namen IPsec SF1_to_SF2 Diese Regel wird automatisch erstellt und ganz oben in der Firewall-Regelliste platziert. Stellen Sie sicher, dass sich die Firewall-Regel an oberster Stelle befindet.

7. Überprüfen Sie, ob die Aktiv Und Verbindung In den Spalten wird ein grüner Knopf angezeigt .

   Dies zeigt an, dass die IPsec-VPN-Verbindung hergestellt wurde.

Zugriff auf Dienste gewähren

SF1-Konfiguration

Stellen Sie sicher, dass Sie den Zugriff vom WAN auf IPsec zulassen, da Sie die IPsec-Verbindung entsprechend konfiguriert haben. Gateway-Typ Zu Nur antworten.

Um die Tunnelverbindung zu überprüfen, können Sie über die von Ihnen erstellte VPN-Verbindung eine Remote-IP-Adresse anpingen.

1. Gehe zu Verwaltung > Gerätezugriff.
2. Unter IPsec, wählen VAN.
3. Unter Ping/Ping6, wählen VPN.
4. Klicken Anwenden.

SF2-Konfiguration

Um die Tunnelverbindung zu überprüfen, können Sie über die von Ihnen erstellte VPN-Verbindung eine Remote-IP-Adresse anpingen.

1. Gehe zu Verwaltung > Gerätezugriff.
2. Unter Ping/Ping6, wählen VPN.
3. Klicken Anwenden.

Überprüfen Sie die IPsec-VPN-Verbindung.

Sie können die IPsec-VPN-Verbindung wie folgt überprüfen:

1. Führe einen Ping-Test zwischen den Endpunkten hinter SF1 und SF2 durch.

   SF1 bis SF2SF2 zu SF1

   

   

2. Gehe zu Regeln und Richtlinien > Firewall-Regeln um zu überprüfen, ob die Firewall-Regeln eingehenden und ausgehenden Datenverkehr zulassen.

   SF1 bis SF2SF2 zu SF1

   

   

Weitere Ressourcen

• Lokal unterzeichnetes Zertifikat
• IP-Host hinzufügen
• Fügen Sie eine Firewall-Regel hinzu