Zur Startseite gehen
0,00 €*

Permalink zur Seite

Verwenden Sie beim Verweisen auf diese Seite stets den folgenden Permalink. Er bleibt in zukünftigen Hilfeversionen unverändert.

https://docs.sophos.com/nsg/sophos-firewall/21.5/Help/en-us/webhelp/onlinehelp/index.html?contextId=site-to-site-VPN-NAT-IPsec-same-subnets

NAT mit richtlinienbasiertem IPsec, wenn lokale und entfernte Subnetze gleich sind

Konfigurieren Sie Network Address Translation (NAT) mit richtlinienbasiertem IPsec-VPN, wenn die Subnetze in der lokalen und der Remote-Firewall identisch sind.

Sie können 1:1-NAT (Host-zu-Host), 1:n-NAT (Host-zu-Subnetz) oder n:n-NAT (Subnetz-zu-Subnetz) verwenden. Für die Konfiguration von n:n-NAT müssen das ursprüngliche und das übersetzte Subnetz die gleiche Größe haben.

Das Beispielszenario zeigt n:n NAT mit einem /24 Subnetz.

Wichtige Schritte

Die wichtigsten Schritte sind folgende:

  1. Firewall der Hauptverwaltung konfigurieren:

    1. Fügen Sie die IP-Hosts hinzu.
    2. Fügen Sie eine IPsec-Verbindung hinzu.
    3. Fügen Sie Firewall-Regeln für eingehenden und ausgehenden Datenverkehr hinzu.

  2. Konfigurieren der Firewall der Zweigstelle:

    1. Fügen Sie die IP-Hosts hinzu.
    2. Fügen Sie eine IPsec-Verbindung hinzu.
    3. Fügen Sie eingehende und ausgehende Firewall-Regeln hinzu.

  3. Stellen Sie die IPsec-Verbindung her.

  4. Bestätigen Sie den Verkehrsfluss.

Alle Konfigurationsdetails sind Beispiele, die auf dem Netzwerk im folgenden Diagramm basieren:

Site-to-site IPsec NAT network diagram.

Firewall des Hauptsitzes

Konfigurieren Sie Folgendes:

IP-Hosts konfigurieren

Konfigurieren Sie die Firewall des Hauptsitzes so, dass der Datenverkehr über die Standortverbindung per NAT weitergeleitet wird. Im Folgenden finden Sie Beispieleinstellungen:

  1. Gehe zu Gastgeber und Dienstleistungen > IP-Host, wählen Hinzufügen: und erstellen Sie das lokale LAN.

    Hier ein Beispiel:

    Local LAN IP host configuration on firewall one.

  2. Gehe zu Gastgeber und Dienstleistungen > IP-Host, wählen Hinzufügen: und erstellen Sie das lokale NAT-LAN.

    Hier ein Beispiel:

    Local translated LAN IP host configuration on firewall one.

  3. Gehe zu Gastgeber und Dienstleistungen > IP-Host, wählen Hinzufügen: und erstellen Sie das entfernte NAT-LAN.

    Hier ein Beispiel:

    Remote translated LAN IP host configuration on firewall one.

Notiz

Sie müssen für das lokale LAN und das NAT-Netzwerk dieselbe Subnetzmaske verwenden.

Konfigurieren einer IPsec-Verbindung

Nachfolgend finden Sie Beispieleinstellungen:

  1. Gehe zu Site-to-Site-VPN > IPsec.
  2. Unter IPsec-Verbindungen, klicken Hinzufügen.
  3. Geben Sie einen Namen ein.
  4. Stellen Sie sicher Verbindungstyp ist eingestellt auf Politikbasiert.

  5. Stellen Sie sicher Gateway-Typ ist eingestellt auf Nur antworten.

    Hier ein Beispiel:

    IPsec configuration on firewall one.

  6. Unter Verschlüsselung, Satz Profil Zu Standard-Hauptsitz.

  7. Für Authentifizierungstyp, wählen Vorinstallierter Schlüssel.
  8. Geben Sie einen vorab vereinbarten Schlüssel ein.

  9. Bestätigen Sie den vorab geteilten Schlüssel.

    Hier ein Beispiel:

    Encryption settings on firewall one.

  10. Für Zuhörschnittstelle, wählen Port2.

  11. Für Gateway-Adresse, eingeben 172.20.120.15.
  12. Für Lokales Subnetz, wählen NAT_LAN_HO_192.168.1.0.
  13. Für Remote-Subnetz, wählen NAT_LAN_BO_192.168.3.0.
  14. Wählen Netzwerkadressübersetzung (NAT).
  15. Für Ursprüngliches Subnetz, wählen HO_LAN_192.168.2.0.

  16. Klicken Speichern.

    Hier ein Beispiel:

    Gateway, subnet, and NAT settings in HO.

  17. Klicken Sie auf die Status-Schaltfläche Button to activate the connection. um die Verbindung zu aktivieren.

    Activate IPsec connection on firewall one.

Firewall-Regeln konfigurieren

Nachfolgend finden Sie Beispieleinstellungen:

  1. Gehe zu Regeln und Richtlinien > Firewall-Regeln und klicken Firewall-Regel hinzufügen.

  2. Erstellen Sie zwei Regeln wie folgt:

    1. Eine Regel, um eingehenden Datenverkehr zu ermöglichen.

      Inbound firewall rule on firewall one.

    2. Eine Regel, um ausgehenden Datenverkehr zu ermöglichen.

      Outbound firewall rule on firewall one.

    Notiz

    Stellen Sie sicher, dass die VPN-Firewallregeln ganz oben in der Firewallregelliste stehen.

Firewall der Zweigstelle

Konfigurieren Sie Folgendes:

IP-Hosts konfigurieren

Konfigurieren Sie die zweite Sophos-Firewall so, dass der Datenverkehr über die Site-to-Site-Verbindung per NAT weitergeleitet wird. Nachfolgend finden Sie Beispielkonfigurationen:

  1. Gehe zu Gastgeber und Dienstleistungen > IP-Host und auswählen Hinzufügen und das lokale LAN erstellen.

    Local LAN IP host configuration on firewall two.

  2. Gehe zu Gastgeber und Dienstleistungen > IP-Host und auswählen Hinzufügen und erstellen Sie das lokale NAT-Netzwerk.

    Local translated LAN IP host configuration on firewall two.

  3. Gehe zu Gastgeber und Dienstleistungen > IP-Host und auswählen Hinzufügen und erstellen Sie das entfernte NAT-LAN.

    Remote translated LAN IP host configuration on firewall two.

Notiz

Sie müssen für das lokale LAN und das NAT-Netzwerk dieselbe Subnetzmaske verwenden.

Konfigurieren einer IPsec-Verbindung

Nachfolgend finden Sie Beispieleinstellungen:

  1. Gehe zu Site-to-Site-VPN > IPsec und auswählen Hinzufügen.
  2. Geben Sie einen Namen ein.
  3. Stellen Sie sicher Verbindungstyp ist eingestellt auf Politikbasiert.

  4. Stellen Sie sicher Gateway-Typ ist eingestellt auf Verbindung herstellen.

    Hier ein Beispiel:

    IPsec configuration on firewall one.

  5. Unter Verschlüsselung, Satz Profil Zu Standard-Niederlassung.

  6. Für Authentifizierungstyp, wählen Vorinstallierter Schlüssel.

  7. Geben Sie einen vorab vereinbarten Schlüssel ein und geben Sie ihn erneut ein.

    Hier ein Beispiel:

    Encryption settings on firewall one.

  8. Für Zuhörschnittstelle, wählen Port3.

  9. Für Gateway-Adresse, eingeben 172.20.120.10.
  10. Für Lokales Subnetz, wählen NAT_LAN_BO_192.168.3.0.
  11. Für Remote-Subnetz, wählen NAT_LAN_HO_192.168.1.0.
  12. Wählen Netzwerkadressübersetzung (NAT).
  13. Für Ursprüngliches Subnetz, wählen BO_LAN_192.168.2.0.

  14. Klicken Speichern.

    Hier ein Beispiel:

    Encryption settings on firewall one.

  15. Klicken Sie auf die Status-Schaltfläche Button to activate the connection. um die Verbindung zu aktivieren.

    Activate IPsec connection on firewall one.

Firewall-Regeln konfigurieren

Nachfolgend finden Sie Beispieleinstellungen:

  1. Gehe zu Regeln und Richtlinien > Firewall-Regeln und klicken Firewall-Regel hinzufügen.

  2. Erstellen Sie zwei Regeln wie folgt:

    1. Eine Regel, um eingehenden Datenverkehr zu ermöglichen.

      Inbound firewall rule on firewall two.

    2. Eine Regel, um ausgehenden Datenverkehr zu ermöglichen.

      Outbound firewall rule on firewall two.

    Notiz

    Stellen Sie sicher, dass die VPN-Firewallregeln ganz oben in der Firewallregelliste stehen.

Stellen Sie die IPsec-Verbindung her.

Sobald beide Sophos Firewall-Geräte in der Zentrale und den Zweigstellen konfiguriert sind, müssen Sie die IPsec-Verbindung herstellen.

  1. Gehe zu Site-to-Site-VPN > IPsec.

  2. Klicken Sie auf die Status-Schaltfläche Button to activate connection. um die Verbindung zu aktivieren.

    Active IPsec connection.

    Die Verbindungsanzeige leuchtet grün, sobald die Verbindung hergestellt ist.

    IPsec connection established.

Verkehrsfluss bestätigen

  1. Erzeugen Sie Datenverkehr, der über die VPN-Verbindung läuft.
  2. Gehe zu Regeln und Richtlinien > Firewall-Regeln.

  3. Prüfen Sie, ob die zuvor erstellten Firewall-Regeln den Datenverkehr in beide Richtungen zulassen.

    Confirm firewall rules are allowing traffic.

  4. Gehe zu Berichte > VPN und die IPsec-Nutzung bestätigen.

    IPsec report traffic.

  5. Klicken Sie auf den Verbindungsnamen, um weitere Details anzuzeigen.

    IPsec report connection details.

Überprüfen Sie die Tunnelverbindung.

Um sicherzustellen, dass die Datenverbindung durchgängig funktioniert, senden Sie einen Ping von den Endpunkten der Zweigstellen und der Hauptniederlassung an die NAT-Adressen, die Sie in der Remote-Firewall verwendet haben. Gehen Sie dazu wie folgt vor:

  1. Öffnen Sie auf dem Endgerät der Zweigstelle die Windows-Eingabeaufforderung.
  2. Führen Sie folgenden Befehl aus: ping 192.168.1.2.
  3. Öffnen Sie auf dem Endgerät in der Zentrale die Windows-Eingabeaufforderung.
  4. Führen Sie folgenden Befehl aus: ping 192.168.3.2.

Weitere Informationen

In einer Konfiguration mit Hauptsitz und Zweigstelle fungiert die Firewall der Zweigstelle üblicherweise als Tunnelinitiator und die Firewall des Hauptsitzes als Responder. Dies hat folgende Gründe:

  • Wenn das Gerät in der Zweigstelle mit einer dynamischen IP-Adresse konfiguriert ist, kann das Gerät in der Hauptniederlassung keine Verbindung herstellen.
  • Da die Anzahl der Filialen variiert, empfehlen wir, dass jede Filiale die Verbindung einzeln erneut versucht, anstatt dass die Hauptniederlassung alle Verbindungen zu den Filialen erneut versucht.

Hilfe benötigt?

Die Anleitung passt nicht zu Ihrer Situation oder funktioniert nicht wie erwartet? Wir stehen Ihnen gern zur Seite, damit Ihre Konfiguration reibungslos funktioniert. Unser zertifiziertes Support-Team hilft Ihnen schnell weiter:

Support-Ticket eröffnen