Zur Startseite gehen
0,00 €*

Erstellen Sie ein routenbasiertes VPN (von jedem zu jedem Subnetz).

Sie möchten ein routenbasiertes VPN (RBVPN) zwischen Ihrer Zentrale (HO) und Ihrer Zweigstelle (BO) erstellen und einrichten, wobei der Datenverkehr in beide Richtungen zulässig sein soll. Sie legen die lokalen und Remote-Subnetze auf Beliebig.

Bei einer Konfiguration mit Hauptsitz und Zweigstelle fungiert die Firewall in der Zweigstelle üblicherweise als Tunnelinitiator. Die Firewall in der Zentrale fungiert als Responder. Die Gründe hierfür sind folgende:

  • Da die Anzahl der Zweigstellen variiert, empfehlen wir, dass jede Zweigstelle den Verbindungsversuch wiederholt, anstatt dass die Zentrale alle Verbindungsversuche zu den Zweigstellen wiederholt.

  • Wenn das Zweigstellengerät mit einer dynamischen IP-Adresse konfiguriert ist, kann das Gerät in der Zentrale die Verbindung nicht starten.

    Wenn Sie jedoch dynamisches DNS (DDNS) auf der Sophos Firewall der Zentrale konfigurieren, kann das Gerät der Zentrale die Verbindung herstellen. Weitere Informationen finden Sie unter Einen dynamischen DNS-Anbieter hinzufügen.

Routenbasiertes VPN-Netzwerkdiagramm

In diesem Szenario initiiert die Zweigstelle die Verbindung.

Notiz

Die hier verwendeten Netzwerkadressen dienen nur als Beispiele. Verwenden Sie Ihre Netzwerkadressen beim Erstellen Ihres routenbasierten VPN.

Route-Based VPN network diagram.

Hauptsitz

IP-Hosts für LANs erstellen

Erstellen Sie Hosts für die Netzwerke der Hauptniederlassung und der Zweigstellen.

  1. Gehe zu Gastgeber und Dienste > IP-Host und klicken Sie auf Hinzufügen.

  2. Legen Sie die Einstellungen für das LAN der Zentrale fest.

    Einstellung Wert
    Name HO_LAN
    IP-Version IPv4
    Typ Network
    IP-Adresse 192.168.1.0
    Subnetz /24 (255.255.255.0)

    Hier ist ein Beispiel:

    Create a LAN IP host.

  3. Klicken Speichern.

  4. Klicken Hinzufügen.

  5. Legen Sie die Einstellungen für das LAN der Zweigstelle fest.

    Einstellung Wert
    Name BO_LAN
    IP-Version IPv4
    Typ Network
    IP-Adresse 192.168.3.0
    Subnetz /24 (255.255.255.0)

  6. Klicken Speichern.

Konfigurieren Sie ein routenbasiertes VPN

Um einen routenbasierten VPN-Tunnel zu erstellen, gehen Sie wie folgt vor:

  1. Gehe zu Site-to-Site-VPN > IPsec und klicken Sie auf Hinzufügen.
  2. Geben Sie einen Namen ein.

  3. Geben Sie die allgemeinen Einstellungen an:

    Notiz

    Sie können hier keine Firewall-Regel für routenbasiertes VPN erstellen.

    Einstellung Wert
    IP-Version

    Der Tunnel lässt nur Daten durch, die die angegebene IP-Version verwenden.

    Wählen Sie IPv4.
    Anschlussart Wählen Routenbasiert (Tunnelschnittstelle). Dadurch wird eine Tunnelschnittstelle zwischen zwei Endpunkten erstellt. Die Schnittstelle heißt xfrm gefolgt von einer Zahl.
    Gateway-Typ

    Wählen Sie den folgenden Gateway-Typ aus:

    Nur antworten: Hält die Verbindung bereit, um auf alle eingehenden Anfragen zu antworten.
    Beim Speichern aktivieren Wählen Sie diese Option. Die VPN-Verbindung wird aktiviert, wenn Sie auf Speichern.

    Beispiel:

    Route-based VPN settings.

  4. Geben Sie die Verschlüsselungseinstellungen an.

    Einstellung Wert
    Profil

    Für den Datenverkehr zu verwendendes IPsec-Profil.

    Wählen Hauptsitz (IKEv2).
    Authentifizierungstyp

    Wählen Sie den folgenden Authentifizierungstyp aus:

    RSA-Schlüssel: Authentifiziert Endpunkte mithilfe von RSA-Schlüsseln.

    Der lokale RSA-Schlüssel wird automatisch generiert. Sie müssen den RSA-Schlüssel aus der Sophos Firewall der Zweigstelle kopieren und einfügen.

    Beispiel:

    Route-based VPN encryption settings.

  5. Geben Sie die lokalen Gateway-Einstellungen an.

    Einstellung Wert
    Abhörschnittstelle

    Schnittstelle, die auf Verbindungsanfragen wartet.

    Wählen Sie die WAN-Schnittstelle (Port2-172.20.120.10).
    Lokales Subnetz Beliebig

    Beispiel:

    Route-based VPN's local gateway settings.

  6. Geben Sie die Remote-Gateway-Einstellungen an.

    Einstellung Wert
    Gateway-Adresse Geben Sie die WAN-IP-Adresse der Sophos Firewall der Niederlassung ein (172.20.120.15).
    Remote-Subnetz Beliebig

    Beispiel:

    Route-based VPN's remote gateway settings.

  7. Klicken Speichern.

  8. Gehe zu Profile > IPsec-Profile und stellen Sie sicher Dead-Peer-Erkennung ist aktiviert. Wir empfehlen Ihnen, eine der folgenden Aktionen auszuwählen, wenn der Peer (die Zweigstelle) nicht erreichbar ist:

    • Halten
    • Trennen

Bearbeiten der XFRM-Schnittstelle

Die xfrm-Schnittstelle ist eine virtuelle Tunnelschnittstelle, die Sophos Firewall auf der WAN-Schnittstelle erstellt, wenn Sie eine routenbasierte VPN-Verbindung einrichten.

  1. Gehe zu Netzwerk > Schnittstellen.

  2. Klicken Sie auf den Port, auf dem Sie die xfrm-Schnittstelle konfiguriert haben. Ports mit zugewiesenen virtuellen Schnittstellen haben links einen blauen Balken.

    Hier ist ein Beispiel:

    Click the port to see the xfrm interface.

  3. Klicken Sie auf die xfrm-Schnittstelle und geben Sie eine IP-Adresse und ein Subnetz an. Beispiel: 3.3.3.3/24

    Beispiel:

    Assign an IP address and subnet mask to the xfrm interface.

  4. Klicken Speichern.

Zugriff erlauben

Gerätezugriff zulassen

  1. Gehe zu Verwaltung > Gerätezugriff.
  2. Unter IPsec, wählen VAN.
  3. Unter Ping/Ping6, wählen VPN.
  4. Klicken Anwenden.

Firewallregeln hinzufügen

Erstellen Sie Firewall-Regeln für eingehenden und ausgehenden VPN-Verkehr.

  1. Gehe zu Regeln und Richtlinien > Firewall-Regeln.
  2. Wählen IPv4 Protokoll.
  3. Wählen Firewallregel hinzufügen und wählen Sie Neue Firewall-Regel.

  4. Legen Sie die Einstellungen fest.

    Einstellung Wert
    Regelname Inbound_Allow
    Firewall-Datenverkehr protokollieren Wählen Sie die Einstellung.
    Quellzonen VPN
    Quellnetzwerke und -geräte BO_LAN
    Zielzonen LAN
    Zielnetzwerke HO_LAN

    Beispiel:

    Firewall rule for inbound and outbound traffic.

  5. Klicken Speichern.

  6. Wählen IPv4 Protokoll und wählen Sie Firewallregel hinzufügen. Wählen Neue Firewall-Regel.

  7. Legen Sie die Einstellungen fest.

    Einstellung Wert
    Regelname Outbound_Allow
    Protokollieren des Firewall-Datenverkehrs Wählen Sie die Einstellung.
    Quellzonen UND
    Quellnetzwerke und -geräte HO_LAN
    Zielzonen VPN
    Zielnetzwerke BO_LAN

  8. Klicken Speichern.

Route hinzufügen

In diesem Beispiel zeigen wir, wie Sie eine statische Route und eine SD-WAN-Route konfigurieren. Informationen zu dynamischen Routen finden Sie hier:

  1. Gehe zu Routenplanung > Statische Routen und klicken Sie auf Hinzufügen unter IPv4-Unicast-Route.

  2. Geben Sie die folgenden Routendetails ein:

    Name Einstellung
    Ziel-IP/Netzmaske 192.168.3.0/24
    Schnittstelle xfrm1-3.3.3.3

    Beispiel:

    Static route settings.

  3. Klicken Speichern.

  1. Gehe zu Routenplanung > SD-WAN-Routen.
  2. Wählen IPv4 und klicken Sie auf Hinzufügen.
  3. Geben Sie einen Name.
  4. Satz Quellnetzwerke Zu HO_LAN.

  5. Satz Zielnetzwerke Zu BO_LAN.

    SD-WAN settings for route-based VPN in HO.

  6. Unter Einstellungen für die Linkauswahl, wählen Primäre und Backup-Gateways.

    Notiz

    Wenn Sie ein Gateway-Failover basierend auf Leistungs-SLAs und Integritätsprüfungskriterien erzwingen möchten, erstellen Sie ein SD-WAN-Profil mit Tunnelschnittstellen und wählen Sie das Profil hier aus.

  7. Klicken Sie auf die Dropdown-Liste für Primäres Gateway und klicken Sie auf Hinzufügen.

    1. Geben Sie einen Namen ein.
    2. Für Gateway-IPGeben Sie die XFRM-IP-Adresse der Zweigstelle ein (Beispiel: 3.3.3.4).

    3. Für Schnittstelle, wählen Sie die XFRM-Schnittstelle (Beispiel: xfrm1_3.3.3.3).

      SD-WAN settings.

    4. Falls Sie es wollen Gesundheitscheck auf, für ÜberwachungsbedingungGeben Sie eine interne IP-Adresse der Zweigstelle ein (Beispiel: 192.168.3.2).

  8. Optional können Sie wählen Weiterleiten nur über angegebene Gateways.

    Die Firewall unterbricht dann den Datenverkehr, wenn der Tunnel nicht verfügbar ist.

  9. Klicken Speichern.

Zweigstelle

Konfigurieren von IP-Hosts für LANs

Erstellen Sie Hosts für die Netzwerke der Zweigstelle und der Zentrale.

  1. Gehe zu Gastgeber und Dienste > IP-Host und klicken Sie auf Hinzufügen.

  2. Legen Sie die Einstellungen für das LAN der Zweigstelle fest.

    Einstellung Wert
    Name BO_LAN
    Typ Netzwerk
    IP-Adresse 192.168.3.0
    Subnetz /24 (255.255.255.0)

  3. Legen Sie die Einstellungen für das LAN der Zentrale fest.

    Einstellung Wert
    Name HO_LAN
    Typ Netzwerk
    IP-Adresse 192.168.1.0
    Subnetz /24 (255.255.255.0)

Konfigurieren Sie ein routenbasiertes VPN

Um einen routenbasierten VPN-Tunnel zu erstellen, gehen Sie wie folgt vor:

  1. Gehe zu Site-to-Site-VPN > IPsec und klicken Sie auf Hinzufügen.
  2. Geben Sie einen Namen ein.

  3. Geben Sie die allgemeinen Einstellungen an:

    Einstellung Wert
    IP-Version

    Der Tunnel lässt nur Daten durch, die die angegebene IP-Version verwenden.

    Wählen Sie IPv4.
    Anschlussart Wählen Routenbasiert (Tunnelschnittstelle). Dadurch wird eine Tunnelschnittstelle zwischen zwei Endpunkten erstellt. Die Schnittstelle heißt xfrm gefolgt von einer Zahl.
    Gateway-Typ

    Wählen Sie den folgenden Gateway-Typ aus:

    Verbindung herstellen: Stellt die Verbindung bei jedem Neustart der VPN-Dienste oder des Geräts her.
    Beim Speichern aktivieren Wählen Sie diese Option. Die VPN-Verbindung wird aktiviert, wenn Sie auf Speichern.

  4. Geben Sie die Verschlüsselungseinstellungen an.

    Einstellung Wert
    Profil IPsec-Profil für den Datenverkehr. Wählen Sie Zweigstelle (IKEv2).
    Authentifizierungstyp

    Wählen Sie den folgenden Authentifizierungstyp aus:

    RSA-Schlüssel: Authentifiziert Endpunkte mithilfe von RSA-Schlüsseln.

    Der lokale RSA-Schlüssel wird automatisch generiert. Sie müssen den RSA-Schlüssel aus der Sophos Firewall-Zentrale kopieren und einfügen.

  5. Geben Sie die lokalen Gateway-Einstellungen an.

    Einstellung Wert
    Abhörschnittstelle Schnittstelle, die auf Verbindungsanfragen wartet. Wählen Sie die WAN-Schnittstelle (Port2-172.20.120.15).

  6. Geben Sie die Remote-Gateway-Einstellungen an.

    Einstellung Wert
    Gateway-Adresse Geben Sie die WAN-IP-Adresse der Sophos Firewall in der Zentrale ein (172.20.120.10).

    Notiz

    Sie müssen eine Gateway-IP-Adresse oder einen DNS-Hostnamen eingeben. Sie können keine Platzhalteradressen (*) für routenbasierte VPNs mit Gateway-Typ eingestellt auf Verbindung herstellen.

  7. Klicken Speichern.

  8. Gehe zu Profile > IPsec-Profile und stellen Sie sicher Dead-Peer-Erkennung ist eingeschaltet. Wählen Sie die folgende Aktion aus, die ausgeführt werden soll, wenn der Peer (Zentrale) nicht erreichbar ist: Neu starten.

Bearbeiten der XFRM-Schnittstelle

Die xfrm-Schnittstelle ist eine virtuelle Tunnelschnittstelle, die Sophos Firewall auf der WAN-Schnittstelle erstellt, wenn Sie eine routenbasierte VPN-Verbindung einrichten.

  1. Gehe zu Netzwerk > Schnittstellen.
  2. Geben Sie eine IP-Adresse und ein Subnetz an. Beispiel: 3.3.3.4/24
  3. Klicken Speichern.

Zugriff erlauben

Gerätezugriff zulassen

  1. Gehe zu Verwaltung > Gerätezugriff.
  2. Unter Ping/Ping6, wählen VPN.
  3. Klicken Anwenden.

Firewallregeln hinzufügen

Erstellen Sie Firewall-Regeln für eingehenden und ausgehenden VPN-Verkehr.

  1. Gehe zu Regeln und Richtlinien > Firewall-Regeln.
  2. Wählen IPv4 Protokoll.
  3. Wählen Firewallregel hinzufügen und wählen Sie Neue Firewall-Regel.

  4. Legen Sie die Einstellungen fest.

    Einstellung Wert
    Regelname Inbound_Allow
    Firewall-Datenverkehr protokollieren Wählen Sie die Einstellung.
    Quellzonen VPN
    Quellnetzwerke und -geräte HO_LAN
    Zielzonen UND
    Zielnetzwerke BO_LAN

  5. Klicken Speichern.

  6. Wählen IPv4 Protokoll und wählen Sie Firewallregel hinzufügen. Wählen Neue Firewall-Regel.

  7. Legen Sie die Einstellungen fest.

    Einstellung Wert
    Regelname Outbound_Allow
    Firewall-Datenverkehr protokollieren Wählen Sie die Einstellung.
    Quellzonen UND
    Quellnetzwerke und -geräte BO_LAN
    Zielzonen VPN
    Zielnetzwerke HO_LAN

  8. Klicken Speichern.

Route hinzufügen

In diesem Beispiel zeigen wir, wie Sie eine statische Route und eine SD-WAN-Route konfigurieren. Informationen zu dynamischen Routen finden Sie hier:

  1. Gehe zu Routenplanung > Statische Routen und klicken Sie auf Hinzufügen unter IPv4-Unicast-Route.

  2. Geben Sie die folgenden Routendetails ein:

    Name Einstellung
    Ziel-IP/Netzmaske 192.168.1.0/24
    Schnittstelle xfrm1-3.3.3.4

  3. Klicken Speichern.

  1. Gehe zu Routenplanung > SD-WAN-Routen.
  2. Wählen IPv4 und klicken Sie auf Hinzufügen.
  3. Geben Sie einen Name.
  4. Satz Quellnetzwerke Zu BO_LAN.

  5. Satz Zielnetzwerke Zu HO_LAN.

    SD-WAN settings for route-based VPN in BO.

  6. Unter Einstellungen für die Linkauswahl, wählen Primäre und Backup-Gateways.

  7. Klicken Sie auf die Dropdown-Liste für Primäres Gateway und klicken Sie auf Hinzufügen.

    1. Geben Sie einen Namen ein.
    2. Für Gateway-IPGeben Sie die XFRM-IP-Adresse der Zentrale ein (Beispiel: 3.3.3.3).
    3. Für Schnittstelle, wählen Sie die XFRM-Schnittstelle (Beispiel: xfrm1_3.3.3.4).
    4. Falls Sie es wollen Gesundheitscheck auf, für Überwachungsbedingung, geben Sie eine interne IP-Adresse der Zentrale ein (Beispiel: 192.168.1.2).

  8. Optional können Sie wählen Weiterleiten nur über angegebene Gateways.

    Die Firewall unterbricht dann den Datenverkehr, wenn der Tunnel nicht verfügbar ist.

  9. Klicken Speichern.

Überprüfen der Konnektivität

Gehen Sie von der Zentrale aus wie folgt vor:

  1. Pingen Sie kontinuierlich ein Gerät im LAN der Zweigstelle an. Starten Sie unter Windows eine Eingabeaufforderung und geben Sie Folgendes ein: ping 192.168.3.10 -t
  2. Gehen Sie in der Sophos Firewall zu Diagnose > Paketerfassung > Konfigurieren. In BPF-Zeichenfolge Geben Sie Folgendes ein: host 192.168.1.10 and proto ICMP
  3. Klicken Speichern.
  4. Einschalten PaketerfassungWenn der Ping erfolgreich ist, können Sie den ICMP-Verkehr sehen, der aus der Xfrm-Schnittstelle herausgeht.
  5. Gehe zu Protokollanzeige. Suchen nach 192.168.1.10 Wenn der Ping erfolgreich ist, können Sie sehen, wie der ICMP-Verkehr aus der Xfrm-Schnittstelle zur Ziel-IP-Adresse 192.160.1.10 geht.

Um die Fehlerbehebung fortzusetzen, wählen Sie die Firewall-Regel-ID aus und wählen Sie Firewall-Regel filtern. Dadurch wird die Firewall-Regel in der Webadministrationskonsole geöffnet, wo Sie Ihre Einstellungen überprüfen können.

Weitere Ressourcen

Unsere Website benutzt Cookies, die für den technischen Betrieb der Website erforderlich sind und stets gesetzt werden. Andere Cookies, die den Komfort bei Benutzung dieser Website erhöhen, der Direktwerbung dienen oder die Interaktion mit anderen Websites und sozialen Netzwerken vereinfachen sollen, werden nur mit Ihrer Zustimmung gesetzt. Zur Datenschutzerklärung