Zur Startseite gehen
0,00 €*

Konfigurieren einer richtlinienbasierten IPsec-VPN-Verbindung mithilfe digitaler Zertifikate

Dieser Artikel zeigt ein Beispiel für die Konfiguration einer richtlinienbasierten IPsec-VPN-Verbindung mit digitalen Zertifikaten als Authentifizierungsmethode für VPN-Peers. Sie können die Werte entsprechend Ihren Organisationsdetails konfigurieren.

Netzwerkdiagramm

Network diagram IPsec VPN digital certificates.

Konfigurieren von Zertifikaten und Zertifizierungsstellen

Laden Sie die SF1-CA auf SF2 hoch

  1. Gehen Sie auf der Sophos Firewall 1 (SF1) zu Zertifikate > Zertifizierungsstellen.
  2. Klicken Standard, überprüfen Sie die Details und klicken Sie dann auf Herunterladen.
  3. Entpacken Sie die Datei und benennen Sie sie um Default.pem Zu Head_Office_Default.pem um es von der Zertifizierungsstelle (CA) der Zweigstelle (BO) zu unterscheiden.
  4. Gehen Sie auf der Sophos Firewall 2 (SF2) zu Zertifikate > Zertifizierungsstellen und klicken Sie auf Hinzufügen.
  5. Klicken Datei auswählen und wählen Sie Head_Office_Default.pem.
  6. Eingeben SF1_CA als die Name.
  7. Klicken Speichern.

Laden Sie die SF2-CA auf SF1 hoch

  1. Gehen Sie auf SF2 zu Zertifikate > Zertifizierungsstellen.
  2. Klicken Standard, überprüfen Sie die Details und klicken Sie dann auf Herunterladen.
  3. Entpacken Sie die Datei und benennen Sie sie um Default.pem Zu Branch_Office_Default.pem.
  4. Gehen Sie auf SF1 zu Zertifikate > Zertifizierungsstellen und klicken Sie auf Hinzufügen.
  5. Klicken Datei auswählen und wählen Sie Branch_Office_Default.pem.
  6. Eingeben SF2_CA als die Name.
  7. Klicken Speichern.

Konfigurieren Sie ein lokal signiertes Zertifikat in SF1

  1. Gehen Sie auf SF1 zu Zertifikate > Zertifikate und klicken Sie auf Hinzufügen.
  2. Wählen Lokal signiertes Zertifikat generieren.

  3. Konfigurieren Sie wie folgt:

    Einstellung Wert
    Name SF1_Certificate
    Gültig ab 23.02.2023
    Gültig bis 23.02.2024
    Schlüsseltyp RSA
    Schlüssellänge 2048
    Sicherer Hash SHA - 256

    Tipp

    Erhöhen Sie das Ablaufdatum der Lizenz vom Standardwert von einem Jahr, um die jährliche Neugenerierung und Aktualisierung des Zertifikats zu vermeiden.

  4. Eingeben SophosFirewall1 als die Allgemeiner Name.

  5. Unter Alternative Antragstellernamen (SANs)auf Erweiterte Einstellungen.

  6. Wählen Sie ein Zertifikats-ID und geben Sie einen Wert ein. Die Zertifikats-ID ist zur Identifizierung der Firewall erforderlich.

    • DNS: Geben Sie einen beliebigen Namen ein.
    • IP-Adresse: Geben Sie eine beliebige IP-Adresse ein.
    • E-Mail: Geben Sie eine beliebige E-Mail-Adresse ein.
    • DER ASN1 DN [X.509]: Verwendet automatisch die Thema der Standard-CA.

    Beispiel:

    Einstellung Wert Wert
    Zertifikats-ID IP-Adresse 172.10.10.1

    Notiz

    Wenn Sie DER ASN1 DN [X.509], konfigurieren Sie nichts in der DNS-Namen Und IP-Adresse unter dem Alternative Antragstellernamen (SANs) da dies zu einem Konflikt bei der Authentifizierung der IPsec-VPN-Verbindung führt.

  7. Klicken Speichern.

  8. Laden Sie das Zertifikat herunter.
  9. Benennen Sie die Zertifikatserweiterung um in .cer.
  10. Gehen Sie auf SF2 zu Zertifikate > Zertifikate und klicken Sie auf Hinzufügen.
  11. Wählen Zertifikat hochladen.

  12. Konfigurieren Sie wie folgt:

    Einstellung Wert
    Name SF1_Certificate
    Zertifikatdateiformat CER (.cer)
    Zertifikat

    Klicken Datei auswählen und wählen Sie die .cer Datei

    von SF1 heruntergeladen.

  13. Klicken Speichern.

  14. Überprüfen Sie, ob ein grünes Häkchen Green checkmark. zeigt unter dem Vertrauenswürdig Spalte.

    Dies zeigt das Vorhandensein der validierenden CA in der Firewall an.

Konfigurieren Sie ein lokal signiertes Zertifikat in SF2

  1. Gehen Sie auf SF2 zu Zertifikate > Zertifikate und klicken Sie auf Hinzufügen.
  2. Wählen Lokal signiertes Zertifikat generieren.

  3. Konfigurieren Sie wie folgt:

    Einstellung Wert
    Name SF2_Certificate
    Gültig ab 23.02.2023
    Gültig bis 23.02.2024
    Schlüsseltyp RSA
    Schlüssellänge 2048
    Sicherer Hash SHA - 256

    Tipp

    Erhöhen Sie das Ablaufdatum der Lizenz vom Standardwert von einem Jahr, um die jährliche Neugenerierung und Aktualisierung des Zertifikats zu vermeiden.

  4. Eingeben SophosFirewall2 als die Allgemeiner Name.

  5. Unter Alternative Antragstellernamen (SANs)auf Erweiterte Einstellungen.

  6. Wählen Sie ein Zertifikats-ID und geben Sie einen Wert ein. Die Zertifikats-ID ist zur Identifizierung der Firewall erforderlich.

    • DNS: Geben Sie einen beliebigen Namen ein.
    • IP-Adresse: Geben Sie eine beliebige IP-Adresse ein.
    • E-Mail: Geben Sie eine beliebige E-Mail-Adresse ein.
    • DER ASN1 DN [X.509]: Verwendet automatisch die Thema der Standard-CA.

    Beispiel:

    Einstellung Wert Wert
    Zertifikats-ID IP-Adresse 172.20.20.1

    Notiz

    Wenn Sie DER ASN1 DN [X.509], konfigurieren Sie nichts in der DNS-Namen Und IP-Adresse unter dem Alternative Antragstellernamen (SANs) da dies zu einem Konflikt bei der Authentifizierung der IPsec-VPN-Verbindung führt.

  7. Klicken Speichern.

  8. Laden Sie das Zertifikat herunter.
  9. Benennen Sie die Zertifikatserweiterung um in .cer.
  10. Gehen Sie auf SF1 zu Zertifikate > Zertifikate und klicken Sie auf Hinzufügen.
  11. Wählen Zertifikat hochladen.

  12. Konfigurieren Sie wie folgt:

    Einstellung Wert
    Name SF2_Certificate
    Zertifikatdateiformat CER (.cer)
    Zertifikat

    Klicken Datei auswählen und wählen Sie die .cer Datei

    von SF2 heruntergeladen.

  13. Klicken Speichern.

  14. Überprüfen Sie, ob ein grünes Häkchen Green checkmark. zeigt unter dem Vertrauenswürdig Spalte.

    Dies zeigt das Vorhandensein der validierenden CA in der Firewall an.

Konfigurieren der IPsec-VPN-Verbindung

SF1-Konfiguration

  1. Gehe zu Gastgeber und Dienstleistungen > IP-Host.

  2. Konfigurieren Sie die IP-Hosts für die lokalen und Remote-Subnetze wie folgt:

    Einstellung IP-Host 1 IP-Host 2
    Name SF1_LAN SF2_LAN
    IP-Version IPv4 IPv4
    Typ Netzwerk Netzwerk
    IP-Adresse 192.10.10.0 192.20.20.0

  3. Klicken Speichern.

  4. Gehe zu Site-to-Site-VPN > IPsec und klicken Sie auf Hinzufügen.

  5. Konfigurieren Sie wie folgt:

    Einstellung Wert
    Name SF1_to_SF2
    IP-Version IPv4
    Anschlussart Richtlinienbasiert
    Gateway-Typ Nur antworten
    Beim Speichern aktivieren Eingeschaltet
    Erstellen einer Firewallregel Eingeschaltet
    Profil Hauptsitz (IKEv2)
    Authentifizierungstyp Digitales Zertifikat
    Lokales Zertifikat SF1_Zertifikat
    Remote-Zertifikat SF2_Zertifikat
    Abhörschnittstelle Port2 - 172.10.10.1
    Lokales Subnetz SF1_LAN
    Gateway-Adresse 172.20.20.1
    Remote-Subnetz SF2_LAN

  6. Klicken Speichern.

    Notiz

    Die Verbindung wird aktiviert und eine Firewall-Regel namens IPsec SF1_to_SF2 wird automatisch erstellt und oben in der Liste der Firewall-Regeln angezeigt. Stellen Sie sicher, dass die Firewall-Regel oben angezeigt wird.

  7. Überprüfen Sie, ob die Aktiv Spalte zeigt eine grüne Schaltfläche Green button..

    Dies zeigt an, dass die HO IPsec VPN-Verbindung aktiv ist.

SF2-Konfiguration

  1. Gehe zu Gastgeber und Dienstleistungen > IP-Host.

  2. Konfigurieren Sie die IP-Hosts für die lokalen und Remote-Subnetze wie folgt:

    Einstellung IP-Host 1 IP-Host 2
    Name SF2_LAN SF1_LAN
    IP-Version IPv4 IPv4
    Typ Netzwerk Netzwerk
    IP-Adresse 192.20.20.0 192.10.10.0

  3. Klicken Speichern.

  4. Gehe zu Site-to-Site-VPN > IPsec und klicken Sie auf Hinzufügen.

  5. Konfigurieren Sie wie folgt:

    Einstellung Wert
    Name SF2_to_SF1
    IP-Version IPv4
    Anschlussart Richtlinienbasiert
    Gateway-Typ Verbindung herstellen
    Beim Speichern aktivieren Eingeschaltet
    Erstellen einer Firewallregel Eingeschaltet
    Profil Zweigstelle (IKEv2)
    Authentifizierungstyp Digitales Zertifikat
    Lokales Zertifikat SF2_Zertifikat
    Remote-Zertifikat SF1_Zertifikat
    Abhörschnittstelle Port2 - 172.20.20.1
    Lokales Subnetz SF2_LAN
    Gateway-Adresse 172.10.10.1
    Remote-Subnetz SF1_LAN

  6. Klicken Speichern.

    Notiz

    Die Verbindung wird aktiviert, der BO startet die Verbindung zum HO und eine Firewall-Regel namens IPsec SF1_to_SF2 wird automatisch erstellt und oben in der Liste der Firewall-Regeln angezeigt. Stellen Sie sicher, dass die Firewall-Regel oben angezeigt wird.

  7. Überprüfen Sie, ob die Aktiv Und Verbindung Spalten zeigen eine grüne Schaltfläche Green button..

    Dies zeigt an, dass die IPsec-VPN-Verbindung hergestellt ist.

Zugriff auf Dienste zulassen

SF1-Konfiguration

Stellen Sie sicher, dass Sie den Zugriff vom WAN auf IPsec zulassen, da Sie die IPsec-Verbindung Gateway-Typ Zu Nur antworten.

Um die Tunnelkonnektivität zu überprüfen, können Sie über die von Ihnen erstellte VPN-Verbindung eine Remote-IP-Adresse anpingen.

  1. Gehe zu Verwaltung > Gerätezugriff.
  2. Unter IPsec, wählen VAN.
  3. Unter Ping/Ping6, wählen VPN.
  4. Klicken Anwenden.

SF2-Konfiguration

Um die Tunnelkonnektivität zu überprüfen, können Sie über die von Ihnen erstellte VPN-Verbindung eine Remote-IP-Adresse anpingen.

  1. Gehe zu Verwaltung > Gerätezugriff.
  2. Unter Ping/Ping6, wählen VPN.
  3. Klicken Anwenden.

Überprüfen der IPsec-VPN-Verbindung

Sie können die IPsec-VPN-Verbindung wie folgt überprüfen:

  1. Führen Sie einen Ping-Test zwischen den Endpunkten hinter SF1 und SF2 durch.

    Head office to branch office.

    Branch office to head Office.

  2. Gehe zu Regeln und Richtlinien > Firewall-Regeln um zu überprüfen, ob die Firewall-Regeln eingehenden und ausgehenden Datenverkehr zulassen.

    Firewall rule traffic.

    Firewall rule traffic.

Weitere Ressourcen

Hilfe benötigt?

Die Anleitung passt nicht zu Ihrer Situation oder funktioniert nicht wie erwartet? Wir stehen Ihnen gern zur Seite, damit Ihre Konfiguration reibungslos funktioniert. Unser zertifiziertes Support-Team hilft Ihnen schnell weiter:

Support-Ticket eröffnen
Unsere Website benutzt Cookies, die für den technischen Betrieb der Website erforderlich sind und stets gesetzt werden. Andere Cookies, die den Komfort bei Benutzung dieser Website erhöhen, der Direktwerbung dienen oder die Interaktion mit anderen Websites und sozialen Netzwerken vereinfachen sollen, werden nur mit Ihrer Zustimmung gesetzt. Zur Datenschutzerklärung