Senden Sie den Datenverkehr des Remote-Netzwerks durch den vorhandenen IPsec-Tunnel an bestimmte Hosts

Sie können Datenverkehr von Remote-Subnetzen durch den IPsec-Tunnel an bestimmte Hosts im lokalen Netzwerk senden.

In diesem Beispiel wird eine virtuelle IP-Adresse verwendet, um die IP-Adressen der lokalen Hosts geheim zu halten. Mithilfe von NAT-Regeln müssen Sie die virtuelle IP-Adresse im eingehenden Datenverkehr in die IP-Adressen der lokalen Hosts übersetzen.

Überblick

Der Artikel basiert auf den folgenden Beispieleinstellungen:

• Zwischen Sophos Firewall 1 und 2 besteht eine IPsec-Verbindung.

• Sie möchten Datenverkehr aus dem Remote-Subnetz senden (192.168.3.0) an die lokalen Hosts (172.16.16.2 Und 172.16.16.3) über eine virtuelle IP-Adresse (10.10.10.1) hinter Sophos Firewall 1.

  Sie möchten beispielsweise, dass Benutzer eine sichere Verbindung zu einem Anwendungsserver wie einem SAP-Server, also dem lokalen Host, herstellen.

Netzwerkdiagramm

Hinzufügen von IPsec-Verbindungs- und Firewallregeln

Die für diesen Artikel relevanten Einstellungen sind wie folgt:

In Sophos Firewall 1

Routenbasierte IPsec-Verbindung

Sehen Sie sich das folgende Beispiel einer routenbasierten VPN-Verbindung an:

1. Satz Anschlussart Zu Routenbasiert (Tunnelschnittstelle).
2. Satz Gateway-Typ Zu Nur antworten.
3. Satz Lokales Subnetz Zu Beliebig.
4. Satz Remote-Subnetze Zu Beliebig.

Weisen Sie der XFRM-Schnittstelle eine IP-Adresse zu

1. Gehe zu Netzwerk > Schnittstellen.
2. Klicken Sie auf den vertikalen blauen Balken neben der physischen Schnittstelle, die Sie als Abhörschnittstelle in der IPsec-Konfiguration.
3. Klicken Sie auf die XFRM-Schnittstelle (Beispiel: xfrm1).
4. Geben Sie eine IP-Adresse für die Schnittstelle ein.
5. Klicken Speichern.

Eingehende Firewallregel

Sehen Sie sich das folgende Beispiel einer eingehenden Firewall-Regel an:

1. Satz Quellzone Zu VPN.
2. Satz Zielzone Zu Beliebig.
3. Satz Quellnetzwerke und -geräte Zu 192.168.3.0.

4. Satz Zielnetzwerke und -geräte zu Folgendem:

   • 192.168.2.0
   • 10.10.10.1

In der Sophos Firewall 2

Routenbasierte IPsec-Verbindung

Sehen Sie sich das folgende Beispiel einer routenbasierten VPN-Verbindung an:

1. Satz Anschlussart Zu Routenbasiert (Tunnelschnittstelle).
2. Satz Gateway-Typ Zu Verbindung herstellen
3. Satz Lokales Subnetz Zu Beliebig.
4. Satz Remote-Subnetze Zu Beliebig.

Weisen Sie der XFRM-Schnittstelle eine IP-Adresse zu

1. Gehe zu Netzwerk > Schnittstellen.
2. Klicken Sie auf den vertikalen blauen Balken neben der physischen Schnittstelle, die Sie als Abhörschnittstelle in der IPsec-Konfiguration.
3. Klicken Sie auf die XFRM-Schnittstelle (Beispiel: xfrm2).
4. Geben Sie eine IP-Adresse für die Schnittstelle ein.
5. Klicken Speichern.

Ausgehende Firewallregel

Sehen Sie sich das folgende Beispiel einer ausgehenden Firewallregel an:

1. Satz Quellzone Zu UND.
2. Satz Zielzone Zu VPN.
3. Satz Quellnetzwerke und -geräte Zu 192.168.3.0.

4. Satz Zielnetzwerke und -geräte zu Folgendem:

   • 192.168.2.0
   • 10.10.10.1

Routen hinzufügen

Sie können statische, SD-WAN- und dynamische Routen konfigurieren. In diesem Beispiel werden SD-WAN-Routen verwendet.

In Sophos Firewall 1

1. Gehe zu Routenplanung > SD-WAN-Routen.
2. Wählen IPv4 und klicken Sie auf Hinzufügen.
3. Geben Sie einen Namen ein.

4. Satz Quellnetzwerke zu Folgendem:

   • 192.168.2.0
   • 10.10.10.1

5. Satz Zielnetzwerke Zu 192.168.3.0.

1. (Optional) Wählen Sie einen Dienst, die Anwendungsobjekte sowie Benutzer und Gruppen aus.
2. Unter Einstellungen für die Linkauswahl, wählen Primäre und Backup-Gateways.
3. Klicken Sie auf die Dropdown-Liste für Primäres Gatewayauf Hinzufügen, und konfigurieren Sie ein Gateway für die XFRM-Schnittstelle (Beispiel: xfrm1_gw1).

4. (Optional) Auswählen Weiterleiten nur über angegebene Gateways.

   Die Firewall unterbricht dann den Datenverkehr, wenn der Tunnel nicht verfügbar ist.

5. Klicken Speichern.

Um Ping-Anfragen zur Überprüfung der Konnektivität zuzulassen, gehen Sie zu Verwaltung > Gerätezugriffund wählen Sie VPN unter Ping/Ping6.

In der Sophos Firewall 2

Sie müssen den Datenverkehr vom Remote-Subnetz durch den IPsec-Tunnel an die virtuelle IP-Adresse hinter Sophos Firewall 1 weiterleiten.

In diesem Beispiel fügen wir eine SD-WAN-Route hinzu.

1. Gehe zu Routenplanung > SD-WAN-Routen.
2. Wählen IPv4 und klicken Sie auf Hinzufügen.
3. Geben Sie einen Namen ein.
4. Satz Quellnetzwerke Zu 192.168.3.0.

5. Satz Zielnetzwerke zu Folgendem:

   • 192.168.2.0
   • 10.10.10.1

1. (Optional) Wählen Sie einen Dienst, die Anwendungsobjekte sowie Benutzer und Gruppen aus.
2. Wählen Primäre und Backup-Gateways.
3. Klicken Sie auf die Dropdown-Liste für Primäres Gatewayauf Hinzufügen, und konfigurieren Sie ein Gateway für die XFRM-Schnittstelle (Beispiel: xfrm2_gw1).
4. Wählen Weiterleiten nur über angegebene Gateways.
5. Klicken Speichern.

Um Ping-Anfragen zur Überprüfung der Konnektivität zuzulassen, gehen Sie zu Verwaltung > Gerätezugriffund wählen Sie VPN unter Ping/Ping6.

DNAT-Regel in Sophos Firewall 1 hinzufügen

Fügen Sie eine DNAT-Regel (Ziel-NAT) für eingehenden Datenverkehr hinzu, um die virtuelle IP-Adresse (ursprüngliches Ziel) in die IP-Adresse des Servers (übersetztes Ziel) zu übersetzen.

1. Gehe zu Regeln und Richtlinien > NAT-Regeln.
2. Klicken NAT-Regel hinzufügen und klicken Sie auf Neue NAT-Regel.
3. Geben Sie den Regelnamen ein.
4. Satz Originalquelle zum Remote-Subnetz (192.168.3.0).
5. Satz Übersetzte Quelle Zu Original.
6. Satz Ursprüngliches Ziel zur virtuellen IP-Adresse (10.10.10.1).

7. Satz Übersetztes Ziel zum lokalen Serverlistenobjekt (172.16.16.2 Und 172.16.16.3).

   

8. Satz Lastausgleichsmethode Zu Rundenturnier.

9. Klicken Speichern.

Weitere Ressourcen

• Erstellen Sie ein routenbasiertes VPN (von jedem zu jedem Subnetz)
• Erstellen Sie ein richtlinienbasiertes IPsec-VPN mit einem vorinstallierten Schlüssel