Fügen Sie eine IPsec-Verbindung hinzu.

Sie können richtlinienbasierte (Site-to-Site- und Host-to-Host-) und routenbasierte IPsec-Verbindungen konfigurieren.

1. Gehe zu Site-to-Site-VPN > IPsec und klicken Hinzufügen.
2. Geben Sie einen Namen ein.

3. Allgemeine Einstellungen festlegen:

   Einstellung	Beschreibung
   IP-Version	Der Tunnel leitet nur Datenverkehr für die angegebene IP-Version weiter. Für Tunnelschnittstellen in Dual Im Modus „Sofort“ können Sie Folgendes nicht tun: Automatische Firewall-Regel erstellen. Legen Sie Verkehrsselektoren für die lokalen und Remote-Subnetze fest.
   Verbindungstyp	Politikbasiert: Stellt eine sichere Verbindung zwischen dem lokalen und dem entfernten Subnetz über das Internet her. Sie können diese Verbindung nutzen, um eine Zweigstelle mit der Unternehmenszentrale zu verbinden. Host-zu-Host: Stellt eine sichere Verbindung zwischen zwei Hosts her, beispielsweise zwischen zwei Computern. Routenbasiert (Tunnelschnittstelle): Stellt eine routenbasierte VPN-Verbindung her und erstellt eine Tunnelschnittstelle zwischen zwei Firewalls. Eine XFRM-Schnittstelle mit dem Schnittstellennamen wird automatisch erstellt. xfrm, gefolgt von einer Zahl. Sie müssen der Schnittstelle eine IP-Adresse zuweisen. Netzwerk > Schnittstellen. Sehen Routenbasiertes VPN.
   Gateway-Typ	Zu ergreifende Maßnahmen beim Neustart des VPN-Dienstes oder der Firewall: Deaktivieren: Die Verbindung bleibt inaktiv, bis sie von einem Benutzer aktiviert wird. Nur antworten: Hält die Verbindung bereit, auf eingehende Anfragen zu antworten. Sie können eine Platzhalteradresse verwenden (*) für diesen Gateway-Typ. Dies ermöglicht es jeder Außenstelle, eine Verbindung mit der Hauptniederlassung herzustellen. Verbindung herstellen: Stellt die Verbindung jedes Mal wieder her, wenn der VPN-Dienst oder die Firewall neu gestartet wird. Wir empfehlen, das Gateway an Ihrem zentralen Standort (z. B. Hauptsitz) einzurichten. Nur antworten und das Gateway an Ihren entfernten Standorten (z. B. Filialen) zu Verbindung herstellen.
   Beim Speichern aktivieren	Stellt die Verbindung her.
   Firewall-Regel erstellen	Erstellt automatisch eine Firewall-Regel für diese Verbindung. Überprüfen Sie die Position der Regel in der Firewall-Regelliste. Automatisch erstellte Firewall-Regeln, beispielsweise für E-Mail-MTA, IPsec-Verbindungen und Hotspots, stehen ganz oben in der Liste und werden zuerst ausgewertet. Die Richtlinien und Aktionen der obersten Regel werden angewendet, was zu unerwarteten Ergebnissen führen kann, etwa zu Fehlern bei der E-Mail-Zustellung oder zum Nichtaufbau von Tunneln, wenn sich die Kriterien für neue und bestehende Regeln überschneiden.

   Notiz

   Die automatische Firewall-Regel kann nicht für routenbasierte IPsec-Verbindungen konfiguriert werden, die Any-to-Any-Subnetze oder eine Dual-IP-Version verwenden.

4. Legen Sie die Verschlüsselungseinstellungen fest.

   Einstellung	Beschreibung
   Profil	Das für den Datenverkehr zu verwendende IPsec-Profil.
   Authentifizierungstyp	Vorinstallierter Schlüssel: Authentifiziert Endpunkte mithilfe des beiden Endpunkten bekannten Geheimnisses. Speichern Sie diesen Schlüssel. Sie müssen ihn auf der Remote-Firewall eingeben. Die zuletzt konfigurierte Verbindung, die einen vorab geteilten Schlüssel (PSK) verwendet, ersetzt den PSK aller Verbindungen zwischen ihrer Listening-Schnittstelle und dem Remote-Gateway. Um dies zu verhindern, empfehlen wir Ihnen, ein IKEv2-Profil auszuwählen und lokale sowie Remote-IDs zu konfigurieren. IKEv2 ermöglicht es Ihnen, für jede Kombination aus lokaler und Remote-ID einen separaten PSK zu verwenden. Digitales Zertifikat: Authentifiziert Endpunkte durch den Austausch von Zertifikaten (lokal signiert oder von einer Zertifizierungsstelle ausgestellt). RSA-Schlüssel: Authentifiziert Endpunkte mithilfe von RSA-Schlüsseln.
   Lokales Zertifikat	Das Zertifikat wird von der lokalen Firewall zur Authentifizierung verwendet.
   Remote-Zertifikat	Das Zertifikat wird von der Remote-Firewall zur Authentifizierung verwendet.
   Remote-CA-Zertifikat	Die lokale Firewall authentifiziert das Remote-Zertifikat anhand des Remote-CA-Zertifikats. Die Verwendung eines öffentlichen CA-Zertifikats stellt ein Sicherheitsrisiko dar.

   Notiz

   Die Firewall unterstützt keine ECDSA-Zertifikate für IPsec-VPN. Stellen Sie sicher, dass Sie unter „Lokale und Remote-Zertifikate“ RSA-Zertifikate auswählen.

   Warnung

   Verwenden Sie kein öffentliches Zertifizierungsstellenzertifikat als Remote-CA-Zertifikat für die Verschlüsselung. Angreifer können sich mithilfe eines gültigen Zertifikats dieser Zertifizierungsstelle unbefugten Zugriff auf Ihre Verbindungen verschaffen.

5. Geben Sie die lokalen Gateway-Einstellungen an.

   Einstellung	Beschreibung
   Zuhörschnittstelle	Eine WAN-Schnittstelle an der lokalen Firewall. Für die Listening-Schnittstelle kann keine Bridge-Schnittstelle verwendet werden.
   Lokaler ID-Typ	Wählen Sie für Pre-Shared Keys und RSA-Schlüssel einen ID-Typ aus und geben Sie einen ein Lokale ID Wert. Sie können diesen Wert zur zusätzlichen Validierung von Tunneln oder zur Identifizierung der Firewall während der NAT-Traversal verwenden. NAT-Traversal ist immer aktiviert. Die lokalen und Remote-IDs ermöglichen es der Firewall, eine entfernte Firewall hinter einem Router mit privater IP-Adresse zu identifizieren.
   Lokales Subnetz	Lokale Hosts oder Subnetze, denen Sie VPN-Zugriff gewähren möchten. Bei Tunnelschnittstellen können Sie die Verkehrsselektoren nur dann hinzufügen, wenn Sie die IP-Version Zu IPv4 oder IPv6: Außerdem müssen Sie entweder auswählen Beliebig oder spezifische Verkehrsselektoren für lokale und entfernte Subnetze. Sie können nicht auswählen Beliebig für den einen und einen spezifischen Verkehrsselektor für den anderen.

6. Geben Sie die Einstellungen für das Remote-Gateway an.

   Einstellung	Beschreibung
   Gateway-Adresse	IP-Adresse oder DNS-Hostname des Remote-Gateways. Sie können keine Platzhalteradresse verwenden (*) wenn Sie eingestellt haben Gateway-Typ Zu Verbindung herstellen: Sie können einen DNS-Hostnamen verwenden, wenn das Remote-Gateway eine dynamische IP-Adresse hat. Um eine Platzhalteradresse zu verwenden (*), müssen Sie einstellen Gateway-Typ Zu Nur antworten: Wenn Sie eine Platzhalteradresse verwenden, müssen Sie mindestens eine der folgenden Einstellungen festlegen: Lokaler ID-Typ Und Lokale ID Remote-ID-Typ Und Remote-ID Wenn Sie einen PSK und eine Wildcard-Adresse angegeben haben, stellen Sie sicher, dass Sie ein IKEv2-Profil auswählen und die lokale und die Remote-ID angeben. Andernfalls ersetzt der PSK den PSK in allen bestehenden Konfigurationen mit derselben lokalen/Remote-Gateway-Kombination. Dies betrifft insbesondere Remote-Access-VPNs, da deren Remote-Gateway als Wildcard-Adresse gilt.
   Remote-ID-Typ	Wählen Sie für Pre-Shared Keys und RSA-Schlüssel einen ID-Typ aus und geben Sie einen ein Remote-ID Wert. Verwenden Sie dies zur zusätzlichen Validierung von Tunneln. Sie können einen beliebigen eindeutigen FQDN oder Hostnamen, eine IP-Adresse oder eine E-Mail-Adresse eingeben. Für DER ASN1 DN [X.509] fügen Sie den Distinguished Name des Zertifikats der Remote-Firewall ein.
   Remote-Subnetz	Remote-Hosts oder Subnetze, denen Sie VPN-Zugriff gewähren möchten. Bei Tunnelschnittstellen können Sie die Verkehrsselektoren nur dann hinzufügen, wenn Sie die IP-Version Zu IPv4 oder IPv6: Außerdem müssen Sie entweder auswählen Beliebig oder spezifische Verkehrsselektoren für lokale und entfernte Subnetze. Sie können nicht auswählen Beliebig für den einen und einen spezifischen Verkehrsselektor für den anderen.

7. Wählen Netzwerkadressübersetzung (NAT) Um die IP-Adressen zu übersetzen, falls sich die lokalen und entfernten Subnetze überschneiden.

   • Übersetztes Subnetz: Zeigt die in dieser Richtlinie angegebenen lokalen Subnetze an. Die Sophos Firewall übersetzt dies in das tatsächliche Subnetz.
   • Ursprüngliches Subnetz: Wählen Sie das tatsächliche Subnetz aus. Es handelt sich um das sich überschneidende Subnetz an Ihren lokalen und Remote-Standorten.

   Notiz

   Diese Option kann nur bei richtlinienbasierten VPNs (Site-to-Site und Host-to-Host) und routenbasierten VPNs mit Traffic-Selektoren verwendet werden.

   Sie müssen NAT-Regeln konfigurieren, um IP-Adressen für routenbasierte VPNs (Tunnelschnittstellen) mit lokalen und entfernten Subnetzen zu übersetzen. Beliebig oder keine Verkehrsselektoren.

8. Geben Sie die erweiterten Einstellungen an:

   Einstellung	Beschreibung
   Benutzerauthentifizierungsmodus	Diese Einstellung gilt nur für IKEv1-Profile, wie z. B. Standardprofil, StandardL2TP, Und Standard-Hauptsitz: Die Authentifiziert VPN-Clients im Client-Server-Modus mittels XAuth (erweiterte Authentifizierung). Konfigurieren Sie die Firewall am zentralen Standort im Servermodus. XAuth nutzt Ihren bestehenden Authentifizierungsmechanismus, wie z. B. AD, RADIUS oder LDAP, um Benutzer nach dem Phase-1-Austausch zu authentifizieren. Typischerweise verwenden Unternehmen dies für IPsec-basierte Remotezugriffsverbindungen. Wählen Sie eine Option aus den folgenden aus: Keiner: Erzwingt keine Benutzerauthentifizierung. Als Kunde: Die lokale Firewall fungiert als XAuth-Client. Geben Sie Benutzername und Passwort zur Authentifizierung an der Remote-Firewall ein. Legen Sie auf der Remote-Firewall die Benutzerauthentifizierungsmethode wie folgt fest: Als Server. Als Server: Die Firewall fungiert als XAuth-Server. Zugelassene Benutzer und Gruppen: Wählen Sie die Benutzer aus, denen Sie die Authentifizierung erlauben möchten. Legen Sie für die Remote-Firewall die Benutzerauthentifizierungsmethode wie folgt fest: Als Kunde. Sie müssen außerdem die Konfigurationsdatei herunterladen und an die Benutzer weitergeben. Klicken Sie zum Herunterladen auf „Herunterladen“. für die Verbindung aus der Liste der konfigurierten Verbindungen. Um den Authentifizierungsserver für IPsec-VPNs zu konfigurieren, gehen Sie zu Authentifizierung > Dienstleistungen > VPN-Authentifizierungsmethoden und wählen Sie die Server aus.
   Bei Leerlauf die Verbindung trennen	Trennt inaktive Clients nach Ablauf der angegebenen Zeit von der Sitzung. Diese Einstellung gilt nicht für Site-to-Site-VPN-Tunnel.
   Leerlauf-Sitzungszeitintervall	Zeit in Sekunden, nach der die Firewall inaktive Clients trennt. Diese Einstellung gilt nicht für Site-to-Site-VPN-Tunnel.

9. Klicken Speichern.

Weitere Ressourcen

• Fügen Sie eine SD-WAN-Route hinzu.
• Füge eine Unicast-Route hinzu