Hinzufügen einer IPsec-Verbindung
Sie können richtlinienbasierte (Site-to-Site und Host-to-Host) und routenbasierte IPsec-Verbindungen konfigurieren.
- Gehe zu Site-to-Site-VPN > IPsec und klicken Sie auf Hinzufügen.
- Geben Sie einen Namen ein.
-
Geben Sie die allgemeinen Einstellungen an:
Einstellung Beschreibung IP-Version Der Tunnel leitet nur Datenverkehr für die angegebene IP-Version weiter.
Für Tunnelschnittstellen in Dual Im Modus können Sie Folgendes nicht tun:
- Erstellen Sie automatisch eine Firewall-Regel.
- Geben Sie Verkehrsselektoren für die lokalen und Remote-Subnetze an.
Anschlussart Richtlinienbasiert: Stellt eine sichere Verbindung zwischen dem lokalen und dem Remote-Subnetz über das Internet her. Sie können diese Verbindung nutzen, um eine Zweigstelle mit der Unternehmenszentrale zu verbinden.
Host-zu-Host: Stellt eine sichere Verbindung zwischen zwei Hosts her, beispielsweise zwischen zwei Computern.
Routenbasiert (Tunnelschnittstelle): Stellt eine routenbasierte VPN-Verbindung her und erstellt eine Tunnelschnittstelle zwischen zwei Firewalls. Eine XFRM-Schnittstelle wird automatisch mit dem Schnittstellennamen
xfrm
, gefolgt von einer Zahl. Sie müssen der Schnittstelle auf Netzwerk > Schnittstellen. Sehen Routenbasiertes VPN.Gateway-Typ Zu ergreifende Maßnahmen beim Neustart des VPN-Dienstes oder der Firewall:
Deaktivieren: Die Verbindung bleibt inaktiv, bis ein Benutzer sie aktiviert.
Nur antworten: Hält die Verbindung bereit, um auf alle eingehenden Anfragen zu antworten.
Verbindung herstellen: Stellt die Verbindung bei jedem Neustart des VPN-Dienstes oder der Firewall her.
Wir empfehlen, das Gateway an Ihrem zentralen Standort (z. B. in der Zentrale) so einzustellen, Nur antworten und das Gateway an Ihren Remote-Standorten (Beispiel: Zweigstellen) zu Verbindung herstellen.
Beim Speichern aktivieren Aktiviert die Verbindung. Erstellen einer Firewallregel Erstellt automatisch eine Firewall-Regel für diese Verbindung.
Überprüfen Sie die Position der Regel in der Firewall-Regelliste. Automatisch erstellte Firewall-Regeln, z. B. für E-Mail-MTA, IPsec-Verbindungen und Hotspots, stehen oben in der Firewall-Regelliste und werden zuerst ausgewertet. Es gelten die Richtlinien und Aktionen der obersten Regel. Dies kann zu unerwarteten Ergebnissen führen, z. B. zu Fehlern bei der E-Mail-Zustellung oder zum Nichtaufbau von Tunneln, wenn sich die Kriterien für die neuen und bestehenden Regeln überschneiden.
-
Geben Sie die Verschlüsselungseinstellungen an.
Einstellung Beschreibung Profil Für den Datenverkehr zu verwendendes IPsec-Profil. Authentifizierungstyp - Vorinstallierter Schlüssel: Authentifiziert Endpunkte mit dem beiden Endpunkten bekannten Geheimnis. Speichern Sie diesen Schlüssel. Sie müssen ihn in der Remote-Firewall eingeben.
Die letzte konfigurierte Verbindung mit einem vorinstallierten Schlüssel (PSK) ersetzt den PSK aller Verbindungen zwischen ihrer Abhörschnittstelle und dem Remote-Gateway.
Um dies zu verhindern, empfehlen wir Ihnen, ein IKEv2-Profil auszuwählen und lokale und Remote-IDs zu konfigurieren. IKEv2 ermöglicht Ihnen, für jede lokale/Remote-ID-Kombination einen anderen PSK zu verwalten.
- Digitales Zertifikat: Authentifiziert Endpunkte durch den Austausch von Zertifikaten (lokal signiert oder von einer Zertifizierungsstelle ausgestellt).
- RSA-Schlüssel: Authentifiziert Endpunkte mithilfe von RSA-Schlüsseln.
Lokales Zertifikat Zertifikat, das zur Authentifizierung durch die lokale Firewall verwendet wird. Remote-Zertifikat Zertifikat, das zur Authentifizierung durch die Remote-Firewall verwendet wird. Remote-CA-Zertifikat Die lokale Firewall authentifiziert das Remote-Zertifikat basierend auf dem Remote-CA-Zertifikat.
Die Verwendung eines öffentlichen CA-Zertifikats stellt ein Sicherheitsrisiko dar.
Warnung
Verwenden Sie keine öffentliche Zertifizierungsstelle als Remote-CA-Zertifikat für die Verschlüsselung. Angreifer können mit einem gültigen Zertifikat der Zertifizierungsstelle unbefugten Zugriff auf Ihre Verbindungen erhalten.
- Vorinstallierter Schlüssel: Authentifiziert Endpunkte mit dem beiden Endpunkten bekannten Geheimnis. Speichern Sie diesen Schlüssel. Sie müssen ihn in der Remote-Firewall eingeben.
-
Geben Sie die lokalen Gateway-Einstellungen an.
Einstellung Beschreibung Abhörschnittstelle Eine WAN-Schnittstelle auf der lokalen Firewall.
Sie können keine Bridge-Schnittstelle als Abhörschnittstelle verwenden.
Lokaler ID-Typ Wählen Sie für Preshared- und RSA-Schlüssel einen ID-Typ aus und geben Sie einen Lokale ID Wert. Sie können dies zur zusätzlichen Validierung von Tunneln oder zur Identifizierung der Firewall während der NAT-Durchquerung verwenden.
NAT-Traversal ist immer aktiviert. Mithilfe der lokalen und Remote-IDs kann die Firewall eine Remote-Firewall identifizieren, die sich hinter einem Router befindet und über eine private IP-Adresse verfügt.
Lokales Subnetz Lokale Hosts oder Subnetze, denen Sie VPN-Zugriff gewähren möchten.
Für Tunnelschnittstellen können Sie die Verkehrsselektoren nur hinzufügen, wenn Sie die IP-Version Zu IPv4 oder IPv6. Zusätzlich müssen Sie entweder Beliebig oder spezifische Verkehrsselektoren für lokale und Remote-Subnetze. Sie können nicht auswählen Beliebig für den einen und einen spezifischen Verkehrsselektor für den anderen.
-
Geben Sie die Remote-Gateway-Einstellungen an.
Einstellung Beschreibung Gateway-Adresse IP-Adresse oder DNS-Hostname des Remote-Gateways.
- Sie können die Platzhalteradresse (
*
), wenn Sie Gateway-Typ Zu Verbindung herstellenSie können einen DNS-Hostnamen verwenden, wenn das Remote-Gateway über eine dynamische IP-Adresse verfügt. - Wenn Sie einen PSK und eine Platzhalteradresse angegeben haben, stellen Sie sicher, dass Sie ein IKEv2-Profil auswählen und die lokalen und Remote-IDs angeben.
Andernfalls ersetzt der PSK den PSK in allen bestehenden Konfigurationen durch dieselbe Kombination aus lokalem und Remote-Gateway. Dies betrifft insbesondere Remote-Access-VPNs, da deren Remote-Gateway als Platzhalteradresse gilt.
Remote-ID-Typ Wählen Sie für Preshared- und RSA-Schlüssel einen ID-Typ aus und geben Sie einen Remote-ID Wert. Verwenden Sie dies zur zusätzlichen Validierung von Tunneln.
Sie können einen beliebigen eindeutigen FQDN oder Hostnamen, eine IP-Adresse oder eine E-Mail-Adresse eingeben. Für DER ASN1 DN [X.509] fügen Sie den Distinguished Name des Zertifikats der Remote-Firewall ein.
Remote-Subnetz Remote-Hosts oder Subnetze, denen Sie VPN-Zugriff gewähren möchten.
Für Tunnelschnittstellen können Sie die Verkehrsselektoren nur hinzufügen, wenn Sie die IP-Version Zu IPv4 oder IPv6. Zusätzlich müssen Sie entweder Beliebig oder spezifische Verkehrsselektoren für lokale und Remote-Subnetze. Sie können nicht auswählen Beliebig für den einen und einen spezifischen Verkehrsselektor für den anderen.
- Sie können die Platzhalteradresse (
-
Wählen Netzwerkadressübersetzung (NAT) um die IP-Adressen zu übersetzen, wenn sich die lokalen und Remote-Subnetze überschneiden.
- Übersetztes Subnetz: Zeigt die lokalen Subnetze an, die Sie in dieser Richtlinie angeben. Die Sophos Firewall konvertiert dies in das tatsächliche Subnetz.
- Ursprüngliches Subnetz: Wählen Sie das aktuelle Subnetz aus. Es handelt sich um das überlappende Subnetz an Ihren lokalen und Remote-Standorten.
Notiz
Sie können diese Option nur mit richtlinienbasierten (Site-to-Site und Host-to-Host) VPNs und routenbasierten VPNs verwenden, die Verkehrsselektoren verwenden.
Sie müssen NAT-Regeln konfigurieren, um IP-Adressen für routenbasierte VPNs (Tunnelschnittstellen) mit lokalen und Remote-Subnetzen zu übersetzen, die auf Beliebig oder keine Verkehrsselektoren.
-
Geben Sie die erweiterten Einstellungen an:
Einstellung Beschreibung Benutzerauthentifizierungsmodus Authentifiziert VPN-Clients basierend auf XAuth (Erweiterte Authentifizierung) im Client-Server-Modus. Richten Sie die Firewall zentral im Servermodus ein.
XAuth verwendet Ihren aktuellen Authentifizierungsmechanismus, z. B. AD, RADIUS oder LDAP, um Benutzer nach dem Austausch in Phase 1 zu authentifizieren. Organisationen verwenden dies typischerweise für IPsec-Verbindungen mit Remotezugriff.
Wählen Sie eine der folgenden Optionen aus:
- Keiner: Erzwingt keine Benutzerauthentifizierung.
- Als Kunde: Die lokale Firewall fungiert als XAuth-Client. Geben Sie den Benutzernamen und das Kennwort zur Validierung mit der Remote-Firewall ein.
Stellen Sie auf der Remote-Firewall die Benutzerauthentifizierungsmethode auf Als Server.
- Als Server: Die Firewall fungiert als XAuth-Server. Unter Zugelassene Benutzer und GruppenWählen Sie die Benutzer aus, die Sie zulassen möchten. Legen Sie für die Remote-Firewall die Benutzerauthentifizierungsmethode auf Als Kunde.
Sie müssen auch die Konfigurationsdatei herunterladen und mit den Benutzern teilen. Klicken Sie zum Herunterladen der Datei auf Herunterladen
für die Verbindung aus der Liste der konfigurierten Verbindungen.
Um den Authentifizierungsserver für IPsec-VPNs zu konfigurieren, gehen Sie zu Authentifizierung > Leistungen > VPN-Authentifizierungsmethoden und wählen Sie die Server aus.
Bei Leerlauf trennen Trennt inaktive Clients nach der angegebenen Zeit von der Sitzung. Zeitintervall für inaktive Sitzungen Zeit in Sekunden, nach der die Firewall die Verbindung zu inaktiven Clients trennt. -
Klicken Speichern.
Weitere Ressourcen