Zur Startseite gehen
0,00 €*

Permalink zur Seite

Verwenden Sie beim Verweisen auf diese Seite stets den folgenden Permalink. Er bleibt in zukünftigen Hilfeversionen unverändert.

https://docs.sophos.com/nsg/sophos-firewall/21.5/Help/en-us/webhelp/onlinehelp/index.html?contextId=site-to-site-VPN-IPsec-policy-based-VPN

Richtlinienbasiertes VPN

Richtlinienbasierte VPNs sind IPsec-Verbindungen, die den über die Listening-Schnittstelle fließenden Datenverkehr verschlüsseln und kapseln, wenn der Datenverkehr mit den angegebenen lokalen und entfernten Subnetzen und der entsprechenden Firewall-Regel übereinstimmt.

Sie können den Zugriff auf Ressourcen über den Tunnel anhand der Quell- und Zieladressen, Zonen, Dienste, Anwendungen und der Benutzer, die Sie in der Firewall-Regel angeben, steuern.

Sie können richtlinienbasierte VPNs (Site-to-Site und Host-to-Host) konfigurieren von Site-to-Site-VPN > IPsec.

Die Sophos Firewall verwendet eine einzige IPsec-Schnittstelle für alle richtlinienbasierten Verbindungen. Sie richtet für jedes in der IPsec-Verbindung angegebene Paar lokaler und entfernter Subnetze einen separaten Phase-2-Tunnel ein. Wenn Sie beispielsweise zwei lokale und zwei entfernte Subnetze angeben, werden vier Tunnel eingerichtet.

Sie können Site-to-Site-IPsec-Verbindungen zwischen zwei Sophos Firewall-Geräten oder zwischen einem Sophos Firewall-Gerät und einer Firewall eines Drittanbieters herstellen.

Notiz

Sie können nicht auswählen Beliebig für die lokalen und entfernten Subnetze unter Verwendung eines richtlinienbasierten VPNs.

Erstellen Sie keinen Tunnel, indem Sie an einem Ende eine richtlinienbasierte VPN-Konfiguration und am anderen Ende eine routenbasierte VPN-Konfiguration verwenden.

Anwendungsfälle

Richtlinienbasierte VPNs erfordern einen höheren Wartungsaufwand als routenbasierte VPNs, insbesondere bei einer großen Anzahl von VPN-Verbindungen. Bei einer Netzwerkerweiterung müssen die Netzwerkparameter, wie z. B. Subnetze, in der IPsec-Konfiguration angepasst werden. Dies führt zu Verbindungsabbrüchen, und Ausfallzeiten müssen eingeplant werden.

Tipp

Wir empfehlen die Verwendung routenbasierter VPNs anstelle von richtlinienbasierten VPNs. Routenbasierte VPNs nutzen für jede IPsec-Verbindung eine eigene XFRM-Schnittstelle, was die Fehlersuche vereinfacht.

Sie können richtlinienbasierte VPNs für Folgendes verwenden:

  • Begrenzte Anzahl an Netzwerken: Nutzen Sie diese Option, um eine kleine Anzahl von Netzwerken mit begrenztem Wachstum zu verbinden. Wenn Sie eine große Anzahl von VPN-Verbindungen benötigen, empfehlen wir die Verwendung routenbasierter VPNs.
  • Spezielle Netzwerkanforderungen: Verwenden Sie diese Tunnel nur entsprechend Ihren Netzwerkanforderungen. Diese Tunnel benötigen mehr Ressourcen, da die Firewall für jedes Paar lokaler und entfernter Subnetze einen Phase-2-Tunnel erstellt.

Wie konfiguriert man ein richtlinienbasiertes VPN?

Um ein standortübergreifendes, richtlinienbasiertes VPN einzurichten, gehen Sie wie folgt vor:

  1. Gehen Sie auf dem lokalen Sophos-Firewall-Gerät zu Site-to-Site-VPN > IPsec und konfigurieren Sie eine IPsec-Verbindung mit Verbindungstyp eingestellt auf Politikbasiert.
  2. Legen Sie die NAT-Einstellungen für überlappende Subnetze im lokalen und entfernten Netzwerk fest.
  3. Fügen Sie eingehende und ausgehende Firewall-Regeln manuell hinzu oder verwenden Sie die Firewall-Regel erstellen Sie können die Regel auch automatisch erstellen lassen. Um ein höheres Sicherheitsniveau zu gewährleisten, bearbeiten Sie diese automatisch erstellte Firewall-Regel und stellen Sie sicher, dass Sie separate Regeln für eingehenden und ausgehenden Datenverkehr haben.
  4. Wiederholen Sie diese Schritte für die Peer-Sophos-Firewall.

Hilfe benötigt?

Die Anleitung passt nicht zu Ihrer Situation oder funktioniert nicht wie erwartet? Wir stehen Ihnen gern zur Seite, damit Ihre Konfiguration reibungslos funktioniert. Unser zertifiziertes Support-Team hilft Ihnen schnell weiter:

Support-Ticket eröffnen