Routenbasiertes VPN
Routenbasierte IPsec-VPNs sind Tunnelschnittstellen, die den gesamten Datenverkehr zur XFRM-Schnittstelle verschlüsseln und kapseln.
Sie können routenbasierte VPN-Verbindungen für IPv4- und IPv6-Protokolle zwischen zwei Sophos Firewall-Geräten oder zwischen Sophos Firewall und einer Firewall eines Drittanbieters erstellen.
Um routenbasierte VPNs zu konfigurieren, gehen Sie zu Site-to-Site-VPN > IPsec. Sie erstellen XFRM-Schnittstellen als VPN-Endpunkte, wenn Sie ein routenbasiertes VPN konfigurieren. Um diese Schnittstellen anzuzeigen, gehen Sie zu Netzwerk > Schnittstellen und klicken Sie auf die blaue Leiste links neben der Abhörschnittstelle, die Sie in der Verbindung verwendet haben.
Arten von routenbasierten VPNs
Sie können routenbasierte VPNs mit den folgenden Konfigurationstypen erstellen:
-
Any-to-Any-Tunnel: Nach der Konfiguration der IPsec-Verbindung mit lokalen und Remote-Subnetzen auf Beliebig, müssen Sie zu Netzwerk > Schnittstellen und weisen Sie der XFRM-Schnittstelle eine IP-Adresse zu. Anschließend müssen Sie statische, SD-WAN- oder dynamische Routen konfigurieren, um den an die XFRM-Schnittstelle gesendeten Datenverkehr zu bestimmen.
Wir empfehlen diese Verbindungen über routenbasierte VPNs mit Verkehrsselektoren und richtlinienbasierte VPNs.
-
Verkehrsselektoren für Subnetze: Bei routenbasierten IPsec-Verbindungen, die Verkehrsselektoren (Hosts oder Subnetze) für die lokalen und Remote-Subnetze verwenden, erstellt die Firewall für jede IPsec-Konfiguration eine XFRM-Schnittstelle, was das Debuggen erleichtert. Die Firewall erstellt außerdem automatisch eine statische Route, wenn der Tunnel eingerichtet wird.
Wir empfehlen diese Verbindungen gegenüber richtlinienbasierten VPNs.
Beschränkung
Die Sophos Firewall unterstützt WAF über routenbasiertes IPsec nicht, wenn Sie Traffic-Selektoren für die Subnetze verwenden. Sie können routenbasierte Verbindungen von beliebiger zu beliebiger Art verwenden.
Die Sophos Firewall erstellt für jede XFRM-Schnittstelle einen Tunnel. Siehe Vergleich von richtlinienbasierten und routenbasierten VPNs.
Notiz
Sie können routenbasierte VPN-Tunnel nur einrichten, wenn Sie Tunnelschnittstellen auf den Firewalls im lokalen und Remotenetzwerk konfigurieren. Erstellen Sie keinen Tunnel mit einer richtlinienbasierten VPN-Konfiguration an einem Ende und einer routenbasierten VPN-Konfiguration am anderen Ende.
Konfigurationsrichtlinien
- Sie können die Platzhalteradresse (
*
) für die Remote-Gateway-Adresse, wenn Sie Gateway-Typ Zu Verbindung herstellen. Geben Sie den Hostnamen ein, wenn Sie eine dynamische IP-Adresse für die WAN-Schnittstelle der Remote-Firewall verwenden. - Sie können auswählen Beliebig oder spezifische Verkehrsselektoren für die lokalen und Remote-Subnetze. Sie können keine routenbasierten VPNs einrichten mit Beliebig für ein Subnetz und einen bestimmten Verkehrsselektor für das andere.
-
Wenn Sie Verkehrsselektoren angeben, anstatt Beliebigkönnen Sie der XFRM-Schnittstelle Folgendes nicht zuweisen:
- IP-Adresse
- Routen
-
Für routenbasierte VPNs, die mit den lokalen und Remote-Subnetzen konfiguriert sind, Beliebig, Sie können diese Einstellungen nicht in bestimmte Verkehrsselektoren ändern. Sie können die Verbindung klonen und die lokalen und Remote-Subnetze angeben.
-
Für IP-Version eingestellt auf Dualkönnen Sie Folgendes nicht tun:
- Geben Sie Verkehrsselektoren für die lokalen und Remote-Subnetze an, da die Firewall versucht, Verbindungen zwischen jedem Paar lokaler und Remote-Subnetze herzustellen. Verbindungen zwischen IPv4- und IPv6-Subnetzen sind nicht möglich.
- Erstellen Sie automatisch eine Firewall-Regel. Sie müssen IPv4- und IPv6-Firewall-Regeln manuell konfigurieren.
Anwendungsfälle
Routenbasierte VPNs verschlüsseln und entschlüsseln nur den Datenverkehr, der über die XFRM-Schnittstelle fließt. Konfigurationen mit den lokalen und Remote-Subnetzen sind auf Beliebig oder mit IP-Version eingestellt auf Dual bestimmen nicht, welcher Verkehr in den Tunnel gelangt. Die von Ihnen konfigurierten Routen treffen die Entscheidung.
Änderungen an den konfigurierten Routen erfordern keine Ausfallzeiten, und bestehende Verbindungen werden nicht unterbrochen. Daher erfordern diese routenbasierten VPNs nur minimalen Wartungsaufwand. Wir empfehlen diesen VPN-Typ gegenüber richtlinienbasierten und anderen routenbasierten VPNs.
Verwenden Sie routenbasierte VPNs für Folgendes:
- Große Netzwerke: Zum Einrichten von Tunneln für große Netzwerke mit schnellem Wachstum.
- Redundante Verbindungen erforderlich: Für das Failover auf eine MPLS-Verbindung oder ein benutzerdefiniertes Gateway, das auf einer XFRM-Schnittstelle erstellt wurde.
- Dynamisches Routing: Zum Konfigurieren des dynamischen Routings, um sicherzustellen, dass das Netzwerk schnell skaliert werden kann.
Konfigurieren eines routenbasierten VPN (beliebige Subnetze)
Um ein routenbasiertes VPN einzurichten, bei dem die lokalen und Remote-Subnetze auf Beliebig oder ohne Angabe von Verkehrsselektoren gehen Sie wie folgt vor:
-
Gehen Sie auf dem lokalen Sophos Firewall-Gerät zu Site-to-Site-VPN > IPsec und konfigurieren Sie eine IPsec-Verbindung mit Anschlussart eingestellt auf Routenbasiert (Tunnelschnittstelle) mit einer der folgenden Einstellungen:
- Satz IP-Version Zu Dual. In diesem Modus können Sie die lokalen und Remote-Subnetze nicht auswählen.
- Alternativ können Sie eine IPv4- oder IP6-Version verwenden und die lokalen und Remote-Subnetze auf Beliebig.
-
Gehe zu Netzwerk > Schnittstellen und weisen Sie der automatisch erstellten XFRM-Schnittstelle eine IP-Adresse zu.
- Fügen Sie eingehende und ausgehende Firewallregeln hinzu.
- Fügen Sie für überlappende Subnetze im lokalen und Remote-Netzwerk die entsprechenden SNAT- und DNAT-Regeln hinzu.
- Erstellen Sie statische, SD-WAN- oder dynamische Routen mit der XFRM-Schnittstelle, dem lokalen Gateway und der Zieladresse.
- Wiederholen Sie diese Schritte auf dem Peer-Sophos-Firewall-Gerät.
Konfigurieren eines routenbasierten VPN (Verkehrsselektoren für Subnetze)
Um ein routenbasiertes VPN mit Verkehrsselektoren für die lokalen und Remote-Subnetze einzurichten, gehen Sie wie folgt vor:
- Gehen Sie auf dem lokalen Sophos Firewall-Gerät zu Site-to-Site-VPN > IPsec, konfigurieren Sie eine IPsec-Verbindung mit dem Anschlussart eingestellt auf Routenbasiert (Tunnelschnittstelle), und konfigurieren Sie bestimmte lokale und Remote-Subnetze.
- Um die XFRM-Schnittstelle anzuzeigen, gehen Sie zu Netzwerk > Schnittstellen.
- Fügen Sie eingehende und ausgehende Firewallregeln hinzu.
- Wiederholen Sie diese Schritte auf dem Peer-Sophos-Firewall-Gerät.
Weitere Ressourcen