Zur Startseite gehen
0,00 €*

Permalink zur Seite

Verwenden Sie beim Verweisen auf diese Seite stets den folgenden Permalink. Er bleibt in zukünftigen Hilfeversionen unverändert.

https://docs.sophos.com/nsg/sophos-firewall/21.5/Help/en-us/webhelp/onlinehelp/index.html?contextId=site-to-site-VPN-IPsec-route-based-VPN

Routenbasiertes VPN

Routenbasierte IPsec-VPNs sind Tunnelschnittstellen, die den gesamten Datenverkehr, der zur XFRM-Schnittstelle geht, verschlüsseln und kapseln.

Sie können routenbasierte VPN-Verbindungen für IPv4- und IPv6-Protokolle zwischen zwei Sophos Firewall-Geräten oder zwischen Sophos Firewall und einer Firewall eines Drittanbieters erstellen.

Um routenbasierte VPNs zu konfigurieren, gehen Sie zu Site-to-Site-VPN > IPsec: Sie erstellen XFRM-Schnittstellen als VPN-Endpunkte, wenn Sie ein routenbasiertes VPN konfigurieren. Um diese Schnittstellen anzuzeigen, gehen Sie zu Netzwerk > Schnittstellen und klicken Sie auf die blaue Leiste links neben der Abhörschnittstelle, die Sie für die Verbindung verwendet haben.

Arten von routenbasierten VPNs

Sie können routenbasierte VPNs mit den folgenden Konfigurationstypen erstellen:

  • Beliebige Tunnel: Nach der Konfiguration der IPsec-Verbindung mit lokalen und entfernten Subnetzen, die auf Beliebig: Du musst gehen nach Netzwerk > Schnittstellen Weisen Sie der XFRM-Schnittstelle eine IP-Adresse zu. Anschließend müssen Sie statische, SD-WAN- oder dynamische Routen konfigurieren, um den an die XFRM-Schnittstelle gesendeten Datenverkehr zu bestimmen.

    Wir empfehlen diese Verbindungen über routenbasierte VPNs mit Traffic-Selektoren und richtlinienbasierte VPNs.

  • Verkehrsselektoren für Subnetze: Bei routenbasierten IPsec-Verbindungen, die Verkehrsselektoren (Hosts oder Subnetze) für das lokale und das Remote-Subnetz verwenden, erstellt die Firewall für jede IPsec-Konfiguration eine XFRM-Schnittstelle, was die Fehlersuche vereinfacht. Die Firewall erstellt außerdem automatisch eine statische Route, sobald der Tunnel aufgebaut ist.

    Wir empfehlen diese Verbindungen gegenüber richtlinienbasierten VPNs.

    Beschränkung

    Die Sophos Firewall unterstützt keine WAF über routenbasiertes IPsec, wenn Sie Traffic-Selektoren für die Subnetze verwenden. Sie können beliebige routenbasierte Verbindungen nutzen.

Die Sophos Firewall richtet für jede XFRM-Schnittstelle einen Tunnel ein. Siehe … Vergleich von richtlinienbasierten und routenbasierten VPNs.

Notiz

Routenbasierte VPN-Tunnel lassen sich nur einrichten, wenn Sie Tunnelschnittstellen auf den Firewalls des lokalen und des entfernten Netzwerks konfigurieren. Erstellen Sie keinen Tunnel, indem Sie an einem Ende eine richtlinienbasierte und am anderen Ende eine routenbasierte VPN-Konfiguration verwenden.

Konfigurationsrichtlinien

  • Sie können keine Platzhalteradresse verwenden (*) für die Remote-Gateway-Adresse, falls Sie diese festgelegt haben Gateway-Typ Zu Verbindung herstellen: Geben Sie den Hostnamen ein, wenn Sie eine dynamische IP-Adresse für die WAN-Schnittstelle der Remote-Firewall verwenden.
  • Um eine Platzhalteradresse zu verwenden (*), müssen Sie einstellen Gateway-Typ Zu Nur antworten: Wenn Sie eine Platzhalteradresse verwenden, müssen Sie mindestens eine der folgenden Einstellungen festlegen:
    • Lokaler ID-Typ Und Lokale ID
    • Remote-ID-Typ Und Remote-ID
  • Sie können auswählen Beliebig oder spezifische Verkehrsselektoren für das lokale und das Remote-Subnetz. Routenbasierte VPNs können nicht eingerichtet werden mit Beliebig für ein Subnetz und einen spezifischen Verkehrsselektor für das andere.

  • Wenn Sie Verkehrsselektoren anstelle von Beliebig: Folgendes kann der XFRM-Schnittstelle nicht zugewiesen werden:

    • IP-Adresse
    • Routen

  • Für routenbasierte VPNs, die mit den lokalen und Remote-Subnetzen konfiguriert sind auf Beliebig: Diese Einstellungen können nicht auf bestimmte Verkehrsselektoren geändert werden. Sie können die Verbindung klonen und die lokalen und Remote-Subnetze angeben.

  • Für IP-Version eingestellt auf Dual: Folgendes ist nicht möglich:

    • Geben Sie Verkehrsselektoren für die lokalen und entfernten Subnetze an, da die Firewall versucht, Verbindungen zwischen jedem Paar lokaler und entfernter Subnetze herzustellen. Verbindungen zwischen IPv4- und IPv6-Subnetzen sind nicht möglich.
    • Firewall-Regeln werden automatisch erstellt. IPv4- und IPv6-Firewall-Regeln müssen manuell konfiguriert werden.

Anwendungsfälle

Routenbasierte VPNs verschlüsseln und entschlüsseln ausschließlich Datenverkehr, der über die XFRM-Schnittstelle fließt. Konfigurationen mit den lokalen und Remote-Subnetzen, die auf „Routenbasiert“ eingestellt sind, werden entsprechend konfiguriert. Beliebig oder mit IP-Version eingestellt auf Dual Sie bestimmen nicht, welcher Verkehr in den Tunnel einfährt. Die von Ihnen konfigurierten Routen treffen diese Entscheidung.

Änderungen an den konfigurierten Routen erfordern keine Ausfallzeiten, und bestehende Verbindungen werden nicht unterbrochen. Daher benötigen diese routenbasierten VPNs nur minimalen Wartungsaufwand. Wir empfehlen diese Art von VPN gegenüber richtlinienbasierten und anderen routenbasierten VPNs.

Verwenden Sie routenbasierte VPNs für Folgendes:

  • Große Netzwerke: Zur Einrichtung von Tunneln für große Netzwerke, die ein schnelles Wachstum verzeichnen.
  • Redundante Verbindungen erforderlich: Um auf eine MPLS-Verbindung oder ein benutzerdefiniertes Gateway umzuschalten, das auf einer XFRM-Schnittstelle erstellt wurde.
  • Dynamisches Routing: Zur Konfiguration des dynamischen Routings, um eine schnelle Skalierung des Netzwerks zu gewährleisten.

Konfiguration von routenbasierten VPNs (beliebige Subnetze)

Um ein routenbasiertes VPN mit den lokalen und Remote-Subnetzen einzurichten, die auf Beliebig Oder ohne Angabe von Verkehrsselektoren gehen Sie wie folgt vor:

  1. Gehen Sie auf dem lokalen Sophos-Firewall-Gerät zu Site-to-Site-VPN > IPsec und konfigurieren Sie eine IPsec-Verbindung mit Verbindungstyp eingestellt auf Routenbasiert (Tunnelschnittstelle) mit einer der folgenden Einstellungen:

    1. Satz IP-Version Zu Dual: In diesem Modus können Sie die lokalen und Remote-Subnetze nicht auswählen.
    2. Alternativ können Sie eine IPv4- oder IPv6-Version verwenden und die lokalen und Remote-Subnetze entsprechend konfigurieren. Beliebig.

  2. Gehe zu Netzwerk > Schnittstellen und weisen Sie der automatisch erstellten XFRM-Schnittstelle eine IP-Adresse zu.

  3. Fügen Sie Firewall-Regeln für eingehenden und ausgehenden Datenverkehr hinzu.
  4. Für sich überschneidende Subnetze im lokalen und entfernten Netzwerk fügen Sie die entsprechenden SNAT- und DNAT-Regeln hinzu.
  5. Erstellen Sie statische, SD-WAN- oder dynamische Routen mit der XFRM-Schnittstelle, dem lokalen Gateway und der Zieladresse.
  6. Wiederholen Sie diese Schritte auf dem anderen Sophos Firewall-Gerät.

Konfiguration von routenbasiertem VPN (Verkehrsselektoren für Subnetze)

Um ein routenbasiertes VPN mit Verkehrsselektoren für die lokalen und entfernten Subnetze einzurichten, gehen Sie wie folgt vor:

  1. Gehen Sie auf dem lokalen Sophos-Firewall-Gerät zu Site-to-Site-VPN > IPsec: Konfigurieren Sie eine IPsec-Verbindung mit dem Verbindungstyp eingestellt auf Routenbasiert (Tunnelschnittstelle): und konfigurieren Sie spezifische lokale und entfernte Subnetze.
  2. Um die XFRM-Oberfläche anzuzeigen, gehen Sie zu Netzwerk > Schnittstellen.
  3. Fügen Sie eingehende und ausgehende Firewall-Regeln hinzu.
  4. Wiederholen Sie diese Schritte auf dem anderen Sophos Firewall-Gerät.

Weitere Ressourcen

Hilfe benötigt?

Die Anleitung passt nicht zu Ihrer Situation oder funktioniert nicht wie erwartet? Wir stehen Ihnen gern zur Seite, damit Ihre Konfiguration reibungslos funktioniert. Unser zertifiziertes Support-Team hilft Ihnen schnell weiter:

Support-Ticket eröffnen