Zur Startseite gehen
0,00 €*

Permalink zur Seite

Verwenden Sie beim Verweisen auf diese Seite stets den folgenden Permalink. Er bleibt in zukünftigen Hilfeversionen unverändert.

https://docs.sophos.com/nsg/sophos-firewall/21.5/Help/en-us/webhelp/onlinehelp/index.html?contextId=site-to-site-VPN-IPsec-tunnels

Routing und NAT für IPsec-Tunnel

Die Routing- und NAT-Konfigurationen (Network Address Translation) für Site-to-Site-IPsec-VPNs hängen vom Tunneltyp und dem Datenverkehr ab, den Sie durch die Tunnel senden möchten.

Lernen Sie die automatisch erstellten Routen sowie die Routing- und NAT-Einstellungen kennen, die Sie über die Web-Administrationskonsole und die CLI konfigurieren können.

Routing

NAT-Regeln ändern nichts an der Routing-Entscheidung der Firewall. Die Firewall benötigt eine Route zum Ziel.

Für die Weiterleitung des Datenverkehrs ist eine der folgenden Konfigurationen erforderlich:

  • VPN-Routen: Die Firewall erstellt diese Routen automatisch im Backend für richtlinienbasierte IPsec-Verbindungen.
  • Statische, SD-WAN- und dynamische Routen.
  • Der ipsec_route Befehl in der Befehlszeile.

Die in der CLI festgelegte Routing-Priorität bestimmt, welchen Routentyp die Firewall zuerst abzugleichen versucht. Siehe Routing.

NAT

Erfahren Sie mehr über die Routing- und NAT-Anforderungen für Site-to-Site-IPsec-VPNs.

NAT-Konfigurationen für IPsec-VPNs

Sie können NAT mithilfe einer der folgenden Konfigurationen konfigurieren:

  • IPsec-Verbindungen: Dazu gehören NAT-Einstellungen.
  • NAT-Regeln.
  • Der sys-traffic-nat Befehl in der CLI: Verwenden Sie ihn für systemgenerierten Datenverkehr. Dies ist der Datenverkehr, der von der Firewall selbst erzeugt wird, wie z. B. Authentifizierung und DHCP.

Anwendungsfälle

Notiz

Sie müssen sowohl Routing- als auch NAT-Konfigurationen hinzufügen, um den in der Tabelle dargestellten Datenverkehr über einen IPsec-Tunnel zu senden.

In der folgenden Tabelle finden Sie die Arten von Routing- und NAT-Konfigurationen, die Sie hinzufügen müssen:

Routenbasiertes VPN

(beliebige zu beliebigen Subnetzen)

 Richtlinienbasiertes VPN
Datenverkehr zu einem Host über einen bestehenden IPsec-Tunnel
  1. Statische, SD-WAN- und dynamische Routen
  2. DNAT-Regel und optionale SNAT-Regel (MASQ).
Sehen Den Datenverkehr des entfernten Netzwerks über einen bestehenden IPsec-Tunnel an bestimmte Hosts weiterleiten.
  1. ipsec_route Befehl
  2. DNAT-Regel
Sehen Verwenden Sie NAT-Regeln in einem bestehenden IPsec-Tunnel, um eine Verbindung zu einem entfernten Netzwerk herzustellen..
Systemgenerierter Datenverkehr: Authentifizierung
  1. SD-WAN-Route mit Quellnetzwerke eingestellt auf Beliebig.
  2. sys-traffic-nat Befehl
Sehen Routenauthentifizierungsanfragen.
  1. ipsec_route Befehl
  2. sys-traffic-nat Befehl
Sehen Routenauthentifizierungsanfragen.
Systemgenerierter Datenverkehr: DHCP-Relay Aktuell sendet die Firewall keine DHCP-Relay-Informationen über routenbasierte VPNs.
  1. ipsec_route Befehl
  2. sys-traffic-nat Befehl
Sehen HO-Firewall als DHCP-Server und BO-Firewall als Relay-AgentDie

Sehen Senden Sie DHCP-Datenverkehr über ein richtlinienbasiertes IPsec-VPN an Server..
Gleiche Subnetze auf der lokalen und der Remote-Firewall
  1. Statische, SD-WAN- und dynamische Routen
  2. DNAT-Regel und SNAT-Regel
Sehen NAT mit routenbasiertem IPsec, wenn lokale und entfernte Subnetze gleich sind.
  1. VPN-Route im Backend
  2. NAT-Einstellung in der IPsec-Konfiguration
Sehen NAT mit richtlinienbasiertem IPsec, wenn lokale und entfernte Subnetze gleich sind.

Quelltextübersetzung für richtlinienbasierte IPsec-VPNs

Richtlinienbasierter IPsec-VPN-Datenverkehr erfordert normalerweise keine Quelltextübersetzung. Sollten Sie diesen Datenverkehr jedoch übersetzen müssen, stellen Sie sicher, dass die entsprechende SNAT-Regel dies zulässt. Ausgehende Schnittstelle eingestellt auf Beliebig: Die Firewall übersetzt dann die Quelle in die Übersetzter Quelltext in der SNAT-Regel festgelegt.

Dieses Verhalten gilt auch dann, wenn Sie auswählen Quelltextübersetzung (SNAT) für bestimmte ausgehende Schnittstellen überschreiben.

Notiz

Wenn Sie die Ausgehende Schnittstelle an bestimmte WAN-Ports anstatt Beliebig: Die Firewall wendet die SNAT-Regel nicht auf richtlinienbasierten IPsec-VPN-Datenverkehr an. Beispielsweise gilt für die Standard-SNAT-Regel Folgendes: Ausgehende Schnittstelle Die Regel ist automatisch auf die WAN-Ports der Firewall eingestellt und gilt daher nicht für richtlinienbasierten IPsec-VPN-Datenverkehr.

Hilfe benötigt?

Die Anleitung passt nicht zu Ihrer Situation oder funktioniert nicht wie erwartet? Wir stehen Ihnen gern zur Seite, damit Ihre Konfiguration reibungslos funktioniert. Unser zertifiziertes Support-Team hilft Ihnen schnell weiter:

Support-Ticket eröffnen