Site-to-Site RED-Tunnel haben eine Reihe von Vorteilen gegenüber der Verwendung von SSL oder IPsec, um zwei UTMs zu verbinden. Im Gegensatz zu IPsec ist der Tunnel als virtuelle Schnittstelle an jedem Ende (hilft bei der Fehlerbehebung) und im Gegensatz zum SSL VPN ist die Schnittstelle konfigurierbar. Administratoren haben direkte Kontrolle über den Adressbereich, der im RED-Tunnelnetzwerk verwendet wird, und werden Probleme beim Routing und bei IP-Adresskonflikten viel einfacher lösen können. Logischerweise sind RED-Tunnel einfacher zu verstehen als andere VPN-Methoden: Es ist im Wesentlichen dasselbe, wie ein langes virtuelles Ethernet-Kabel von einer virtuellen Schnittstelle auf einer UTM zu einer virtuellen Schnittstelle auf einer anderen zu ziehen. Firewall-Regeln und statische Routen werden verwendet, um zuzulassen, dass der Datenverkehr auf die gleiche Weise vor und zurück geht, wie auf anderen internen Schnittstellen konfiguriert. Im Gegensatz zur Verwendung eines RED-Geräts wie RED10, RED15 oder RED50 eignet sich dieser Tunneltyp am besten für Umgebungen, die:
⦁ Abonnementfunktionen wie Web- oder E-Mail-Filterung auf der Remote- Internetverbindung bevorzugen oder erfordern
⦁ nur auf bestimmte Netzwerkressourcen am Serverende des Tunnels zugreifen müssen
⦁ Dienste hosten, die öffentlich über die lokale öffentliche IP des Client-Endes der Verbindung verfügbar sein sollen
⦁ Mehr Flexibilität erforden, als eine standardmäßige RED-Appliance bieten kann
⦁ Einen Durchsatz von mehr als 30 Mbps über den RED-Tunnel erforden
Was ist zu tun
Um einen UTM-UTM-RED-Tunnel einzurichten, wählen Sie zunächst eine UTM als Server aus. Die Serverrolle hängt nicht damit zusammen, wie der Datenverkehr durch den Tunnel fließt, sondern nur, auf welcher Seite die Verbindung erwartet wird und welches Ende die Verbindung initiiert. Wenn sich eine UTM hinter NAT befindet, ist es eine gute Idee, sie als Client und die andere UTM als Server zu verwenden. Der Server wartet auf Verbindungen vom Client. Sobald ein Tunnel eingerichtet ist, ist die Konfiguration des Datenverkehrs zwischen den zwei UTMs nur eine Frage der Routing- und Firewall-Regeln. Im Folgenden finden Sie Anweisungen zum Einrichten des Tunnels, Konfigurieren der Schnittstellen, Konfigurieren der Routen und Konfigurieren der Firewall. Konfiguriert wird über den WebAdmin.
Schritt 1: Konfigurieren Sie den RED-Tunnel (Client-Verbindung)
Auf der Server-UTM:
1. Melden Sie sich beim WebAdmin an und gehen Sie zu RED Management | [Server] Clientverwaltung
2. Klicken Sie auf die Schaltfläche RED hinzufügen.
3. Gib ihm einen Filialnamen.
4. Wählen Sie für den Client-Typ UTM aus.
5. Lassen Sie die Tunnel-ID auf Automatisch eingestellt.
6. Klicken sie auf Speichern.
Dadurch wird eine Bereitstellungsdatei für die ferne UTM generiert. Klicken Sie auf die Schaltfläche Download, um die Bereitstellungsdatei .red auf der Festplatte zu speichern.
Auf dem Client UTM:
1. Melden Sie sich beim WebAdmin an und gehen Sie zu RED Management | [Client] Tunnelverwaltung
2. Klicken Sie auf Tunnel hinzufügen.
3. Geben Sie einen Tunnelnamen ein.
4. Wählen Sie eine Definition für das UTM-Hostfeld. Dies sollte die öffentliche IP der Server-UTM oder eine DNS-Hostdefinition sein, die in die öffentliche IP-Adresse aufgelöst wird.
5. Laden Sie die auf dem Server generierte Bereitstellungsdatei hoch.
6. Klicken Sie auf Speichern.
An diesem Punkt sollte sich der Tunnel automatisch verbinden. Das dauert normalerweise etwa 30 Sekunden.
Schritt 2: Konfigurieren Sie die virtuellen Schnittstellen
Sobald Sie auf "Speichern" klicken, verfügt jede UTM über eine virtuelle RED- Schnittstelle, die Sie als nächstes konfigurieren müssen. Die Schnittstelle des Servers erhält den Namen "reds #" und der Client "redc #", wobei # die nächste verfügbare RED-Schnittstellennummer ist.
Auf der Server-UTM:
1. Melden Sie sich beim WebAdmin an und gehen Sie zu Schnittstellen & Routing | Schnittstellen
2. Klicken Sie auf Neue Schnittstelle ...
3. Geben Sie einen Schnittstellennamen ein.
4. Wählen Sie unter Typ Ethernet Statisch aus.
5. Wählen Sie unter Hardware die neue RED-Schnittstelle aus (z. B. reds1, reds2 usw.)
6. Wählen Sie eine IP-Adresse für diese Schnittstelle aus. Zum Beispiel: 192.168.100.1
7. Klicken Sie auf Speichern.
8. Aktivieren Sie die neue Schnittstelle.
Auf der Client-UTM:
1. Melden Sie sich beim WebAdmin an und gehen Sie zu Schnittstellen & Routing | Schnittstellen
2. Klicken Sie auf Neue Schnittstelle ...
3. Geben Sie einen Schnittstellennamen ein.
4. Wählen Sie unter Typ Ethernet Statisch aus.
5. Wählen Sie unter Hardware die neue RED-Schnittstelle aus (z. B. redc1, redc2 usw.)
6. Wählen Sie eine IP-Adresse für diese Schnittstelle aus. Zum Beispiel: 192.168.100.2
7. Klicken Sie auf Speichern.
8. Aktivieren Sie die neue Schnittstelle.
Schritt 3: Richten Sie die statischen Routen ein
Der nächste Schritt besteht darin, statische Routen auf jeder UTM einzurichten und ihnen mitzuteilen, welche Netzwerke über die UTM am anderen Ende des Tunnels erreichbar sind. Dies wird als Split-Tunneling bezeichnet (vollständiges Tunneln über ein Site-to-Site-RED ist technisch möglich, wird in diesem Artikel jedoch nicht behandelt).
Auf jeder UTM:
1. Melden Sie sich beim WebAdmin an und gehen Sie zu Schnittstellen & Routing> Statisches Routing> Statische Standardrouten
2. Klicken Sie auf Neue statische Route ...
3. Wählen Sie unter Routentyp die Option Gateway Route aus.
4. Fügen Sie unter Netzwerk ein Objekt für ein Netzwerk hinzu, das Sie über den Tunnel routen möchten. Wenn Sie kein vorhandenes Objekt dafür erstellt haben, klicken Sie auf das grüne + Symbol, um ein neues Objekt zu erstellen.
5. Fügen Sie unter Gateway ein Hostobjekt für die IP-Adresse der RED-Schnittstelle am entfernten Ende des Tunnels hinzu. Wenn Sie beispielsweise die Route auf dem Client erstellen, verwenden Sie ein Hostobjekt für die RED-Schnittstellenadresse des Servers.
6. Klicken Sie auf Speichern.
7. Aktivieren Sie die neue Route. Im Beispiel in Schritt 2 war die RED-Schnittstellenadresse des Servers 192.168.100.1 und die des Clients 192.168.100.2. Wenn der Server UTM ein verbundenes Netzwerk des Bereichs 192.168.5.0/24 und das Client-UTM das Netzwerk 192.168.10.0/24 hat, um Clients in jedem Netzwerk die Kommunikation zu ermöglichen, konfigurieren Sie die Routen wie folgt:
Auf der Server-UTM:
⦁ Routentyp: Gateway-Route
⦁ Netzwerk: 192.168.10.0/24
⦁ Gateway: 192.168.100.2
Auf dem Client UTM:
⦁ Routentyp: Gateway-Route
⦁ Netzwerk: 192.168.5.0/24
⦁ Gateway: 192.168.100.1
Schritt 4: Erstellen Sie Firewall-Regeln
Der letzte Schritt besteht darin, Firewallregeln zu erstellen, die den Datenverkehr zwischen konfigurierten Netzwerken zulassen. Leider kann dies nicht automatisch geschehen und muss mit Firewall-Regeln konfiguriert werden. Die Konfiguration dieser Regeln ist die gleiche wie das Zulassen von Datenverkehr zwischen zwei beliebigen Netzwerken:
Auf jeder UTM:
1. Melden Sie sich beim WebAdmin an und gehen Sie zu Netzwerkschutz | Firewall | Regeln
2. Klicken Sie auf Neue Regel ...
3. Fügen Sie unter Quellen ein Objekt für jedes der lokalen Netzwerke hinzu, die sich auf jeder Seite des Tunnels befinden.
4. Fügen Sie unter Dienste die Dienste hinzu, die zwischen Netzwerken zugelassen werden sollen, oder Alle für alle Dienste.
5. Fügen Sie unter Ziele die gleichen Objekte hinzu, die Sie im Feld Quellen angegeben haben.
6. Wählen Sie unter Aktion die Option Zulassen aus.
7. Klicken Sie auf Speichern.