In diesem Artikel wird erläutert, wie Sie einen IPsec-Tunnel zwischen zwei UTMs einrichten.
Gilt für folgende Sophos Produkte und Versionen
Sophos UTM
So erstellen sie einen IPsec-Tunnel
In diesem Artikel erstellen wir einen IPsec-Tunnel zwischen zwei UTMs. Eine UTM ist genatet und kann nur Verbindungen initiieren, während die andere nur auf eine Anfrage reagiert.
Standort A
Die IP dieser Seite ist nicht genatet, das Gerät dient als Zugang zum Netzwerk und arbeitet als Server für eingehende Verbindungen
Erstellen Sie das Remote Gateway
Das Remote-Gateway wird benötigt, um der UTM mitzuteilen, mit welchem System sie eine Verbindung herstellen soll.
1. Melden Sie sich im WebAdmin der Sophos UTM an.
2. Navigieren Sie zu Site-to-Site-VPN> IPsec> Remote-Gateways.
3. Füllen Sie die Einstellungen wie folgt aus.
4. Geben Sie einen Namen ein.
5. Gateway-Typ sollte Nur Antwort sein, die andere Seite ist genatet und muss die Verbindung initiieren.
6. Der Authentifizierungstyp ist ein Preshared Key.
7. Geben Sie den Schlüssel ein und wiederholen Sie diesen Vorgang. Der Schlüssel muss mit dem auf der anderen Seite verwendeten Schlüssel übereinstimmen.
8. Tragen Sie für die Remote-Netzwerke die Subnetze ein, die im IPsec-Tunnel gemeinsam genutzt werden.
9. Klicken Sie auf Speichern.
Wählen Sie die IPsec-Richtlinie aus
Die IPSec-Richtlinie definiert die Verschlüsselungs- und andere Sicherheitsparameter, die vom IPSec-Tunnel verwendet werden.
1. Navigieren Sie zu Site-to-Site-VPN> IPsec> Richtlinien.
2. Beide UTMs müssen dieselbe Richtlinie verwenden.
3. Sie können auf Bearbeiten neben der Richtlinie klicken und überprüfen, ob sie übereinstimmen.
Erstellen Sie die IPsec-Verbindung
Dadurch wird der IPsec-Tunnel erstellt, indem ein Remote-Gateway und eine Richtlinie ausgewählt und festgelegt wird, welche lokalen Netzwerke auf den Tunnel zugreifen können.
1. Navigieren Sie zu Site-to-Site-VPN> IPsec> Verbindungen.
2. Füllen Sie die Einstellungen wie folgt aus:
3. Geben Sie den Namen für den Tunnel ein.
4. Wählen Sie das Remote-Gateway aus, das wir zuvor erstellt haben.
5. Die lokale Schnittstelle sollte das Gateway sein, das zum Einrichten der IPsec-Verbindung verwendet wird. Normalerweise die WAN-Schnittstelle.
6. Wählen Sie die Richtlinie aus, die für Ihre Umgebung am besten funktioniert. Die Richtlinien für beide Geräte müssen übereinstimmen.
7. Definieren Sie die lokalen Netzwerke, die Zugriff auf den IPsec-Tunnel haben.
8. Überprüfen Sie automatische Firewall-Regeln, andernfalls müssen Sie manuell Firewall-Regeln erstellen, um den Datenverkehr zwischen Remote-Subnetzen zu ermöglichen.
9. Klicken Sie auf Speichern.
Standort B
Die IP dieser Seite ist genatet. Die UTM sitzt hinter einem anderen Router und kann keine eingehenden Verbindungen akzeptieren.
Erstellen Sie das Remote Gateway
Dies definiert die entfernte Adresse, mit der die UTM verbunden wird.
1. Melden Sie sich im WebAdmin der Sophos UTM an.
2. Navigieren Sie zu Site-to-Site-VPN> IPsec> Remote-Gateways.
3. Füllen Sie die Einstellungen wie folgt aus:
4. Geben Sie den Namen ein.
5. Der Gateway-Typ sollte Verbindung initiieren sein , da er genatet ist und nicht auf eingehende IPsec-Verbindungen reagieren kann.
6. Erstellen Sie für Gateway ein Netzwerkobjekt, um die öffentliche IP-Adresse der anderen UTM an Standort A zu definieren.
7. Der Authentifizierungstyp ist ein preshared Key.
8. Geben Sie den Schlüssel ein und wiederholen Sie diesen Vorgang, dieser muss mit dem auf der anderen Seite verwendeten Schlüssel übereinstimmen.
9. Der VPN-ID-Typ kann bei der IP-Adresse belassen werden.
10. Die VPN-ID sollte ausgefüllt werden, um die nicht-öffentliche IP-Adresse des Geräts widerzuspiegeln. Dies identifiziert die Verbindung von Standort B zu Standort A.
11. Füllen Sie für die Remote-Netzwerke die Subnetze aus, die im IPsec-Tunnel gemeinsam genutzt werden.
12. Klicken Sie auf Speichern.
Wählen sie die IPsec-Richtlinien
Die IPSec-Richtlinie definiert die Verschlüsselungs- und andere Sicherheitsparameter, die vom IPSec-Tunnel verwendet werden.
1. Navigieren Sie zu Site-to-Site-VPN> IPsec> Richtlinien.
2. Beide UTMs müssen dieselbe Richtlinie verwenden.
3. Sie können auf Bearbeiten neben der Richtlinie klicken und überprüfen, ob sie übereinstimmen.
Erstellen Sie die IPsec-Verbindung
Hiermit wird der IPsec-Tunnel erstellt, indem ein Remote-Gateway und eine Richtlinie ausgewählt und festgelegt wird, welche lokalen Netzwerke auf den Tunnel zugreifen können.
1. Navigieren Sie zu Site-to-Site-VPN> IPsec> Verbindungen.
2. Füllen Sie die Einstellungen wie folgt aus:
3. Geben Sie den Namen für den Tunnel ein.
4. Wählen Sie das Remote-Gateway aus, das wir zuvor erstellt haben.
5. Die lokale Schnittstelle sollte das Gateway sein, das zum Einrichten der IPsec-Verbindung verwendet wird. Normalerweise die WAN-Schnittstelle.
6. Wählen Sie dieselbe Richtlinie aus, die für Site A verwendet wird.
7. Definieren Sie die lokalen Netzwerke, die Zugriff auf den IPsec-Tunnel haben.
8. Überprüfen Sie automatische Firewall-Regeln, andernfalls müssen Sie manuell Firewall-Regeln erstellen, um den Datenverkehr zwischen Remote-Subnetzen zu ermöglichen.
9. Klicken Sie auf Speichern.
Sobald die Verbindung hergestellt wurde, können Sie den Status überwachen, indem Sie zu Site-zu-Site-VPN navigieren. Die Farbe des Symbols links neben der Verbindung zeigt Grün für eine erfolgreiche Verbindung oder Rot an, wenn Fehler vorliegen
zusätzliche Information
Sobald die Verbindung hergestellt ist, werden die Routen automatisch hinzugefügt, es muss keine manuelle Konfiguration vorgenommen werden.
Site-to-Site-VPN> IPsec> Advanced enthält mehrere Elemente, die Probleme beim Herstellen einer Verbindung beheben können. Für das obige Szenario können einige dieser Einstellungen erforderlich sein, um die Verbindung abzuschließen.
⦁ Preshared-Key-Einstellungen: Hier können Sie eine globale öffentliche IP für die VPN-ID festlegen oder den VPN-ID-Typ für alle Verbindungen ändern.
⦁ NAT Traversal (NAT-T): Verwenden Sie NAT Traversal, um den IPSec-Datenverkehr an Upstream-Systeme weiterzuleiten, die Network Address Translation (NAT) verwenden. Darüber hinaus können Sie das Keepalive-Intervall für NAT-Traversal definieren. Überprüfen Sie dies auf beiden Websites, wenn Sie über genatete Geräte verfügen.