Versionen im Vergleich

Alte Version 7

changes.mady.by.user LANCOM Redaktion

Gespeichert am

verglichen mit

Neue Version 8

changes.mady.by.user LANCOM Redaktion

Gespeichert am

Schlüssel

  • Diese Zeile wurde hinzugefügt.
  • Diese Zeile wurde entfernt.
  • Formatierung wurde geändert.
Seiteneigenschaften


Description:

In bestimmten Szenarien kann es erforderlich sein bei Kommunikation über einen VPN-Tunnel das lokale Netzwerk hinter einer bestimmten IP-Adresse zu maskieren. Dadurch muss auf der Gegenseite nur eine VPN-Regel für eine IP-Adresse erstellt werden und nicht für ein ganzes Netzwerk. Ein Nachteil ist, dass von der Gegenseite kein Zugriff auf Ressourcen hinter der maskierten Verbindung möglich ist. Daher bietet sich die Maskierung in der Regel nur für Filialen an, die auf Ressourcen in der Zentrale zugreifen.

In diesem Artikel wird beschrieben, wie Source-NAT für eine bestehende IKEv2-Verbindung auf einer Unified Firewall eingerichtet wird.

Requirements:

...

certain scenarios when communicating via a VPN tunnel, it may be necessary to mask the local network behind a specific IP address. Consequently, only one VPN rule has to be created for just one IP address on the remote side and not for an entire network. A disadvantage is that resources behind the masked connection cannot be accessed from the other end. For this reason, masking is most suitable for branch offices that access resources at the headquarters.

This article describes how to set up source NAT for an existing IKEv2 connection on a Unified Firewall.


Requirements:

  • Two LANCOM R&S®Unified Firewalls with LCOS FX as of version 10.7 
  • A configured and functional local network on each Unified Firewall
  • A configured and functional Internet connection on each Unified Firewall
  • A configured and functional IKEv2 connection on each Unified Firewall
  • Web browser for configuring the two Unified Firewalls

    The following browsers are supported

...

  • :
    • Google Chrome
    • Chromium
    • Mozilla Firefox


Scenario:

  • Es gibt eine bestehende IKEv2-Verbindung zwischen zwei An IKEv2 connection exists between the two Unified Firewalls (Office und Headquarter and Headquarters).
  • Die The Unified Firewall in der Headquarter hat den IP-Adressbereich at the headquarters has the IP address range 192.168.5.0/24.Die
  • The Unified Firewall in der Office hat den IP-Adressbereich at the branch office has the IP address range 192.168.1.0/24.
  • Die Kommunikation von der Office in Richtung der Headquarter über die IKEv2-Verbindung soll hinter der IP-Adresse Communication from the office towards the headquarters over the IKEv2 connection should be masked behind the IP address 10.10.10.1 maskiert werden



Procedure:

1. Konfigurationsschritte in der Office) Configuration steps at the branch office

1.1 Verbinden Sie sich mit dem Webinterface der Unified Firewall in der Office, wechseln in das Menü VPN → IPSec → Connections und klicken bei der VPN-Verbindung zur Zentrale auf das "Stift-Symbol", um diese zu bearbeiten) Connect to the web interface of the Unified Firewall at the branch office, go to the menu VPN → IPsec → Connections and, for the VPN connection to headquarters, click on the “pencil” icon to edit it

1.2 Wechseln Sie in den Reiter Tunnels, löschen bei Lokale Netzwerke das hinterlegte Netzwerk und tragen stattdessen die IP-Adresse in CIDR-Schreibweise ) Go to the Tunnels tab, delete the network entered under Local Networks and instead enter the IP address for masking the VPN connection in the direction of the Headquarters (using CIDR notation (Classless Inter Domain Routing) ein, hinter der die VPN-Verbindung in Richtung der Zentrale maskiert werden soll (in diesem Beispiel die , for example 10.10.10.1/32).

Info

Die Subnetzmaske /32 ist eine andere Schreibweise für The subnet mask /32 is an alternative notation for 255.255.255.255 und stellt eine einzelne IP-Adresse dar and represents a single IP address.

1.3 Wechseln Sie in den Reiter Routing, aktivieren das Route-based IPSec und klicken auf ) Switch to the Routing tab, activate the Route-based IPsec and click Save.

1.4 Wechseln Sie in das Menü Network → Routing → Routing Tables und klicken bei der Table 254 auf das "Stift-Symbol", um diese zu bearbeiten) Change to the menu Network → Routing → Routing Tables and click on the “pencil” icon to edit Table 254.

1.5 Klicken Sie auf das "Plus-Symbol", um eine neue Route zu erstellen) Click on the “+” icon to create a new route.

1.6 Passen Sie die folgenden Parameter an und klicken auf ) Modify the following parameters and then click OK:

  • Interface: From the drop-down menu, select the VPN connection to the headquarters that is to be masked.
  • Destination: Enter the destination network at the headquarters, to which the VPN connection is to connect (in this example the network Wählen Sie im Dropdownmenü die VPN-Verbindung zur Headquarter aus, die maskiert werden soll.Destination: Tragen Sie das Zielnetzwerk in der Headquarter ein, mit dem über die VPN-Verbindung kommuniziert werden soll (in diesem Beispiel das Netzwerk 192.168.5.0/24). 

1.7 Klicken Sie auf die Schaltfläche Save, um die Route zu speichern) Click on the Save button to store the route.

1.8 Klicken Sie auf die Schaltfläche zum Create a network, um das Zielnetzwerk in der Zentrale lokal anzulegen. Dies ist für die Maskierung erforderlich. Routing-Konflikte können dadurch nicht auftreten.) Click the create a network button to create the destination network locally at the headquarters. This is required for masking and prevents the occurrence of routing conflicts.

1.9 Passen Sie die folgenden Parameter an und klicken auf ) Modify the following parameters and then click Create:

  • Name: Vergeben Sie einen aussagekräftigen Namen für das Zielnetzwerk (in diesem Beispiel Enter a descriptive name for the destination network (in this example SNAT-Destination-Network).
  • Interface: Wählen Sie im Dropdownmenü die Schnittstelle any ausUse the drop-down menu to select the interface any.
  • Network IP:Tragen Sie die IP-Adresse des Zielnetzwerks in der Zentrale in CIDR-Schreibweise ein (in diesem Beispiel Enter the IP address of the destination network in CIDR notation, in this example 192.168.5.0/24).

1.10 Klicken Sie auf dem Desktop auf das Netzwerkobjekt für das lokale Netzwerk (in diesem Beispiel Production), wählen das Verbindungswerkzeug aus und klicken auf das in Schritt 1.9 erstellte Netzwerkobjekt (in diesem Beispiel ) On the desktop, click the network object for the local network created in step 1.9 (in this example Production), select the connection tool and click the network object created in step 1.9 (in this example SNAT-Destination-Network).

1.11 Fügen Sie über die "Plus-Symbole" die zur Kommunikation erforderlichen Protokolle hinzu (in diesem Beispiel ) Use the “+” icons to add the protocols required for communication (in this example ICMP).

Info

Wiederholen Sie die Schritte Repeat steps 1.12 - 1.14 für jedes weitere Protokoll for each additional protocol.

1.12 Klicken Sie bei dem verwendeten Protokoll unter Action dreimal auf den Pfeil, bis dieser nach rechts zeigt. Klicken Sie anschließend unter Options auf die Schaltfläche None) For the protocol used, click the arrow click under Action three times until it points to the right. Then under Options, click the None button.

1.13 Wählen Sie bei NAT die Option ) For NAT, select the option Use Service Specific Settings, passen die folgenden Parameter an und klicken auf adjust the following parameters and click OK:

  • NAT / Masquerading: Wählen Sie die Option Select the option left-to-right aus.
  • NAT Source IP: Tragen Sie die in Schritt 1.2 vergebene IP-Adresse ein, hinter die Protokolle über die VPN-Verbindung maskiert werden (in diesem Beispiel die IP-Adresse Enter the IP address set in step 1.2 to be used for masking the protocols on the VPN connection (in this example the IP address 10.10.10.1).

1.14 Klicken Sie auf ) Click on Create.

1.15 Klicken Sie auf Activate, damit die vorgenommenen Einstellungen umgesetzt werden) Finally, implement the changes by clicking Activate.

1.16 Die Konfigurationsschritte in der Office sind damit abgeschlossen.) This concludes the configuration steps at the branch office.



2) Configuration steps at the headquarters2. Konfigurationsschritte in der Zentrale:

Info

In diesem Konfigurations-Beispiel wird davon ausgegangen, dass auch in der Zentrale eine Unified Firewall verwendet wird. Das Szenario lässt sich auch mit Geräten eines anderen Herstellers umsetzen. In diesem Fall müssen die VPN-Regeln sowie das Routing entsprechend auf die Maskierungs-IP-Adresse angepasst werden. Bitte wenden Sie sich dazu gegebenenfalls an den jeweiligen Hersteller.this configuration example, we assume that a Unified Firewall is also operated at the headquarters. The scenario can also be implemented with devices from a different manufacturer. In this case, the VPN rules and the routing need to be adjusted to the masking IP address. If necessary, please contact the respective manufacturer.

2.1) Connect to the web interface of the Unified Firewall at the headquarters, go to the menu VPN → IPsec → Connections and, for the VPN connection to the branch office, click on the “pencil” icon to edit it2.1 Verbinden Sie sich mit dem Webinterface der Unified Firewall in der Headquarter, wechseln in das Menü VPN → IPSec → Connections und klicken bei der VPN-Verbindung zur Filiale auf das "Stift-Symbol", um diese zu bearbeiten.

2.2 Wechseln Sie in den Reiter Tunnels und tragen bei Remote Networks die in Schritt 1.2 vergebene IP-Adresse in CIDR-Schreibweise ein, hinter der die VPN-Verbindung maskiert werden soll (in diesem Beispiel die ) Go to the Tunnels tab and, under Remote Networks, enter the IP address set in step 1.2 in CIDR notation, behind which the VPN connection is to be masked (in this example 10.10.10.1/32).

Klicken Sie anschließend auf Then click on Save.

2.3 Die Konfigurationsschritte in der Headquarter sind damit abgeschlossen) This concludes the configuration steps at the headquarters.



3. Neustart der VPN-Verbindung) Restart the VPN connection:

Info

Damit die in den VPN-Verbindungen angepassten Parameter verwendet werden, muss die VPN-Verbindung neugestartet werden.

The VPN connection must be restarted for the adjusted VPN-connection parameters to come into effect.

Connect to the Unified Firewall at the branch office or headquarters, switch to the menu VPN → IPsec → Connections, and click on the “circular arrow” icon for the corresponding VPN connectionVerbinden Sie sich mit der Unified Firewall in der Filiale oder der Zentrale, wechseln in das Menü VPN → IPSec → Connections und klicken bei der entsprechenden VPN-Verbindung auf das "Pfeilkreis-Symbol"