Beschreibung:

In bestimmten Szenarien kann es erforderlich sein bei Kommunikation über einen VPN-Tunnel das lokale Netzwerk hinter einer bestimmten IP-Adresse zu maskieren. Dadurch muss auf der Gegenseite nur eine VPN-Regel für eine IP-Adresse erstellt werden und nicht für ein ganzes Netzwerk. Ein Nachteil ist, dass von der Gegenseite kein Zugriff auf Ressourcen hinter der maskierten Verbindung möglich ist. Daher bietet sich die Maskierung in der Regel nur für Filialen an, die auf Ressourcen in der Zentrale zugreifen.

In diesem Artikel wird beschrieben, wie Source-NAT für eine bestehende IKEv2-Verbindung auf einer Unified Firewall eingerichtet wird.


Voraussetzungen:

  • Zwei LANCOM R&S®Unified Firewalls mit LCOS FX ab Version 10.7 
  • Bereits eingerichtete und funktionsfähige lokales Netzwerke auf beiden Unified Firewalls
  • Bereits eingerichtete und funktionsfähige Internet-Verbindungen auf beiden Unified Firewalls
  • Bereits eingerichtete und funktionsfähige IKEv2-Verbindungen auf beiden Unified Firewalls
  • Web-Browser zur Konfiguration der beiden Unified Firewalls

    Es werden folgende Browser unterstützt:
    • Google Chrome
    • Chromium
    • Mozilla Firefox


Szenario:

  • Es gibt eine bestehende IKEv2-Verbindung zwischen zwei Unified Firewalls (Filiale und Zentrale).
  • Die Unified Firewall in der Zentrale hat den IP-Adressbereich 192.168.5.0/24.
  • Die Unified Firewall in der Filiale hat den IP-Adressbereich 192.168.1.0/24.
  • Die Kommunikation von der Filiale in Richtung der Zentrale über die IKEv2-Verbindung soll hinter der IP-Adresse 10.10.10.1 maskiert werden



Vorgehensweise:

1. Konfigurationsschritte in der Filiale: 

1.1 Verbinden Sie sich mit dem Webinterface der Unified Firewall in der Filiale, wechseln in das Menü VPN → IPSec → Verbindungen und klicken bei der VPN-Verbindung zur Zentrale auf das "Stift-Symbol", um diese zu bearbeiten. 

1.2 Wechseln Sie in den Reiter Tunnel, löschen bei Lokale Netzwerke das hinterlegte Netzwerk und tragen stattdessen die IP-Adresse in CIDR-Schreibweise (Classless Inter Domain Routing) ein, hinter der die VPN-Verbindung in Richtung der Zentrale maskiert werden soll (in diesem Beispiel die 10.10.10.1/32).

Die Subnetzmaske /32 ist eine andere Schreibweise für 255.255.255.255 und stellt eine einzelne IP-Adresse dar.

1.3 Wechseln Sie in den Reiter Routing, aktivieren das Routen-basierte IPSec und klicken auf Speichern.

1.4 Wechseln Sie in das Menü Netzwerk → Routing → Routing-Tabellen und klicken bei der Tabelle 254 auf das "Stift-Symbol", um diese zu bearbeiten.

1.5 Klicken Sie auf das "Plus-Symbol", um eine neue Route zu erstellen.

1.6 Passen Sie die folgenden Parameter an und klicken auf OK:

  • Interface: Wählen Sie im Dropdownmenü die VPN-Verbindung zur Zentrale aus, die maskiert werden soll.
  • Ziel: Tragen Sie das Zielnetzwerk in der Zentrale ein, mit dem über die VPN-Verbindung kommuniziert werden soll (in diesem Beispiel das Netzwerk 192.168.5.0/24). 

1.7 Klicken Sie auf Speichern.

1.8 Klicken Sie auf die Schaltfläche zum Erstellen eines Netzwerks, um das Zielnetzwerk in der Zentrale lokal anzulegen. Dies ist für die Maskierung erforderlich. Routing-Konflikte können dadurch nicht auftreten.

1.9 Passen Sie die folgenden Parameter an und klicken auf Erstellen:

  • Name: Vergeben Sie einen aussagekräftigen Namen für das Zielnetzwerk (in diesem Beispiel SNAT-Zielnetzwerk).
  • Interface: Wählen Sie im Dropdownmenü die Schnittstelle any aus.
  • Netzwerk-IP: Tragen Sie die IP-Adresse des Zielnetzwerks in der Zentrale in CIDR-Schreibweise ein (in diesem Beispiel 192.168.5.0/24).

1.10 Klicken Sie auf dem Desktop auf das Netzwerkobjekt für das lokale Netzwerk (in diesem Beispiel Produktion), wählen das Verbindungswerkzeug aus und klicken auf das in Schritt 1.9 erstellte Netzwerkobjekt (in diesem Beispiel SNAT-Zielnetzwerk).

1.11 Fügen Sie über die "Plus-Symbole" die zur Kommunikation erforderlichen Protokolle hinzu (in diesem Beispiel ICMP).

Wiederholen Sie die Schritte 1.12 - 1.14 für jedes weitere Protokoll.

1.12 Klicken Sie bei dem verwendeten Protokoll unter Aktion dreimal auf den Pfeil, bis dieser nach rechts zeigt. Klicken Sie anschließend unter Optionen auf die Schaltfläche Keine.

1.13 Wählen Sie bei NAT die Option Servicespezifische Einstellungen verwenden, passen die folgenden Parameter an und klicken auf OK:

  • NAT / Masquerading: Wählen Sie die Option Links-nach-rechts aus.
  • NAT-Quell-IP: Tragen Sie die in Schritt 1.2 vergebene IP-Adresse ein, hinter die Protokolle über die VPN-Verbindung maskiert werden (in diesem Beispiel die IP-Adresse 10.10.10.1).

1.14 Klicken Sie auf Erstellen.

1.15 Klicken Sie auf Aktivieren, damit die vorgenommenen Einstellungen umgesetzt werden.

1.16 Die Konfigurationsschritte in der Filiale sind damit abgeschlossen.



2. Konfigurationsschritte in der Zentrale:

In diesem Konfigurations-Beispiel wird davon ausgegangen, dass auch in der Zentrale eine Unified Firewall verwendet wird. Das Szenario lässt sich auch mit Geräten eines anderen Herstellers umsetzen. In diesem Fall müssen die VPN-Regeln sowie das Routing entsprechend auf die Maskierungs-IP-Adresse angepasst werden. Bitte wenden Sie sich dazu gegebenenfalls an den jeweiligen Hersteller.

2.1 Verbinden Sie sich mit dem Webinterface der Unified Firewall in der Zentrale, wechseln in das Menü VPN → IPSec → Verbindungen und klicken bei der VPN-Verbindung zur Filiale auf das "Stift-Symbol", um diese zu bearbeiten.

2.2 Wechseln Sie in den Reiter Tunnel und tragen bei Remote-Netzwerke die in Schritt 1.2 vergebene IP-Adresse in CIDR-Schreibweise ein, hinter der die VPN-Verbindung maskiert werden soll (in diesem Beispiel die 10.10.10.1/32).

Klicken Sie anschließend auf Speichern.

2.3 Die Konfigurationsschritte in der Zentrale sind damit abgeschlossen.



3. Neustart der VPN-Verbindung:

Damit die in den VPN-Verbindungen angepassten Parameter verwendet werden, muss die VPN-Verbindung neugestartet werden.

Verbinden Sie sich mit der Unified Firewall in der Filiale oder der Zentrale, wechseln in das Menü VPN → IPSec → Verbindungen und klicken bei der entsprechenden VPN-Verbindung auf das "Pfeilkreis-Symbol".