Quelle anzeigen

Beschreibung:

Es kann in einigen Fällen vorkommen, dass zwei Standorte den gleichen IP-Adressbereich verwenden. Damit die Kommunikation per VPN zwischen diesen Standorten trotzdem möglich ist, muss die Kommunikation über den VPN-Tunnel hinter einem anderen IP-Adressbereich maskiert werden. Dies lässt sich auf einer Unified Firewall per NETMAP umsetzen. Im Gegensatz zu Source-NAT ist beidseitig ein Zugriff auf Ressourcen in dem jeweils anderen Zielnetzwerk möglich.

In diesem Artikel wird beschrieben, wie die Maskierung per NETMAP für eine VPN-Verbindung zwischen zwei Unified Firewalls eingerichtet wird.

Bei der Kommunikation zu einem der maskierten Netzwerke über die VPN-Verbindung ist zu beachten, dass dieses nur über die maskierte IP-Adresse angesprochen werden kann.

Voraussetzungen:

Zwei bzw. drei LANCOM R&S®Unified Firewalls mit LCOS FX ab Version 10.7
Bereits eingerichtete und funktionsfähige IKEv2-Verbindung zwischen der Zentrale und der Filiale 1 (nur Szenario 2)
Bereits eingerichtete und funktionsfähige lokale Netzwerke auf allen Unified Firewalls
Bereits eingerichtete und funktionsfähige Internet-Verbindungen auf allen Unified Firewalls
Web-Browser zur Konfiguration der beiden Unified Firewalls

Es werden folgende Browser unterstützt:
- Google Chrome
- Chromium
- Mozilla Firefox

Szenario 1: Zwei Standorte mit dem gleichen IP-Adressbereich sollen über eine IKEv2-Verbindung miteinander kommunizieren

Zwischen zwei Unified Firewalls (Filiale und Zentrale) soll eine IKEv2-Verbindung eingerichtet werden.
Sowohl die Unified Firewall in der Filiale als auch die Unified Firewall in der Zentrale verwenden den gleichen IP-Adressbereich 192.168.1.0/24.
Damit die Kommunikation zwischen den beiden Unified Firewalls möglich ist, müssen über die IKEv2-Verbindung versendete Pakete per NETMAP jeweils hinter einem voneinander abweichenden noch nicht verwendeten IP-Adressbereich maskiert werden.
- Die Unified Firewall in der Zentrale maskiert ihr lokales Netzwerk hinter dem Adressbereich 192.168.10.0/24.
- Die Unified Firewall in der Filiale maskiert ihr lokales Netzwerk hinter dem Adressbereich 192.168.20.0/24.

LANCOM Support Knowledge Base > Einrichtung eines N:N-Mappings für die VPN-Kommunikation zwischen zwei LANCOM R&S®Unified Firewalls per NETMAP > Szenario1.png

Szenario 2: Zwei Außenstandorte mit dem gleichen IP-Adressbereich sollen über eine IKEv2-Verbindung über die Zentrale miteinander kommunizieren

Es ist bereits eine IKEv2-Verbindung zwischen zwei Unified Firewalls eingerichtet (Filiale 1 und Zentrale).
Die Unified Firewall in der Zentrale hat den IP-Adressbereich 192.168.1.0/24.
Die Unified Firewall in der Filiale 1 hat den IP-Adressbereich 192.168.2.0/24.
Es gibt eine weitere Unified Firewall in der Filiale 2. Diese hat ebenfalls den IP-Adressbereich 192.168.2.0/24.
Nun soll die Unified Firewall in der Filiale 2 per IKEv2 mit der Zentrale verbunden werden. Weiterhin soll die Kommunikation zwischen Filiale 1 und Filiale 2 möglich sein.
Damit die Kommunikation zwischen Filiale 1 und Filiale 2 möglich ist, müssen ausgehende Pakete der beiden Filialen über die IKEv2-Verbindung per NETMAP jeweils hinter einem voneinander abweichenden noch nicht verwendeten IP-Adressbereich maskiert werden.
- Die Unified Firewall in der Filiale 1 maskiert ihr lokales Netzwerk hinter dem Adressbereich 192.168.10.0/24.
- Die Unified Firewall in der Filiale 2 maskiert ihr lokales Netzwerk hinter dem Adressbereich 192.168.20.0/24.

LANCOM Support Knowledge Base > Einrichtung eines N:N-Mappings für die VPN-Kommunikation zwischen zwei LANCOM R&S®Unified Firewalls per NETMAP > Szenario2.png

Vorgehensweise:

Szenario 1: Zwei Standorte mit dem gleichen IP-Adressbereich sollen über eine IKEv2-Verbindung miteinander kommunizieren

1. Konfigurationsschritte in der Zentrale:

1.1 Einrichtung der IKEv2-Verbindung auf der Unified Firewall in der Zentrale:

1.1.1 Richten Sie die IKEv2-Verbindung in der Zentrale anhand eines der folgenden Knowledge Base Artikel ein:

1.1.2 Passen Sie bei der Konfiguration der VPN-Verbindung im Reiter Tunnel die Lokalen Netzwerke und die Remote-Netzwerke wie folgt an:

Lokale Netzwerke: Tragen Sie den umgesetzten IP-Adressbereich der Zentrale in CIDR-Schreibweise (Classless Inter Domain Routing) ein (in diesem Beispiel 192.168.10.0/24).
Remote-Netzwerke: Tragen Sie den umgesetzten IP-Adressbereich der Filiale in CIDR-Schreibweise ein (in diesem Beispiel 192.168.20.0/24).

Die für die Maskierung verwendeten IP-Adressbereiche dürfen nicht anderweitig verwendet werden und sich nicht überschneiden.

LANCOM Support Knowledge Base > Einrichtung eines N:N-Mappings für die VPN-Kommunikation zwischen zwei LANCOM R&S®Unified Firewalls per NETMAP > 7.png

1.1.3 Wechseln Sie in den Reiter Routing, aktivieren die Option Routen-basiertes IPSec und klicken auf Speichern.

1.1.4 Wechseln Sie in das Menü Netzwerk → Routing → Routing-Tabellen und klicken bei der Tabelle 254 auf das "Stift-Symbol", um die Routing-Tabelle zu bearbeiten.

LANCOM Support Knowledge Base > Einrichtung eines N:N-Mappings für die VPN-Kommunikation zwischen zwei LANCOM R&S®Unified Firewalls per NETMAP > Routing-Tabelle-Zentrale1.png

1.1.5 Klicken Sie auf das "Plus-Symbol", um einen Routing-Eintrag zu erstellen.

LANCOM Support Knowledge Base > Einrichtung eines N:N-Mappings für die VPN-Kommunikation zwischen zwei LANCOM R&S®Unified Firewalls per NETMAP > Routing-Tabelle-Zentrale2.png

1.1.6 Passen Sie die folgenden Parameter an und klicken auf OK:

Interface: Wählen Sie im Dropdownmenü die VPN-Verbindung zur Filiale aus (in diesem Beispiel VPN-Filiale).
Ziel: Tragen Sie den umgesetzten Adressbereich der Filiale in CIDR-Schreibweise ein (in diesem Beispiel 192.168.20.0/24).

LANCOM Support Knowledge Base > Einrichtung eines N:N-Mappings für die VPN-Kommunikation zwischen zwei LANCOM R&S®Unified Firewalls per NETMAP > Routing-Tabelle-Zentrale3.png

1.1.7 Klicken Sie auf Speichern, um den Routing-Eintrag zu übernehmen.

LANCOM Support Knowledge Base > Einrichtung eines N:N-Mappings für die VPN-Kommunikation zwischen zwei LANCOM R&S®Unified Firewalls per NETMAP > Routing-Tabelle-Zentrale4.png

1.2 Einrichtung der Maskierung auf der Unified Firewall in der Zentrale:

1.2.1 Klicken Sie auf dem Desktop auf das Netzwerk-Objekt in der Zentrale (in diesem Beispiel Produktion), wählen das Verbindungswerkzeug aus und klicken auf das VPN-Objekt (in diesem Beispiel VPN-Filiale).

NETMAP funktioniert ausschließlich mit einem VPN-Netzwerk aber nicht mit einem VPN-Host.

LANCOM Support Knowledge Base > Einrichtung eines N:N-Mappings für die VPN-Kommunikation zwischen zwei LANCOM R&S®Unified Firewalls per NETMAP > 8.png

1.2.2 Wechseln Sie in den Reiter NAT, passen die folgenden Parameter an und klicken auf Speichern:

NAT / Masquerading: Wählen Sie die Option Links-nach-rechts aus.
NAT-Quell-IP: Tragen Sie den in Schritt 1.1.2 vergebenen umgesetzten IP-Adressbereich der Zentrale in CIDR-Schreibweise ein (in diesem Beispiel 192.168.10.0/24). Es handelt sich hierbei um die Maskierung für den ausgehenden Datenverkehr.
Setzen Sie den Haken bei DNAT aktivieren.
Externe IP-Adresse: Tragen Sie den in Schritt 1.1.2 vergebenen umgesetzten IP-Adressbereich der Zentrale in CIDR-Schreibweise ein (in diesem Beispiel 192.168.10.0/24). Es handelt sich hierbei um die Maskierung für den eingehenden Datenverkehr.

Die Maskierung erfolgt bei N:N-Mapping zweigeteilt. Der ausgehende Datenverkehr wird mittels Source-NAT maskiert und der eingehende Datenverkehr mittels Destination-NAT.

LANCOM Support Knowledge Base > Einrichtung eines N:N-Mappings für die VPN-Kommunikation zwischen zwei LANCOM R&S®Unified Firewalls per NETMAP > 9.png

1.2.3 Klicken Sie auf Aktivieren, damit die vorgenommenen Änderungen umgesetzt werden.

LANCOM Support Knowledge Base > Einrichtung eines N:N-Mappings für die VPN-Kommunikation zwischen zwei LANCOM R&S®Unified Firewalls per NETMAP > 6.png

1.2.4 Die Konfigurationsschritte auf der Unified Firewall in der Zentrale sind damit abgeschlossen.

2. Konfigurationsschritte in der Filiale:

2.1 Einrichtung der IKEv2-Verbindung auf der Unified Firewall in der Filiale:

2.1.1 Richten Sie die IKEv2-Verbindung in der Filiale anhand eines der folgenden Knowledge Base Artikel ein:

2.1.2 Passen Sie bei der Konfiguration der VPN-Verbindung im Reiter Tunnel die Lokalen Netzwerke und die Remote-Netzwerke wie folgt an:

Lokale Netzwerke: Tragen Sie den umgesetzten IP-Adressbereich der Filiale in CIDR-Schreibweise ein (in diesem Beispiel 192.168.20.0/24).
Remote-Netzwerke: Tragen Sie den umgesetzten IP-Adressbereich der Zentrale in CIDR-Schreibweise ein (in diesem Beispiel 192.168.10.0/24).

Die für die Maskierung verwendeten IP-Adressbereiche dürfen nicht anderweitig verwendet werden und sich nicht überschneiden.

LANCOM Support Knowledge Base > Einrichtung eines N:N-Mappings für die VPN-Kommunikation zwischen zwei LANCOM R&S®Unified Firewalls per NETMAP > 3.png

2.1.3 Wechseln Sie in den Reiter Routing, aktivieren die Option Routen-basiertes IPSec und klicken auf Speichern.

LANCOM Support Knowledge Base > Einrichtung eines N:N-Mappings für die VPN-Kommunikation zwischen zwei LANCOM R&S®Unified Firewalls per NETMAP > Route-based-IPSec-Filiale.png

2.1.4 Wechseln Sie in das Menü Netzwerk → Routing → Routing-Tabellen und klicken bei der Tabelle 254 auf das "Stift-Symbol", um die Routing-Tabelle zu bearbeiten.

LANCOM Support Knowledge Base > Einrichtung eines N:N-Mappings für die VPN-Kommunikation zwischen zwei LANCOM R&S®Unified Firewalls per NETMAP > Routing-Tabelle-Zentrale1.png

2.1.5 Klicken Sie auf das "Plus-Symbol", um einen Routing-Eintrag zu erstellen.

LANCOM Support Knowledge Base > Einrichtung eines N:N-Mappings für die VPN-Kommunikation zwischen zwei LANCOM R&S®Unified Firewalls per NETMAP > Routing-Tabelle-Zentrale2.png

2.1.6 Passen Sie die folgenden Parameter an und klicken auf OK:

Interface: Wählen Sie im Dropdownmenü die VPN-Verbindung zur Zentrale aus (in diesem Beispiel VPN-Zentrale).
Ziel: Tragen Sie das umgesetzte Netzwerk der Zentrale in CIDR-Schreibweise ein (in diesem Beispiel 192.168.10.0/24).

LANCOM Support Knowledge Base > Einrichtung eines N:N-Mappings für die VPN-Kommunikation zwischen zwei LANCOM R&S®Unified Firewalls per NETMAP > Routing-Tabelle-Filiale1.png

2.1.7 Klicken Sie auf Speichern, um den Routing-Eintrag zu übernehmen.

LANCOM Support Knowledge Base > Einrichtung eines N:N-Mappings für die VPN-Kommunikation zwischen zwei LANCOM R&S®Unified Firewalls per NETMAP > Routing-Tabelle-Filiale2.png

2.2 Einrichtung der Maskierung auf der Unified Firewall in der Filiale:

2.2.1 Klicken Sie auf dem Desktop auf das verwendete Netzwerk-Objekt in der Filiale (in diesem Beispiel Produktion), wählen das Verbindungswerkzeug aus und klicken auf das VPN-Objekt (in diesem Beispiel VPN-Zentrale).

NETMAP funktioniert ausschließlich mit einem VPN-Netzwerk aber nicht mit einem VPN-Host.

LANCOM Support Knowledge Base > Einrichtung eines N:N-Mappings für die VPN-Kommunikation zwischen zwei LANCOM R&S®Unified Firewalls per NETMAP > 4.png

2.2.2 Wechseln Sie in den Reiter NAT, passen die folgenden Parameter an und klicken auf Speichern:

NAT / Masquerading: Wählen Sie die Option Links-nach-rechts aus.
NAT-Quell-IP: Tragen Sie den in Schritt 2.1.2 vergebenen umgesetzten IP-Adressbereich der Filiale in CIDR-Schreibweise ein (in diesem Beispiel 192.168.20.0/24). Es handelt sich hierbei um die Maskierung für den ausgehenden Datenverkehr.
Setzen Sie den Haken bei DNAT aktivieren.
Externe IP-Adresse: Tragen Sie den in Schritt 2.1.2 vergebenen umgesetzten IP-Adressbereich der Filiale in CIDR-Schreibweise ein (in diesem Beispiel 192.168.20.0/24). Es handelt sich hierbei um die Maskierung für den eingehenden Datenverkehr.

Die Maskierung erfolgt bei N:N-Mapping zweigeteilt. Der ausgehende Datenverkehr wird mittels Source-NAT maskiert und der eingehende Datenverkehr mittels Destination-NAT.

LANCOM Support Knowledge Base > Einrichtung eines N:N-Mappings für die VPN-Kommunikation zwischen zwei LANCOM R&S®Unified Firewalls per NETMAP > 5.png

2.2.3 Klicken Sie auf Aktivieren, damit die vorgenommenen Änderungen umgesetzt werden.

LANCOM Support Knowledge Base > Einrichtung eines N:N-Mappings für die VPN-Kommunikation zwischen zwei LANCOM R&S®Unified Firewalls per NETMAP > 6.png

2.2.4 Die Konfigurationsschritte auf der Unified Firewall in der Filiale sind damit abgeschlossen.

3. Neustart der VPN-Verbindung:

Damit die in den VPN-Verbindungen angepassten Parameter verwendet werden, muss die VPN-Verbindung neugestartet werden.

Verbinden Sie sich mit der Unified Firewall in der Filiale oder der Zentrale, wechseln in das Menü VPN → IPSec → Verbindungen und klicken bei der entsprechenden VPN-Verbindung auf das "Pfeilkreis-Symbol".

LANCOM Support Knowledge Base > Einrichtung eines N:N-Mappings für die VPN-Kommunikation zwischen zwei LANCOM R&S®Unified Firewalls per NETMAP > UF_VPN-Restart.png

Szenario 2: Zwei Außenstandorte mit dem gleichen IP-Adressbereich sollen über eine IKEv2-Verbindung über die Zentrale miteinander kommunizieren

1. Konfigurationsschritte in der Zentrale:

1.1 Einrichtung der IKEv2-Verbindung zur Filiale 2:

1.1.1 Richten Sie auf der Unified Firewall in der Zentrale die IKEv2-Verbindung zur Filiale 2 anhand eines der folgenden Knowledge Base Artikel ein:

1.1.2 Passen Sie bei der Konfiguration der VPN-Verbindung im Reiter Tunnel die Lokalen Netzwerke und die Remote-Netzwerke wie folgt an:

Lokale Netzwerke: Tragen Sie den lokalen IP-Adressbereich der Zentrale in CIDR-Schreibweise ein (in diesem Beispiel 192.168.1.0/24).
Remote-Netzwerke: Tragen Sie den umgesetzten IP-Adressbereich der Filiale 2 in CIDR-Schreibweise ein (in diesem Beispiel 192.168.20.0/24).

LANCOM Support Knowledge Base > Einrichtung eines N:N-Mappings für die VPN-Kommunikation zwischen zwei LANCOM R&S®Unified Firewalls per NETMAP > 11.png

1.2 Anpassung der VPN-Verbindung zur Filiale 1:

1.2.1 Wechseln Sie in das Menü VPN → IPSec → Verbindungen und klicken bei der VPN-Verbindung zur Filiale 1 auf das "Stift-Symbol", um die Verbindung zu bearbeiten.

LANCOM Support Knowledge Base > Einrichtung eines N:N-Mappings für die VPN-Kommunikation zwischen zwei LANCOM R&S®Unified Firewalls per NETMAP > 12.png

1.2.2 Wechseln Sie in den Reiter Tunnel, passen den folgenden Parameter an und klicken auf Speichern:

Remote-Netzwerke: Tragen Sie den umgesetzten IP-Adressbereich der Filiale 1 in CIDR-Schreibweise ein (in diesem Beispiel 192.168.10.0/24).

LANCOM Support Knowledge Base > Einrichtung eines N:N-Mappings für die VPN-Kommunikation zwischen zwei LANCOM R&S®Unified Firewalls per NETMAP > 13.png

2. Konfigurationsschritte in der Filiale 1:

2.1 Anpassung der VPN-Netzwerke in der Filiale 1:

2.1.1 Verbinden Sie sich mit dem Webinterface der Unified Firewall in der Filiale 1, wechseln in das Menü VPN → IPSec → Verbindungen und klicken bei der VPN-Verbindung zur Zentrale auf das "Stift-Symbol", um die Verbindung zu bearbeiten.

LANCOM Support Knowledge Base > Einrichtung eines N:N-Mappings für die VPN-Kommunikation zwischen zwei LANCOM R&S®Unified Firewalls per NETMAP > 18.png

2.1.2 Wechseln Sie in den Reiter Tunnel und passen die folgenden Parameter an:

Lokale Netzwerke: Ersetzen Sie das vorhandene lokale Netzwerk durch den umgesetzten IP-Adressbereich der Filiale 1 in CIDR-Schreibweise (in diesem Beispiel 192.168.10.0/24).
Remote-Netzwerke: Tragen Sie zusätzlich zum bereits vorhandenen Netzwerk der Zentrale den umgesetzten IP-Adressbereich der Filiale 2 in CIDR-Schreibweise ein (in diesem Beispiel 192.168.20.0/24).

Die für die Maskierung verwendeten IP-Adressbereiche dürfen nicht anderweitig verwendet werden und dürfen sich nicht überschneiden.

LANCOM Support Knowledge Base > Einrichtung eines N:N-Mappings für die VPN-Kommunikation zwischen zwei LANCOM R&S®Unified Firewalls per NETMAP > 19.PNG

2.1.3 Wechseln Sie in den Reiter Routing, aktivieren die Option Routen-basiertes IPSec und klicken auf Speichern.

LANCOM Support Knowledge Base > Einrichtung eines N:N-Mappings für die VPN-Kommunikation zwischen zwei LANCOM R&S®Unified Firewalls per NETMAP > Route-based-IPSec-Filiale.png

2.1.4 Wechseln Sie in das Menü Netzwerk → Routing → Routing-Tabellen und klicken bei der Tabelle 254 auf das "Stift-Symbol", um die Routing-Tabelle zu bearbeiten.

LANCOM Support Knowledge Base > Einrichtung eines N:N-Mappings für die VPN-Kommunikation zwischen zwei LANCOM R&S®Unified Firewalls per NETMAP > Routing-Tabelle-Zentrale1.png

2.1.5 Klicken Sie auf das "Plus-Symbol", um einen Routing-Eintrag zu erstellen.

LANCOM Support Knowledge Base > Einrichtung eines N:N-Mappings für die VPN-Kommunikation zwischen zwei LANCOM R&S®Unified Firewalls per NETMAP > Routing-Tabelle-Filiale-Szenario2.png

2.1.6 Passen Sie die folgenden Parameter an und klicken auf OK:

Interface: Wählen Sie im Dropdownmenü die VPN-Verbindung zur Zentrale aus (in diesem Beispiel VPN-Zentrale).
Ziel: Tragen Sie das Netzwerk der Zentrale in CIDR-Schreibweise ein (in diesem Beispiel 192.168.1.0/24).

LANCOM Support Knowledge Base > Einrichtung eines N:N-Mappings für die VPN-Kommunikation zwischen zwei LANCOM R&S®Unified Firewalls per NETMAP > Routing-Tabelle-Filiale-Zentrale1.png

2.1.7 Erstellen Sie einen weiteren Routing-Eintrag, passen die folgenden Parameter an und klicken auf OK:

Interface: Wählen Sie im Dropdownmenü die VPN-Verbindung zur Zentrale aus (in diesem Beispiel VPN-Zentrale).
Ziel: Tragen Sie das umgesetzte Netzwerk der Filiale 2 in CIDR-Schreibweise ein (in diesem Beispiel 192.168.20.0/24).

LANCOM Support Knowledge Base > Einrichtung eines N:N-Mappings für die VPN-Kommunikation zwischen zwei LANCOM R&S®Unified Firewalls per NETMAP > Routing-Tabelle-Filiale-Zentrale4.png

2.2.8 Klicken Sie auf Speichern, um die Routing-Einträge zu übernehmen.

LANCOM Support Knowledge Base > Einrichtung eines N:N-Mappings für die VPN-Kommunikation zwischen zwei LANCOM R&S®Unified Firewalls per NETMAP > Routing-Tabelle-Filiale-Zentrale5.png

2.2 Einrichtung der Maskierung auf der Unified Firewall in der Filiale 1:

2.2.1 Klicken Sie auf dem Desktop der Unified Firewall in der Filiale 1 auf das verwendete Netzwerk-Objekt (in diesem Beispiel Filiale1-INTRANET), wählen das Verbindungswerkzeug aus und klicken auf das VPN-Objekt (in diesem Beispiel Zentrale).

NETMAP funktioniert ausschließlich mit einem VPN-Netzwerk aber nicht mit einem VPN-Host.

LANCOM Support Knowledge Base > Einrichtung eines N:N-Mappings für die VPN-Kommunikation zwischen zwei LANCOM R&S®Unified Firewalls per NETMAP > 14.png

2.2.2 Wechseln Sie in den Reiter NAT, passen die folgenden Parameter an und klicken auf Speichern:

NAT / Masquerading: Wählen Sie die Option Links-nach-rechts aus.
NAT-Quell-IP: Tragen Sie den in Schritt 2.1.2 vergebenen umgesetzten IP-Adressbereich der Filiale 1 in CIDR-Schreibweise ein (in diesem Beispiel 192.168.10.0/24). Es handelt sich hierbei um die Maskierung für den ausgehenden Datenverkehr.
Setzen Sie den Haken bei DNAT aktivieren.
Externe IP-Adresse: Tragen Sie den in Schritt 2.1.2 vergebenen umgesetzten IP-Adressbereich der Filiale 1 in CIDR-Schreibweise ein (in diesem Beispiel 192.168.10.0/24). Es handelt sich hierbei um die Maskierung für den eingehenden Datenverkehr.

Die Maskierung erfolgt bei N:N-Mapping zweigeteilt. Der ausgehende Datenverkehr wird mittels Source-NAT maskiert und der eingehende Datenverkehr mittels Destination-NAT.

LANCOM Support Knowledge Base > Einrichtung eines N:N-Mappings für die VPN-Kommunikation zwischen zwei LANCOM R&S®Unified Firewalls per NETMAP > 15.png

2.2.3 Klicken Sie auf Aktivieren, damit die vorgenommenen Änderungen umgesetzt werden.

LANCOM Support Knowledge Base > Einrichtung eines N:N-Mappings für die VPN-Kommunikation zwischen zwei LANCOM R&S®Unified Firewalls per NETMAP > 6.png

2.2.4 Die Konfigurationsschritte auf der Unified Firewall in der Filiale 1 sind damit abgeschlossen.

3. Konfigurationsschritte in der Filiale 2:

3.1 Einrichtung der IKEv2-Verbindung auf der Unified Firewall in der Filiale 2:

3.1.1 Richten Sie die IKEv2-Verbindung auf der Unified Firewall in der Filiale 2 anhand eines der folgenden Knowledge Base Artikel ein:

3.1.2 Passen Sie bei der Konfiguration der VPN-Verbindung im Reiter Tunnel die Lokalen Netzwerke und die Remote-Netzwerke wie folgt an:

Lokale Netzwerke: Tragen Sie den umgesetzten IP-Adressbereich der Filiale 2 in CIDR-Schreibweise ein (in diesem Beispiel 192.168.20.0/24).
Remote-Netzwerke: Tragen Sie neben dem lokalen Netzwerk der Zentrale (in diesem Beispiel die 192.168.1.0/24) zusätzlich noch den umgesetzten IP-Adressbereich der Filiale 1 in CIDR-Schreibweise ein (in diesem Beispiel 192.168.10.0/24).

Die für die Maskierung verwendeten IP-Adressbereiche dürfen nicht anderweitig verwendet werden und dürfen sich nicht überschneiden.

LANCOM Support Knowledge Base > Einrichtung eines N:N-Mappings für die VPN-Kommunikation zwischen zwei LANCOM R&S®Unified Firewalls per NETMAP > 10.png

3.1.3 Wechseln Sie in den Reiter Routing, aktivieren die Option Routen-basiertes IPSec und klicken auf Speichern.

LANCOM Support Knowledge Base > Einrichtung eines N:N-Mappings für die VPN-Kommunikation zwischen zwei LANCOM R&S®Unified Firewalls per NETMAP > Route-based-IPSec-Filiale.png

3.1.4 Wechseln Sie in das Menü Netzwerk → Routing → Routing-Tabellen und klicken bei der Tabelle 254 auf das "Stift-Symbol", um die Routing-Tabelle zu bearbeiten.

LANCOM Support Knowledge Base > Einrichtung eines N:N-Mappings für die VPN-Kommunikation zwischen zwei LANCOM R&S®Unified Firewalls per NETMAP > Routing-Tabelle-Zentrale1.png

3.1.5 Klicken Sie auf das "Plus-Symbol", um einen Routing-Eintrag zu erstellen.

LANCOM Support Knowledge Base > Einrichtung eines N:N-Mappings für die VPN-Kommunikation zwischen zwei LANCOM R&S®Unified Firewalls per NETMAP > Routing-Tabelle-Filiale-Szenario2.png

3.1.6 Passen Sie die folgenden Parameter an und klicken auf OK:

Interface: Wählen Sie im Dropdownmenü die VPN-Verbindung zur Zentrale aus (in diesem Beispiel VPN-Zentrale).
Ziel: Tragen Sie das Netzwerk der Zentrale in CIDR-Schreibweise ein (in diesem Beispiel 192.168.1.0/24).

LANCOM Support Knowledge Base > Einrichtung eines N:N-Mappings für die VPN-Kommunikation zwischen zwei LANCOM R&S®Unified Firewalls per NETMAP > Routing-Tabelle-Filiale-Zentrale1.png

3.1.7 Erstellen Sie einen weiteren Routing-Eintrag, passen die folgenden Parameter an und klicken auf OK:

Interface: Wählen Sie im Dropdownmenü die VPN-Verbindung zur Zentrale aus (in diesem Beispiel VPN-Zentrale).
Ziel: Tragen Sie das umgesetzte Netzwerk der Filiale 1 in CIDR-Schreibweise ein (in diesem Beispiel 192.168.10.0/24).

LANCOM Support Knowledge Base > Einrichtung eines N:N-Mappings für die VPN-Kommunikation zwischen zwei LANCOM R&S®Unified Firewalls per NETMAP > Routing-Tabelle-Filiale-Zentrale2.png

3.1.8 Klicken Sie auf Speichern, um die Routing-Einträge zu übernehmen.

LANCOM Support Knowledge Base > Einrichtung eines N:N-Mappings für die VPN-Kommunikation zwischen zwei LANCOM R&S®Unified Firewalls per NETMAP > Routing-Tabelle-Filiale-Zentrale3.png

3.2 Einrichtung der Maskierung auf der Unified Firewall in der Filiale 2:

3.2.1 Klicken Sie auf dem Desktop der Unified Firewall in der Filiale 2 auf das verwendete Netzwerk-Objekt (in diesem Beispiel Filiale2-INTRANET), wählen das Verbindungswerkzeug aus und klicken auf das VPN-Objekt (in diesem Beispiel VPN-Zentrale).

NETMAP funktioniert ausschließlich mit einem VPN-Netzwerk aber nicht mit einem VPN-Host.

LANCOM Support Knowledge Base > Einrichtung eines N:N-Mappings für die VPN-Kommunikation zwischen zwei LANCOM R&S®Unified Firewalls per NETMAP > 16.png

3.2.2 Wechseln Sie in den Reiter NAT, passen die folgenden Parameter an und klicken auf Speichern:

NAT / Masquerading: Wählen Sie die Option Links-nach-rechts aus.
NAT-Quell-IP: Tragen Sie den umgesetzten IP-Adressbereich der Filiale 2 in CIDR-Schreibweise ein (in diesem Beispiel 192.168.20.0/24). Es handelt sich hierbei um die Maskierung für den ausgehenden Datenverkehr.
Setzen Sie den Haken bei DNAT aktivieren.
Externe IP-Adresse: Tragen Sie den in Schritt 3.1.2 vergebenen umgesetzten IP-Adressbereich der Filiale 2 in CIDR-Schreibweise ein (in diesem Beispiel 192.168.20.0/24). Es handelt sich hierbei um die Maskierung für den eingehenden Datenverkehr.

Die Maskierung erfolgt bei N:N-Mapping zweigeteilt. Der ausgehende Datenverkehr wird mittels Source-NAT maskiert und der eingehende Datenverkehr mittels Destination-NAT.

LANCOM Support Knowledge Base > Einrichtung eines N:N-Mappings für die VPN-Kommunikation zwischen zwei LANCOM R&S®Unified Firewalls per NETMAP > 17.png

3.2.3 Klicken Sie auf Aktivieren, damit die vorgenommenen Änderungen umgesetzt werden.

LANCOM Support Knowledge Base > Einrichtung eines N:N-Mappings für die VPN-Kommunikation zwischen zwei LANCOM R&S®Unified Firewalls per NETMAP > 6.png

3.2.4 Die Konfigurationsschritte auf der Unified Firewall in der Filiale 2 sind damit abgeschlossen.

4. Neustart der VPN-Verbindungen:

Damit die in den VPN-Verbindungen angepassten Parameter verwendet werden, müssen die VPN-Verbindungen neugestartet werden.

Verbinden Sie sich mit der Unified Firewall in einer der Filialen oder der Zentrale, wechseln in das Menü VPN → IPSec → Verbindungen und klicken bei der entsprechenden VPN-Verbindung auf das "Pfeilkreis-Symbol". Führen Sie dies für beide VPN-Verbindungen durch (Zentrale - Filiale 1 und Zentrale - Filiale 2).

LANCOM Support Knowledge Base > Einrichtung eines N:N-Mappings für die VPN-Kommunikation zwischen zwei LANCOM R&S®Unified Firewalls per NETMAP > UF_VPN-Restart.png