Site-to-Site IPsec-VPN erstellen

Wir wollen zwischen der Hauptgeschäftsstelle und der Zweigstelle ein IPsec-VPN erstellen und einrichten. Wir verwenden einen verteilten Schlüssel für die Authentifizierung.

Zielsetzungen

Wenn Sie diese Einheit abschließen, wissen Sie, wie Sie folgendes tun:
  • Das IPsec-VPN der Hauptgeschäftsstelle konfigurieren. Dafür müssen Sie LANs festlegen, eine IPsec-Verbindung hinzufügen, eine Firewallregel bearbeiten und eine Firewallregel erstellen.
  • Das IPsec-VPN der Zweigstelle konfigurieren.
  • Verbindung prüfen.

LANs in der Hauptgeschäftsstelle festlegen

Wir erstellen Hosts für die Hauptgeschäftsstelle und Zweigstellennetzwerke in der Hauptgeschäftsstelle.

  1. Gehen Sie zu Hosts und Dienste > IP-Host und klicken Sie auf Hinzufügen.
  2. Erstellen Sie einen Host für das LAN der Hauptgeschäftsstelle.
  3. Klicken Sie auf Speichern.
  4. Klicken Sie auf Hinzufügen.
  5. Erstellen Sie einen Host für das LAN der Zweigstelle.
  6. Klicken Sie auf Speichern.

IPsec-Verbindung in der Hauptgeschäftsstelle hinzufügen

Wir erstellen und aktivieren eine IPsec-Verbindung in der Hauptgeschäftsstelle. Die Verbindung gibt die Endpunkt- und Netzwerkinformationen und einen verteilten Schlüssel an.

  1. Gehen Sie zu VPN > IPsec-Verbindungen und klicken Sie auf Hinzufügen.
  2. Legen Sie allgemeine Einstellungen fest.

    Wir wollen eine Firewallregel für die Verbindung erstellen, deshalb aktivieren wir Firewallregel erstellen.

  3. Legen Sie Verschlüsselungseinstellungen fest.
    Hinweis: Notieren Sie sich den verteilten Schlüssel, da Sie ihn später brauchen werden, wenn Sie die Zweigstellenverbindung konfigurieren.
  4. Legen Sie Einstellungen für das lokale Gateway fest.
  5. Legen Sie Einstellungen für das entfernte Gateway fest.
    Wir wollen, dass die Verbindung sich mit jeder Schnittstelle des Remote-Gateways verbinden kann, deshalb geben wir einen Platzhalter (*) an.
  6. Klicken Sie auf Speichern.
    Das Verbindung wird in der Liste der IPsec-Verbindungen angezeigt.
  7. Klicken Sie auf die Statusanzeige (), um die Verbindung zu aktivieren.

Bearbeiten Sie die Firewallregel

Wir bearbeiten die Firewallregel, die wird erstellt haben, als wir die IPsec-Verbindung erstellt haben. Diese Regel trifft auf ausgehenden VPN-Verkehr zu.

  1. Gehen Sie zu Firewall und klicken Sie auf die Regel „IPsec HQ to Branch“.
  2. Ändern Sie den Namen der Regel und legen Sie Einstellungen fest.
  3. Klicken Sie auf Speichern.

Firewallregel hinzufügen

Wir erstellen eine Regel für eingehenden VPN-Verkehr.

  1. Klicken Sie auf Firewallregel hinzufügen > Benutzer-/Netzwerkregel.
  2. Legen Sie Einstellungen fest.
    OptionBeschreibung
    Regelname Eingehender VPN-Verkehr
    Quellzonen VPN
    Quellnetzwerke und Geräte Branch_LAN
    Zielzonen LAN
    Zielnetzwerke HQ_LAN
  3. Klicken Sie auf Speichern.

LANs in der Zweigstelle erstellen

Wir erstellen Hosts für die Zweigstelle und die Netzwerke der Hauptgeschäftsstelle in der Zweigstelle.

  1. Gehen Sie zu Hosts und Dienste > IP-Host und klicken Sie auf Hinzufügen.
  2. Legen Sie die lokalen LAN-Einstellungen fest.
    OptionBeschreibung
    Name Branch_LAN
    Typ Netzwerk
    IP-Adresse 192.168.3.0
  3. Legen Sie die entfernten LAN-Einstellungen fest.
    OptionBeschreibung
    Name HQ_LAN
    Typ Netzwerk
    IP-Adresse 192.168.2.0

IPsec-Verbindung in der Zweigstelle hinzufügen

Wir erstellen und aktivieren eine IPsec-Verbindung in der Zweigstelle.

  1. Gehen Sie zu VPN > IPsec-Verbindungen und klicken Sie auf Hinzufügen.
  2. Legen Sie allgemeine Einstellungen fest.
    OptionBeschreibung
    Name Branch_to_HQ
    Verbindungstyp Standort-zu-Standort
    Gateway-Typ Initiieren
    Firewallregel erstellen Aktiviert
  3. Legen Sie Verschlüsselungseinstellungen fest.
    OptionBeschreibung
    Richtlinie DefaultBranchOffice
    Authentifizierungsmethode Verteilter Schlüssel
  4. Geben Sie den verteilten Schlüssel ein und bestätigen Sie ihn.
    Hinweis: Stellen Sie sicher, dass Sie denselben verteilten Schlüssel wie in der Hauptgeschäftsstelle verwenden.
  5. Legen Sie Einstellungen für das lokale Gateway fest.
    OptionBeschreibung
    Lausch-Schnittstelle Port1 – 10.118.96.115
    Lokales Subnetz Branch_LAN
  6. Legen Sie Einstellungen für das entfernte Gateway fest.
    OptionBeschreibung
    Gateway-Adresse *
    Entfernte ID IP-Adresse – 10.118.96.91
    Entferntes Subnetz HQ_LAN
  7. Klicken Sie auf Speichern.
    Das Verbindung wird in der Liste der IPsec-Verbindungen angezeigt.
  8. Klicken Sie auf die Statusanzeige (), um die Verbindung zu aktivieren.

Bearbeiten Sie die Firewallregel

Wir bearbeiten die Firewallregel, die wird erstellt haben, als wir die IPsec-Verbindung erstellt haben. Diese Regel trifft auf ausgehenden VPN-Verkehr zu.

  1. Gehen Sie zu Firewall und klicken Sie auf die Regel „IPsec Branch to HQ“.
  2. Legen Sie Einstellungen fest.
    OptionBeschreibung
    Regelname Ausgehender VPN-Verkehr
    Quellzonen LAN
    Quellnetzwerke und Geräte Branch_LAN
    Zielzonen VPN
    Zielnetzwerke HQ_LAN
  3. Klicken Sie auf Speichern.

Firewallregel hinzufügen

Wir erstellen eine Regel für eingehenden VPN-Verkehr.

  1. Klicken Sie auf Firewallregel hinzufügen > Benutzer-/Netzwerkregel.
  2. Legen Sie Einstellungen fest.
    OptionBeschreibung
    Regelname Eingehender VPN-Verkehr
    Quellzonen VPN
    Quellnetzwerke und Geräte HQ_LAN
    Zielzonen LAN
    Zielnetzwerke Branch_LAN
  3. Klicken Sie auf Speichern.

Konnektivität prüfen

Wir überprüfen die Konnektivität von der Hauptgeschäftsstelle zur Zweigstelle und umgekehrt.

  • Überprüfen Sie von der Hauptgeschäftsstelle aus, dass Sie die Zweigstelle anpingen können.
    Öffnen Sie unter Windows die Kommandozeile und tippen Sie ping 192.168.3.0 ein.
  • Überprüfen Sie von der Zweigstelle aus, dass Sie die Hauptgeschäftsstelle anpingen können.
    Öffnen Sie unter Windows die Kommandozeile und tippen Sie ping 192.168.2.0 ein.
  • Klicken Sie in der Hauptgeschäftsstelle auf Firewall und sehen Sie sich den Verkehr an.
  • Klicken Sie in der Zweigstelle auf Firewall und sehen Sie sich den Verkehr an.

Konfiguration von Hauptgeschäftsstelle und Zweigstelle

In einer Konfiguration von Hauptgeschäftsstelle und Zweigstelle initiiert die Firewall in der Zweigstelle den Tunnel und die Firewall in der Hauptgeschäftsstelle antwortet aus den folgenden Gründen:
  • Wenn das Zweigstellengerät mit einer dynamischen IP-Adresse konfiguriert ist, kann das Hauptgeschäftsstellengerät die Verbindung nicht initiieren.
  • Da die Anzahl der Zweigstellen variiert, ist es empfehlenswert, dass jede Zweigstelle selbst versucht sich zu verbinden, anstatt dass die Hauptgeschäftsstelle versucht, sich mit allen Zweigstellen zu verbinden.