Site-to-Site RED-Tunnel erstellen

Richten Sie einen Site-to-Site RED-Tunnel zwischen zwei Sophos XG Firewall Appliances ein, ohne ein RED-Gerät einzurichten. Bei dieser Konfigurationsart agiert ein Gerät als Server und das andere als Client.

Zielsetzungen

Wenn Sie diese Einheit abschließen, wissen Sie, wie Sie folgendes tun:
  • Auf dem Server eine RED-Schnittstelle hinzufügen.
  • Eine Client-Firewallkonfiguration erstellen.
  • Statisches Routing erstellen, damit interne Netzwerke eine Route durch den RED-Tunnel haben.
  • Firewallregeln für den Tunnelverkehr hinzufügen.

RED-Schnittstelle auf dem Server hinzufügen

Der Server wartet auf eingehende Verbindungen und das Client-Gerät initiiert die ausgehende Verbindung. Jedes Upstream-NAT kann eingehende Verbindungen stören, daher ist es besser, ein Nicht-NAT-Gerät auszuwählen, das als Server agiert.

  1. Gehen Sie auf dem Server-Gerät zu Systemdienste > RED und schalten Sie den RED Provisioning Service ein.
  2. Gehen Sie zu Netzwerk > Schnittstellen, klicken Sie auf Schnittstelle hinzufügen und wählen Sie Hinzufügen RED aus.
  3. Legen Sie Einstellungen fest.
    OptionBeschreibung
    Zweigstellenname Server
    Typ Firewall RED-Server
    Tunnel-ID Automatisch
    RED-IP 192.0.2.25
    Zone LAN
  4. Klicken Sie auf Speichern.

    Eine Bereitstellungsdatei wird für die Server-Firewall erzeugt.

  5. Finden Sie die RED-Schnittstelle in der Schnittstellenliste, klicken Sie auf und laden Sie die Bereitstellungsdatei herunter.
  6. Kopieren Sie die Datei auf einen Netzwerkort oder transportables Gerät, das Sie von der Client-Firewall aus erreichen können.

RED-Schnittstelle auf dem Client hinzufügen

  1. Gehen Sie zu Systemdienste > RED und schalten Sie den RED Provisioning Service ein.
  2. Gehen Sie zu Netzwerk > Schnittstellen, klicken Sie auf Schnittstelle hinzufügen und wählen Sie Hinzufügen RED aus.
  3. Legen Sie Einstellungen fest.
    OptionBeschreibung
    Zweigstellenname Client
    Typ Firewall RED-Client
    Firewall-IP/Hostname 192.0.2.25
    RED-IP 198.51.100.100
    Zone LAN
  4. Klicken Sie auf Datei auswählen und wählen Sie die Bereitstellungsdatei aus, die Sie vom Server heruntergeladen haben.
  5. Klicken Sie auf Speichern.

Statische Routen hinzufügen

Sie müssen statisches Routing auf beiden Firewalls konfigurieren, damit interne Netzwerke eine Route durch den RED-Tunnel haben.

  1. Gehen Sie auf der Server-Firewall zu Routing > Statisches Routing.
  2. Klicken Sie auf Hinzufügen, um eine IPv4-Unicast-Route zu erstellen.
  3. Legen Sie Einstellungen fest.
    OptionBeschreibung
    Ziel­IP 192.168.100.0
    Gateway 172.173.0.1
    Schnittstelle reds1-192.0.2.25
  4. Gehen Sie zur Client-Firewall und legen Sie das gleiche Routing fest.

Firewallregeln hinzufügen

Damit Datenverkehr zwischen zwei Firewalls fließen kann, müssen Sie eine LAN-zu-LAN- oder eine ähnliche Regel auf jeder Firewall erstellen.

Die folgenden Schritte werden auf der Server-Firewall und der Client-Firewall ausgeführt.

  1. Gehen Sie zu Firewall und klicken Sie auf Firewallregel hinzufügen > Benutzer-/Netzwerkregel.
  2. Legen Sie Einstellungen fest.
    OptionBeschreibung
    Regelname LAN zu LAN
    Quellzonen LAN
    Zielzonen LAN