Routen-basiertes VPN

Sie können Routing-basiertes VPN als Alternative zu richtlinienbasiertem VPN verwenden. Das routenbasierte VPN verwendet virtuelle Tunnelschnittstellen als VPN-Endpunkte.

Richtlinienbasiertes VPN verwendet die Routing-Tabelle nicht. Stattdessen wird eine Richtlinie verwendet, die dem richtlinienbasierten Routing ähnelt, um zu entscheiden, ob IP-Datenverkehr über einen VPN-Tunnel gesendet wird. Routing-Richtlinien haben Vorrang vor der Routing-Tabelle. In einer sich ändernden Netzwerkumgebung müssen Sie ständig bestehende Richtlinien überprüfen und die VPN-Verbindungen aktualisieren.

Bei routenbasiertem VPN legt die Routing-Tabelle fest, ob bestimmter Datenverkehr in den VPN-Tunnel gesendet werden soll oder nicht. Um die Routing-Tabelle zu verwenden, weisen Sie jedem Endgerät, in diesem Fall Ihren XG Firewall Appliances, eine virtuelle Tunnelschnittstelle (VTI) zu. Dadurch ähnelt das Einrichten eines Tunnels dem Verbinden von zwei Schnittstellen. Sie können Tunnelschnittstellen wie jede andere virtuelle Netzwerkschnittstelle in Konfigurationen verwenden. Auf diese Weise können Sie statische und richtlinienbasierte Routen einrichten.

Jede virtuelle Tunnelschnittstelle ist einem einzelnen Tunnel und einer einzelnen XG Firewall Appliance mit seiner Verschlüsselungsdomäne zugeordnet. Die XG Firewall auf der Gegenstelle sollte auch eine Tunnelschnittstelle verwenden. Der gesamte Datenverkehr, der für die Verschlüsselungsdomäne der Gegenstellen-Appliance bestimmt ist, wird über die zugehörige Tunnelschnittstelle geleitet.

Um ein routenbasiertes VPN einzurichten, gehen Sie folgendermaßen vor:

  1. Fügen Sie eine IPsec-Verbindung für Ihre XG Firewall mit Verbindungstyp Tunnelschnittstelle hinzu, wobei die WAN-Schnittstelle als Lausch-Port verwendet wird.
  2. Weisen Sie der automatisch erstellten Tunnelschnittstelle, genannt xfrm, eine IP-Adresse zu.
  3. Fügen Sie die erforderlichen Firewall- oder NAT-Regeln hinzu.
  4. Erstellen Sie mithilfe der virtuellen Tunnelschnittstelle eine statische, dynamische oder SD-WAN-Route.
  5. Wiederholen Sie die ersten vier Schritte für die XG Firewall der Gegenstelle.

Routenbasierte VPN-Tunnel funktionieren in den meisten Fällen nicht mit richtlinienbasierten VPN-Tunneln zusammen, daher sollten Sie sie nicht mischen.