Routen-basiertes VPN erstellen

Sie wollen ein routen-basiertes VPN (RBVPN) zwischen der Zentrale (HO) und der Zweigstelle (BO) erstellen und ausrollen, wobei Datenverkehr in beide Richtungen zulässig ist.

Einleitung

In diesem Szenario initiiert die Zweigstelle die Verbindung. Sie verwenden IPv4, das IPsec-Profil ist IKEv2 und Sie verwenden RSA-Schlüssel für die Authentifizierung. Sie fügen eine statische Route hinzu.

Anmerkung Die hier verwendeten Netzwerkadressen sind nur Beispiele. Verwenden Sie Ihre Netzwerkadressen, wenn Sie Ihr routen-basiertes VPN erstellen.

Das müssen Sie tun:

  • Das RBVPN der Zentrale konfigurieren. Sie müssen LANs definieren, einen RBVPN-Tunnel erstellen, die xfrm-Schnittstelle bearbeiten, Firewallregeln für eingehenden und ausgehenden Datenverkehr erstellen und eine statische Route erstellen.
  • Das RBVPN der Zweigstelle konfigurieren. Sie müssen LANs definieren, einen RBVPN-Tunnel erstellen, die xfrm-Schnittstelle bearbeiten, Firewallregeln für eingehenden und ausgehenden Datenverkehr erstellen und eine statische Route erstellen.

Sie können auch Ihre Verbindung überprüfen.

Netzwerkdiagramm routen-basiertes VPN


Netzwerkdiagramm routen-basiertes VPN

Konfiguration von Zentrale und Zweigstelle

Wenn Sie eine Konfiguration für Hauptgeschäfts- und Zweigstelle haben, fungiert die Firewall der Zweigstelle normalerweise als Tunnelinitiator. Die Firewall in der Zentrale fungiert als Antwortgeber. Die Gründe dafür sind folgende:
  • Da die Anzahl der Zweigstellen variiert, empfehlen wir, dass jede Zweigstelle selbst versucht sich zu verbinden, anstatt dass die Zentrale versucht, sich mit allen Zweigstellen zu verbinden.
  • Wenn die Zweigstellen-Appliance mit einer dynamischen IP-Adresse konfiguriert ist, kann die Appliance in der Zentrale die Verbindung nicht initiieren.

    Wenn Sie jedoch dynamisches DNS (DDNS) in der XG Firewall der Zentrale konfigurieren, kann die Appliance in der Zentrale die Verbindung initiieren. Weitere Informationen finden Sie unter Hinzufügen eines dynamischen DNS-Anbieters.

LANs in der Zentrale festlegen

Erstellen Sie Hosts für die Zentrale und das Netzwerk der Zweigstelle.

  1. Gehen Sie zu Hosts und Dienste > IP-Host und klicken Sie auf Hinzufügen.
  2. Legen Sie die lokalen LAN-Einstellungen fest.
    OptionBezeichnung

    Name

    LAN_Zentrale

    IP-Version

    IPv4

    Typ

    Netzwerk

    IP-Adresse

    192.168.1.0

    Subnetz

    /24 (255.255.255.0)

    Beispiel:

    IP-Host hinzufügen
  3. Klicken Sie auf Speichern.
  4. Klicken Sie auf Hinzufügen.
  5. Legen Sie die entfernten LAN-Einstellungen fest.
    OptionBezeichnung

    Name

    LAN_Filiale

    IP-Version

    IPv4

    Typ

    Netzwerk

    IP-Adresse

    192.168.3.0

    Subnetz

    /24 (255.255.255.0)
  6. Klicken Sie auf Speichern.

Routen-basierten VPN-Tunnel erstellen (Zentrale)

Um einen routen-basierten VPN-Tunnel zu erstellen, gehen Sie folgendermaßen vor:
  1. Gehen Sie zu VPN > IPsec-Verbindungen und klicken Sie auf Hinzufügen.
  2. Geben Sie einen Namen ein.
  3. Legen Sie allgemeine Einstellungen fest.
    Anmerkung Sie können hier keine Firewallregel für routen-basiertes VPN erstellen.
    OptionBezeichnung

    IP-Version

    Der Tunnel leitet nur die Daten weiter, welche die angegebene IP-Version verwenden.

    Wählen Sie IPv4.

    Verbindungstyp

    Wählen Sie Tunnelschnittstelle aus. Dadurch wird eine Tunnelschnittstelle zwischen zwei Endpunkten erstellt. Die Schnittstelle heißt xfrm, gefolgt von einer Zahl.

    Gateway-Typ

    Wählen Sie den folgenden Gateway-Typ aus:

    Nur antworten Hält die Verbindung in Bereitschaft, um auf eingehende Anfragen zu antworten.

    Beim Speichern aktivieren

    Wählen Sie diese Option aus. Sie aktiviert die Verbindung, sobald Sie auf Speichern klicken.
  4. Legen Sie Verschlüsselungseinstellungen fest.
    OptionBezeichnung

    Richtlinie

    IPsec-Profil, das für den Datenverkehr verwendet werden soll.

    Wählen Sie IKEv2 aus.

    Authentifizierung-Typ

    Wählen Sie die folgende Authentifizierungsmethode aus:

    RSA-Schlüssel: Authentifiziert Endgeräte mithilfe von RSA-Schlüsseln.

    Der lokale RSA-Schlüssel wird automatisch erzeugt. Sie müssen den RSA-Schlüssel aus XG Firewall in der Zweigstelle kopieren und einfügen.
  5. Legen Sie Einstellungen für das lokale Gateway fest.
    OptionBezeichnung

    Lausch-Schnittstelle

    Schnittstelle, die auf Verbindungsanfragen lauscht.

    Wählen Sie die WAN-Schnittstelle (Port 2-172.20.120.10).
  6. Legen Sie Einstellungen für das entfernte Gateway fest.
    OptionBezeichnung

    Gateway-Adresse

    Geben Sie die WAN-IP-Adresse der XG Firewall in der Zentrale ein (172.20.120.15).
    Anmerkung Sie müssen eine Gateway-Adresse eingeben, da der Platzhalter * für routen-basiertes VPN nicht unterstützt wird. In diesem Szenario verwenden Sie die WAN-IP der XG Firewall in der Zweigstelle. Wenn Sie DDNS konfigurieren, können Sie die DNS-Adresse der XG Firewall in der Zweigstelle verwenden.

    Beispiel:

  7. Klicken Sie auf Speichern.

Gehen Sie zu IPsec-Richtlinien und stellen Sie sicher, dass Dead Peer Detection aktiviert ist. Wir empfehlen Ihnen, eine der folgenden Aktionen auszuwählen, wenn die Gegenstelle (Zweigstelle) nicht erreichbar ist:

  • Halten
  • Verbindung trennen

xfrm-Schnittstelle bearbeiten (Zentrale)

Die xfrm-Schnittstelle ist eine virtuelle Tunnelschnittstelle, die XG Firewall auf der WAN-Schnittstelle erstellt, wenn Sie eine routen-basierte VPN-Verbindung einrichten.

  1. Gehen Sie zu Netzwerk > Schnittstellen.
  2. Geben Sie eine IP-Adresse und ein Subnetz an.

    3.3.3.3/24

    Beispiel:

  3. Klicken Sie auf Speichern.

Firewallregeln hinzufügen (Zentrale)

Erstellen Sie Firewallregeln für eingehenden und ausgehenden VPN-Datenverkehr.

  1. Gehen Sie zu Regeln und Richtlinien > Firewallregeln. Wählen Sie Protokoll IPv4 aus und wählen Sie Firewallregel hinzufügen. Wählen Sie Neue Firewallregel aus.
  2. Legen Sie die Einstellungen fest.
    OptionBezeichnung
    Regelname Eingehend_zulassen
    Quellzonen VPN
    Quellnetzwerke und Geräte LAN_Filiale
    Zielzonen LAN
    Zielnetzwerke LAN_Zentrale

    Beispiel:

  3. Wählen Sie Firewallverkehr protokollieren aus.
  4. Klicken Sie auf Speichern.
  5. Wählen Sie Protokoll IPv4 aus und wählen Sie Firewallregel hinzufügen. Wählen Sie Neue Firewallregel aus.
  6. Legen Sie die Einstellungen fest.
    OptionBezeichnung
    Regelname

    Ausgehend_zulassen
    Quellzonen

    LAN
    Quellnetzwerke und Geräte

    LAN_Zentrale
    Zielzonen

    VPN
    Zielnetzwerke

    LAN_Filiale
  7. Wählen Sie Firewallverkehr protokollieren aus.
  8. Klicken Sie auf Speichern.

Statische Route hinzufügen (Zentrale)

  1. Gehen Sie zu Routing > Statisches Routing und klicken Sie auf Hinzufügen unter IPv4-Unicast-Route.
  2. Geben Sie die folgenden Routendetails ein:
    OptionBezeichnung

    Ziel-IP/Netzmaske

    192.168.3.0/24

    Schnittstelle

    xfrm1-3.3.3.3

    Beispiel:

  3. Klicken Sie auf Speichern.

LANs in der Zweigstelle erstellen

Erstellen Sie Hosts für die Zweigstelle und das Netzwerk der Zentrale.

  1. Gehen Sie zu Hosts und Dienste > IP-Host und klicken Sie auf Hinzufügen.
  2. Legen Sie die lokalen LAN-Einstellungen fest.
    OptionBezeichnung

    Name

    LAN_Filiale

    Typ

    Netzwerk

    IP-Adresse

    192.168.3.0

    Subnetz

    /24 (255.255.255.0)
  3. Legen Sie die entfernten LAN-Einstellungen fest.
    OptionBezeichnung

    Name

    LAN_Zentrale

    Typ

    Netzwerk

    IP-Adresse

    192.168.1.0

    Subnetz

    /24 (255.255.255.0)

Routen-basierten VPN-Tunnel erstellen (Zweigstelle)

Um einen routen-basierten VPN-Tunnel zu erstellen, gehen Sie folgendermaßen vor:
  1. Gehen Sie zu VPN > IPsec-Verbindungen und klicken Sie auf Hinzufügen.
  2. Geben Sie einen Namen ein.
  3. Legen Sie allgemeine Einstellungen fest.
    OptionBezeichnung
    IP-Version

    Der Tunnel leitet nur die Daten weiter, welche die angegebene IP-Version verwenden.

    Wählen Sie IPv4.
    Verbindungstyp

    Wählen Sie Tunnelschnittstelle aus. Dadurch wird eine Tunnelschnittstelle zwischen zwei Endpunkten erstellt. Die Schnittstelle heißt xfrm, gefolgt von einer Zahl.
    Gateway-Typ

    Wählen Sie den folgenden Gateway-Typ aus:

    Die Verbindung initiieren: Stellt die Verbindung jedes Mal her, wenn VPN-Dienste oder die Appliance neu starten.
    Beim Speichern aktivieren Wählen Sie diese Option aus. Sie aktiviert die Verbindung, sobald Sie auf Speichern klicken.
  4. Legen Sie Verschlüsselungseinstellungen fest.
    OptionBezeichnung
    Richtlinie IPsec-Profil, das für den Datenverkehr verwendet werden soll.

    Wählen Sie IKEv2 aus.
    Authentifizierung-Typ

    Wählen Sie die folgende Authentifizierungsmethode aus:

    RSA-Schlüssel: Authentifiziert Endgeräte mittels RSA-Schlüsseln.

    Der lokale RSA-Schlüssel wird automatisch erzeugt. Sie müssen den RSA-Schlüssel aus XG Firewall in der Zentrale kopieren und einfügen.
  5. Legen Sie Einstellungen für das lokale Gateway fest.
    OptionBezeichnung
    Lausch-Schnittstelle Schnittstelle, die auf Verbindungsanfragen lauscht.

    Wählen Sie die WAN-Schnittstelle (Port 2-172.20.120.15).
  6. Legen Sie Einstellungen für das entfernte Gateway fest.
    OptionBezeichnung
    Gateway-Adresse Geben Sie die WAN-IP-Adresse der XG Firewall in der Zentrale ein (172.20.120.10).
    Anmerkung Sie müssen eine Gateway-Adresse eingeben, da der Platzhalter * für routen-basiertes VPN nicht unterstützt wird. In diesem Szenario verwenden Sie die WAN-IP der XG Firewall in der Zentrale.
  7. Klicken Sie auf Speichern.

Gehen Sie zu IPsec-Richtlinien und stellen Sie sicher, dass Dead Peer Detection aktiviert ist. Wählen Sie die folgende Aktion aus, die ausgeführt werden soll, wenn die Gegenstelle (Zentrale) nicht erreichbar ist: Neu initiieren.

xfrm-Schnittstelle bearbeiten (Zweigstelle)

Die xfrm-Schnittstelle ist eine virtuelle Tunnelschnittstelle, die XG Firewall auf der WAN-Schnittstelle erstellt, wenn Sie eine routen-basierte VPN-Verbindung einrichten.

  1. Gehen Sie zu Netzwerk > Schnittstellen.
  2. Geben Sie eine IP-Adresse und ein Subnetz an.

    3.3.3.4/24

  3. Klicken Sie auf Speichern.

Firewallregeln hinzufügen (Zweigstelle)

Erstellen Sie Firewallregeln für eingehenden und ausgehenden VPN-Datenverkehr.

  1. Gehen Sie zu Regeln und Richtlinien > Firewallregeln. Wählen Sie Protokoll IPv4 aus und wählen Sie Firewallregel hinzufügen. Wählen Sie Neue Firewallregel aus.
  2. Legen Sie die Einstellungen fest.
    OptionBezeichnung

    Regelname

    Eingehend_zulassen

    Quellzonen

    VPN

    Quellnetzwerke und Geräte

    LAN_Zentrale

    Zielzonen

    LAN
    Zielnetzwerke

    LAN_Filiale
  3. Wählen Sie Firewallverkehr protokollieren aus.
  4. Klicken Sie auf Speichern.
  5. Wählen Sie Protokoll IPv4 aus und wählen Sie Firewallregel hinzufügen. Wählen Sie Neue Firewallregel aus.
  6. Legen Sie die Einstellungen fest.
    OptionBezeichnung

    Regelname

    Ausgehend_zulassen

    Quellzonen

    LAN

    Quellnetzwerke und Geräte

    LAN_Filiale

    Zielzonen

    VPN
    Zielnetzwerke

    LAN_Zentrale
  7. Klicken Sie auf Speichern.

Statische Route hinzufügen (Zweigstelle)

  1. Gehen Sie zu Routing > Statisches Routing und klicken Sie auf Hinzufügen unter IPv4-Unicast-Route.
  2. Geben Sie die folgenden Routendetails ein:
    OptionBezeichnung

    Ziel-IP/Netzmaske

    192.168.1.0/24

    Schnittstelle

    xfrm1-3.3.3.4
  3. Klicken Sie auf Speichern.

Konnektivität prüfen

  • Gehen Sie zu Verwaltung > Appliance-Zugriff. Wählen Sie für die VPN-Zone Ping/Ping6.
  • Gehen Sie zu Regeln und Richtlinien > Firewallregeln. Stellen Sie sicher, dass Firewallverkehr protokollieren auf den von Ihnen erstellten Firewallregeln aktiviert ist.

Gehen Sie von der Zentrale aus folgendermaßen vor:

  1. Pingen Sie kontinuierlich ein Gerät im LAN der Zweigstelle an.
    Öffnen Sie unter Windows die Kommandozeile und tippen Sie ein: ping 192.168.3.10 -t
  2. Auf XG Firewall gehen Sie zu Diagnose > Paketerfassung > Konfigurieren.
    Geben Sie in BPF-Ausdruck Folgendes ein: host 192.168.1.10 and proto ICMP
  3. Klicken Sie auf Speichern.
  4. Aktivieren Sie Paketerfassung.
    Wenn der Ping erfolgreich ist, können Sie sehen, dass der ICMP-Datenverkehr aus der xfrm-Schnittstelle hinausgeht.
  5. Gehen Sie zu Protokollansicht.
    Suchen Sie nach 192.168.1.10
    Wenn der Ping erfolgreich ist, können Sie sehen, dass der ICMP-Datenverkehr von der xfrm-Schnittstelle zur Ziel-IP-Adresse 192.160.1.10 geht.

Wählen Sie zur weiteren Fehlerbehebung die ID der Firewallregel aus, und wählen Sie Firewallregel filtern aus. Dadurch wird die Firewallregel in der Web-Admin-Oberfläche geöffnet, in der Sie Ihre Einstellungen überprüfen können.