Standort-zu-Standort IPsec-VPN erstellen

Sie wollen zwischen der Zentrale und der Zweigstelle ein IPsec-VPN erstellen und einrichten. Sie verwenden einen verteilten Schlüssel für die Authentifizierung.

Zielsetzungen

Wenn Sie diese Einheit abschließen, wissen Sie, wie Sie folgendes tun:
  • Konfigurieren Sie das IPsec-VPN der Zentrale. Dafür müssen Sie LANs festlegen, eine IPsec-Verbindung hinzufügen, eine Firewallregel bearbeiten und eine Firewallregel erstellen.
  • Konfigurieren Sie das IPsec-VPN der Zweigstelle.
  • Verbindung prüfen.

LANs in der Zentrale festlegen

Sie erstellen Hosts für die Zentralen- und Zweigstellennetzwerke in der Zentrale.

  1. Gehen Sie zu Hosts und Dienste > IP-Host und klicken Sie auf Hinzufügen.
  2. Erstellen Sie einen Host für das LAN der Zentrale.
    LAN der Firmenzentrale
  3. Klicken Sie auf Speichern.
  4. Klicken Sie auf Hinzufügen.
  5. Erstellen Sie einen Host für das LAN der Zweigstelle.
    Zweigstellen-LAN
  6. Klicken Sie auf Speichern.

IPsec-Verbindung in der Zentrale hinzufügen

Sie erstellen und aktivieren eine IPsec-Verbindung in der Zentrale. Die Verbindung gibt die Endpunkt- und Netzwerkinformationen und einen verteilten Schlüssel an.

  1. Gehen Sie zu VPN > IPsec-Verbindungen und klicken Sie auf Hinzufügen.
  2. Legen Sie allgemeine Einstellungen fest.

    Um eine Firewallregel für die Verbindung zu erstellen, aktivieren Sie Firewallregel erstellen.

    Allgemeine IPsec-Einstellungen
  3. Legen Sie Verschlüsselungseinstellungen fest.
    Anmerkung Notieren Sie sich den verteilten Schlüssel, da Sie ihn später brauchen werden, wenn Sie die Zweigstellenverbindung konfigurieren.
    IPsec-Verschlüsselung
  4. Legen Sie Einstellungen für das lokale Gateway fest.
    Lokales IPsec-Gateway
  5. Legen Sie Einstellungen für das entfernte Gateway fest.
    Die Verbindung soll sich mit jeder Schnittstelle des Remote-Gateways verbinden können, deshalb geben Sie einen Platzhalter (*) an.
    IPsec-Remote-Gateway
  6. Klicken Sie auf Speichern.
    Das Verbindung wird in der Liste der IPsec-Verbindungen angezeigt.
  7. Klicken Sie auf die Statusanzeige (Inaktiv-Statusanzeige), um die Verbindung zu aktivieren.
    Liste der IPsec-Verbindungen

Firewallregel bearbeiten

Bearbeiten Sie die Firewallregel, die Sie erstellt haben, als Sie die IPsec-Verbindung erstellt haben. Diese Regel trifft auf ausgehenden VPN-Verkehr zu.

  1. Gehen Sie zu Firewall und klicken Sie auf die Regel IPsec HQ to Branch.
    IPsec-Regel für Firmenzentrale-zu-Zweigstelle
  2. Ändern Sie den Namen der Regel und legen Sie Einstellungen fest.
    Ausgehende VPN-Regel
  3. Klicken Sie auf Speichern.

Firewallregel hinzufügen

Erstellen Sie eine Regel für eingehenden VPN-Verkehr.

  1. Gehen Sie zu Regeln und Richtlinien > Firewallregeln. Wählen Sie Protokoll IPv4 oder IPv6 aus und wählen Sie Firewallregel hinzufügen. Wählen Sie Neue Firewallregel aus.
  2. Legen Sie die Einstellungen fest.
    OptionBezeichnung
    Regelname Eingehender VPN-Verkehr
    Quellzonen VPN
    Quellnetzwerke und Geräte Branch_LAN
    Zielzonen LAN
    Zielnetzwerke HQ_LAN
  3. Klicken Sie auf Speichern.

LANs in der Zweigstelle erstellen

Sie erstellen Hosts für die Zweigstelle und die Netzwerke der Zentrale in der Zweigstelle.

  1. Gehen Sie zu Hosts und Dienste > IP-Host und klicken Sie auf Hinzufügen.
  2. Legen Sie die lokalen LAN-Einstellungen fest.
    OptionBezeichnung
    Name Branch_LAN
    Typ Netzwerk
    IP-Adresse 192.168.3.0
  3. Legen Sie die entfernten LAN-Einstellungen fest.
    OptionBezeichnung
    Name HQ_LAN
    Typ Netzwerk
    IP-Adresse 192.168.2.0

IPsec-Verbindung in der Zweigstelle hinzufügen

Sie erstellen und aktivieren eine IPsec-Verbindung in der Zweigstelle.

  1. Gehen Sie zu VPN > IPsec-Verbindungen und klicken Sie auf Hinzufügen.
  2. Legen Sie allgemeine Einstellungen fest.
    OptionBezeichnung
    Name Branch_to_HQ
    Verbindungstyp Standort-zu-Standort
    Gateway-Typ Initiieren
    Firewallregel erstellen Aktiviert
  3. Legen Sie Verschlüsselungseinstellungen fest.
    OptionBezeichnung
    Richtlinie DefaultBranchOffice
    Authentifizierung-Typ Verteilter Schlüssel
  4. Geben Sie den verteilten Schlüssel ein und bestätigen Sie ihn.
    Anmerkung Stellen Sie sicher, dass Sie denselben verteilten Schlüssel wie in der Zentrale verwenden.
  5. Legen Sie Einstellungen für das lokale Gateway fest.
    OptionBezeichnung
    Lausch-Schnittstelle Port1 – 10.118.96.115
    Lokales Subnetz Branch_LAN
  6. Legen Sie Einstellungen für das entfernte Gateway fest.
    OptionBezeichnung
    Gateway-Adresse *
    Entfernte ID IP-Adresse – 10.118.96.91
    Entferntes Subnetz HQ_LAN
  7. Klicken Sie auf Speichern.
    Das Verbindung wird in der Liste der IPsec-Verbindungen angezeigt.
  8. Klicken Sie auf die Statusanzeige (Inaktiv-Statusanzeige), um die Verbindung zu aktivieren.

Firewallregel bearbeiten

Bearbeiten Sie die Firewallregel, die Sie erstellt haben, als Sie die IPsec-Verbindung erstellt haben. Diese Regel trifft auf ausgehenden VPN-Verkehr zu.

  1. Gehen Sie zu Firewall und klicken Sie auf die Regel IPsec Branch to HQ.
  2. Legen Sie die Einstellungen fest.
    OptionBezeichnung
    Regelname Ausgehender VPN-Verkehr
    Quellzonen LAN
    Quellnetzwerke und Geräte Branch_LAN
    Zielzonen VPN
    Zielnetzwerke HQ_LAN
  3. Klicken Sie auf Speichern.

Firewallregel hinzufügen

Erstellen Sie eine Regel für eingehenden VPN-Verkehr.

  1. Gehen Sie zu Regeln und Richtlinien > Firewallregeln. Wählen Sie Protokoll IPv4 oder IPv6 aus und wählen Sie Firewallregel hinzufügen. Wählen Sie Neue Firewallregel aus.
  2. Legen Sie die Einstellungen fest.
    OptionBezeichnung
    Regelname Eingehender VPN-Verkehr
    Quellzonen VPN
    Quellnetzwerke und Geräte HQ_LAN
    Zielzonen LAN
    Zielnetzwerke Branch_LAN
  3. Klicken Sie auf Speichern.

Konnektivität prüfen

Sie überprüfen die Konnektivität von der Zentrale zur Zweigstelle und umgekehrt.

  • Überprüfen Sie von der Zentrale aus, dass Sie die Zweigstelle anpingen können.
    Öffnen Sie unter Windows die Kommandozeile und tippen Sie ping 192.168.3.0 ein.
  • Überprüfen Sie von der Zweigstelle aus, dass Sie die Zentrale anpingen können.
    Öffnen Sie unter Windows die Kommandozeile und tippen Sie ping 192.168.2.0 ein.
  • Klicken Sie in der Zentrale auf Firewall und sehen Sie sich den Verkehr an.
  • Klicken Sie in der Zweigstelle auf Firewall und sehen Sie sich den Verkehr an.

Konfiguration von Zentrale und Zweigstelle

In einer Konfiguration von Zentrale und Zweigstelle initiiert die Firewall in der Zweigstelle den Tunnel und die Firewall in der Zentrale antwortet aus den folgenden Gründen:
  • Wenn die Zweigstellen-Appliance mit einer dynamischen IP-Adresse konfiguriert ist, kann die Appliance in der Zentrale die Verbindung nicht initiieren.
  • Da die Anzahl der Zweigstellen variiert, ist es empfehlenswert, dass jede Zweigstelle selbst versucht sich zu verbinden, anstatt dass die Zentrale versucht, sich mit allen Zweigstellen zu verbinden.