Wie man einen Standort-zu-Standort RED-Tunnel erstellt

Richten Sie einen Standort-zu-Standort RED-Tunnel zwischen zwei Sophos XG Firewall Appliances ein, ohne ein RED-Gerät einzurichten. Bei dieser Konfigurationsart agiert eine Appliance als Server und die andere als Client.

Zielsetzungen

Wenn Sie diese Einheit abschließen, wissen Sie, wie Sie folgendes tun:
  • Fügen Sie auf dem Server eine RED-Schnittstelle hinzu.
  • Erstellen Sie eine Client-Firewallkonfiguration.
  • Erstellen Sie statisches Routing, damit interne Netzwerke eine Route durch den RED-Tunnel haben.
  • Fügen Sie Firewallregeln für den Tunnelverkehr hinzu.

RED-Schnittstelle auf dem Server hinzufügen

Der Server wartet auf eingehende Verbindungen und das Client-Gerät initiiert die ausgehende Verbindung. Jedes Upstream-NAT kann eingehende Verbindungen stören, daher ist es besser, ein Nicht-NAT-Gerät auszuwählen, das als Server agiert.

  1. Gehen Sie auf dem Server-Gerät zu Systemdienste > RED und schalten Sie den RED Provisioning Service ein.
  2. Gehen Sie zu Netzwerk > Schnittstellen, klicken Sie auf Schnittstelle hinzufügen und wählen Sie hinzufügen aus.
  3. Legen Sie die Einstellungen fest.
    OptionBezeichnung
    Zweigstellenname Server
    Typ Firewall RED-Server
    Tunnel-ID Automatisch
    RED-IP 192.0.2.25
    Zone LAN
  4. Klicken Sie auf Speichern.

    Eine Bereitstellungsdatei wird für die Server-Firewall erzeugt.

  5. Finden Sie die RED-Schnittstelle in der Schnittstellenliste, klicken Sie auf die Menüschaltfläche Schaltfläche „Netzwerk bearbeiten“ und laden Sie die Bereitstellungsdatei herunter.
    Bereitstellungsdatei herunterladen
  6. Kopieren Sie die Datei auf einen Netzwerkort oder transportables Gerät, das Sie von der Client-Firewall aus erreichen können.

RED-Schnittstelle auf dem Client hinzufügen

  1. Gehen Sie zu Systemdienste > RED und schalten Sie den RED Provisioning Service ein.
  2. Gehen Sie zu Netzwerk > Schnittstellen, klicken Sie auf Schnittstelle hinzufügen und wählen Sie hinzufügen aus.
  3. Legen Sie die Einstellungen fest.
    OptionBezeichnung
    Zweigstellenname Client
    Typ Firewall RED-Client
    Firewall-IP/Hostname 192.0.2.25
    RED-IP 198.51.100.100
    Zone LAN
  4. Klicken Sie auf Datei auswählen und wählen Sie die Bereitstellungsdatei aus, die Sie vom Server heruntergeladen haben.
  5. Klicken Sie auf Speichern.

Statische Routen hinzufügen

Sie müssen statisches Routing auf beiden Firewalls konfigurieren, damit interne Netzwerke eine Route durch den RED-Tunnel haben.

  1. Gehen Sie auf der Server-Firewall zu Routing > Statisches Routing.
  2. Klicken Sie auf Hinzufügen, um eine IPv4-Unicast-Route zu erstellen.
  3. Legen Sie die Einstellungen fest.
    OptionBezeichnung
    Ziel­IP 192.168.100.0
    Gateway 172.173.0.1
    Schnittstelle reds1-192.0.2.25
  4. Gehen Sie zur Client-Firewall und legen Sie das gleiche Routing fest.

Firewallregel hinzufügen

Damit Datenverkehr zwischen zwei Firewalls fließen kann, müssen Sie eine LAN-zu-LAN- oder eine ähnliche Regel auf jeder Firewall erstellen.

Die folgenden Schritte werden auf der Server-Firewall und der Client-Firewall ausgeführt.

  1. Gehen Sie zu Regeln und Richtlinien > Firewallregeln. Wählen Sie IPv4 oder IPv6 und dann Firewallregel hinzufügen aus.
  2. Legen Sie die Einstellungen fest.
    OptionBezeichnung
    Regelname LAN zu LAN
    Quellzonen LAN
    Zielzonen LAN