Sophos UTM: So konfigurieren Sie einen Site-zu-Site-IPsec-Tunnel

Übersicht

In diesem Artikel wird erläutert, wie ein IPsec-Tunnel zwischen zwei UTMs eingerichtet wird.

Diese Anleitung gilt für folgende Sophos Produkte und Versionen:
Sophos UTM – SG 105, SG 115, SG 125, SG 135, SG 210, SG 230, SG 310, SG 330, SG 430, SG 450, SG 550, SG 650

So erstellen Sie einen IPsec-Tunnel

In diesem Szenario erstellen wir einen IPsec-Tunnel zwischen zwei UTMs. Eine UTM ist geNATet und kann nur Verbindungen initiieren, während die andere nur für Antworten eingerichtet ist.

Seite A

Die IP dieser Site ist nicht geNATet, das Gerät sitzt am Rande des Netzwerks und fungiert als Server für eingehende Verbindungen.

Erstellen Sie den Remote Gateway

1. Melden Sie sich am WebAdmin der Sophos UTM an.

2. Navigieren Sie zu Site-to-Site VPN > IPsec > Remote Gateways.

3. Füllen Sie die Einstellungen wie folgt aus:

4. Erstellen Sie den Namen.

5. Der Gateway-Typ sollte nur antworten (Respond Only), der andere Standort ist geNATed und muss die Verbindung initiieren.

6. Authentifizierungstyp ist Preshared Key.

7. Füllen Sie den Schlüssel aus und wiederholen Sie ihn, dieser muss mit dem auf der anderen Seite verwendeten Schlüssel übereinstimmen.

8. Füllen Sie für die Remote-Netzwerke die Subnetze aus, die über den IPsec-Tunnel gemeinsam genutzt werden.

9. Klicken Sie auf Speichern.

 

Wählen Sie die IPsec Richtlinie aus

Die IPSec-Richtlinie definiert die Verschlüsselung und andere Sicherheitsparameter, die vom IPsec-Tunnel verwendet werden.

  1. Navigieren Sie zu Site-to-Site VPN > IPsec > Policies
  2. Beide UTMs müssen dieselbe Richtlinie verwenden.
  3. Sie können neben der Richtlinie auf Bearbeiten klicken und überprüfen, ob sie übereinstimmen.

 policies

Erstellen Sie die IPsec-Verbindung

Dadurch wird der IPsec-Tunnel erstellt, indem ein Remote-Gateway und eine Richtlinie ausgewählt werden und definiert wird, welche lokalen Netzwerke auf den Tunnel zugreifen können.

1. Navigieren Sie zu Site-to-Site-VPN> IPsec> Connections.

2. Füllen Sie die Einstellungen wie folgt aus:

 IPsec1

3. Füllen Sie den Namen für den Tunnel aus.

4. Wählen Sie das Remote-Gateway aus, das wir zuvor erstellt haben.

5. Die lokale Schnittstelle sollte das Gateway sein, das zum Herstellen der IPsec-Verbindung verwendet wird, normalerweise die WAN-Schnittstelle.

6. Wählen Sie die Richtlinie aus, die für Ihre Umgebung am besten geeignet ist. Die Richtlinien auf beiden Geräten müssen übereinstimmen.

7. Definieren Sie die lokalen Netzwerke, die Zugriff auf den IPsec-Tunnel haben.

8. Aktivieren Sie die Option Automatische Firewallregeln, andernfalls müssen Sie die Firewallregeln manuell erstellen, um den Datenverkehr zwischen Remotesubnetzen zuzulassen.

9. Klicken Sie auf Speichern.

 

Seite B

Die IP dieser Seite ist geNATet. Die UTM sitzt hinter einem anderen Router und kann eingehende Verbindungen nicht annehmen.

Erstellen Sie das Remote-Gateway

Dies definiert die entfernte Adresse, mit der sich die UTM verbindet.

1. Melden Sie sich am WebAdmin der Sophos UTM an.

2. Navigieren Sie zu Site-to-Site-VPN> IPsec> Remote-Gateways.

3. Füllen Sie die Einstellungen wie folgt aus:


IPsec2

4. Erstellen Sie den Namen.

5. Der Gateway-Typ sollte die Verbindung initiieren, da er geNATed ist und nicht auf eingehende IPsec-Verbindungen antworten kann.

6. Erstellen Sie für das Gateway ein Netzwerkobjekt, um die öffentliche IP-Adresse der anderen UTM an Standort A zu definieren.

7. Authentifizierungstyp ist Preshared Key.

8. Füllen Sie den Schlüssel aus und wiederholen Sie ihn, dieser muss mit dem auf der anderen Seite verwendeten Schlüssel übereinstimmen.

9. Der VPN-ID-Typ kann auf IP-Adresse bleiben.

10. Die VPN-ID sollte ausgefüllt werden, um die öffentliche IP-Adresse des Geräts ohne NAT anzuzeigen. Dies wird die Verbindung von Site B zu Site A identifizieren.

11. Füllen Sie für die Remote-Netzwerke die Subnetze aus, die über den IPsec-Tunnel gemeinsam genutzt werden.

12. Klicken Sie auf Speichern.

Wählen Sie die Ipsec-Richtlinie aus

Die IPSec-Richtlinie definiert die Verschlüsselung und andere Sicherheitsparameter, die vom IPsec-Tunnel verwendet werden.

1. Navigieren Sie zu Site-to-Site-VPN> IPsec> Policies.

2. Beide UTMs müssen dieselbe Richtlinie verwenden.

3. Sie können neben der Richtlinie auf Bearbeiten klicken und überprüfen, ob sie übereinstimmen.

Erstellen Sie eine IPsec-Verbindung

Dadurch wird der IPsec-Tunnel erstellt, indem ein Remote-Gateway und eine Richtlinie ausgewählt werden und definiert wird, welche lokalen Netzwerke auf den Tunnel zugreifen können.

1. Navigieren Sie zu Site-to-Site-VPN> IPsec> Connections

2. Füllen Sie die Einstellungen wie folgt aus:

 IPsec4

3. Geben Sie einen Namen für den Tunnel an

4. Wählen Sie den Remote Gateway aus, welcher gerade erstellt wurde

5. Die lokale Schnittstelle sollte das Gateway sein, das zum Herstellen der IPsec-Verbindung verwendet wird, normalerweise die WAN-Schnittstelle

6. Wählen Sie dieselbe Richtlinie aus, die für Site A verwendet wurde.

7. Definieren Sie die lokalen Netzwerke, die Zugriff auf den IPsec-Tunnel haben.

8. Aktivieren Sie die Option Automatische Firewallregeln, andernfalls müssen Sie die Firewallregeln manuell erstellen, um den Datenverkehr zwischen Remotesubnetzen zuzulassen.

9. Klicken Sie auf Speichern.

Sobald die Verbindung erstellt wurde, können Sie den Status überwachen, indem Sie zu Site-to-Site-VPN navigieren. Die Farbe des linken Symbols der Verbindung zeigt Grün für eine erfolgreiche Verbindung oder Rot, wenn Fehler auftreten.

ipsecdone

Bitte geben Sie die Zeichenfolge in das nachfolgende Textfeld ein

Die mit einem * markierten Felder sind Pflichtfelder.