5
Die Firewall-Regeln zur Erzeugung von VPN-Regeln sind auch dann aktiv, wenn die eigentliche
Firewall-Funktion im Gerät nicht benötigt wird und ausgeschaltet ist!
1
Als Firewall-Aktion muss auf jeden Fall "Übertragen" gewählt werden.
1
Als Quelle und Ziel für die Verbindung können einzelne Stationen, bestimmte IP-Adressbereiche oder ganze
IP-Netzwerke eingetragen werden.
5
Die Zielnetze müssen auf jeden Fall in der IP-Routing-Tabelle definiert sein, damit der Router in den Geräten
die entsprechenden Datenpakete in das andere Netz weiterleiten kann. Die dort schon vorhandenen Einträge
können Sie nutzen und nur ein übergeordnetes Netzwerk als Ziel eintragen. Die Schnittmenge aus dem Eintrag
des Zielnetzes in der Firewall und den untergeordneten Einträgen in der IP-Routing-Tabelle fließt in die
Netzbeziehungen für die VPN-Regeln ein.
Beispiel: In der IP-Routing-Tabelle sind die Zielnetze 10.2.1.0/24, 10.2.2.0/24 und 10.2.3.0/24 eingetragen, die alle
über den Router VPN-GW-2 erreichbar sind. In der Firewall reicht ein Eintrag mit dem Zielnetz 10.2.0.0/16, um die
drei gewünschten Subnetze in die VPN-Regeln einzubeziehen.
5
Die Quell- und Zielnetze müssen auf beiden Seiten der VPN-Verbindung übereinstimmend definiert werden.
Es ist z. B. nicht möglich, einen größeren Ziel-Adressbereich auf einen kleineren Quell-Adressbereich auf der
Gegenseite abzubilden. Maßgebend sind dabei die in den VPN-Regeln gültigen IP-Adressbereiche, nicht die
in den Firewall-Regeln eingetragenen Netze. Diese können aufgrund der Schnittmengenbildung durchaus
von den Netzbeziehungen in den VPN-Regeln abweichen.
1
Je nach Bedarf kann die VPN-Verbindung zusätzlich auf bestimmte Dienste oder Protokolle eingeschränkt werden.
So kann die VPN-Verbindung z. B. nur auf die Nutzung für ein Windows-Netzwerk reduziert werden.
5
Verwenden Sie für diese Einschränkungen eigene Regeln, die nur für die Firewall gelten und nicht zur Erzeugung
von VPN-Regeln herangezogen werden. Kombinierte Firewall/VPN-Regeln können sehr leicht komplex und schwer
überschaubar werden.
10.5.9 Konfiguration mit LANconfig
Dieser Anschnitt zeigt die Konfiguration einer LAN-LAN-Kopplung mit zusätzlichen Subnetzen mit Hilfe von LANconfig.
In diesem Abschnitt wird das VPN-Gateway 1 konfiguriert, die Einstellung von Gateway 2 wird anschließend mit Hilfe
von WEBconfig demonstriert.
Referenzhandbuch
10 Virtual Private Networks - VPN
553