BOVPN zwischen Cloud-verwalteten Fireboxen konfigurieren

Gilt für: Cloud-verwaltete Fireboxen

Um ein BOVPN zwischen zwei Cloud-verwalteten Fireboxen im selben WatchGuard Cloud-Konto zu konfigurieren, müssen Sie eine gemeinsame BOVPN-Konfiguration erstellen. Wenn Sie ein BOVPN zwischen zwei Cloud-verwalteten Fireboxen hinzufügen oder aktualisieren, werden die Einstellungen für die BOVPN-Konfiguration automatisch für beide Fireboxen zum Download bereitgestellt.

Um ein BOVPN zwischen Cloud-verwalteten Fireboxen zu konfigurieren, die sich nicht im selben WatchGuard Cloud-Konto befinden, müssen Sie das BOVPN für jede Firebox separat konfigurieren. Weitere Informationen finden Sie unter Konfigurieren Sie ein BOVPN für eine lokal verwaltete Firebox oder einen Drittanbieter-VPN-Endpoint.

Wenn Sie ein BOVPN zwischen zwei Cloud-verwalteten Fireboxen hinzufügen, konfigurieren Sie:

  • VPN-Gateways — Die externen Netzwerke, über die die beiden Geräte miteinander verbunden sind.
  • Zertifikat — (Optional) Ein IPSec Firebox-Zertifikat, das für die Tunnelauthentifizierung verwendet wird. Weitere Informationen finden Sie unter Zertifikate für die Branch-Office-VPN (BOVPN) Tunnel-Authentifizierung in der Fireware-Hilfe.
  • NAT — (Optional) Wenn Sie zwischen zwei Netzwerken, die denselben privaten IP-Adressbereich nutzen, einen BOVPN-Tunnel erstellen, kommt es zu einem IP-Adressenkonflikt. Um einen Tunnel ohne diesen Konflikt zu erstellen, können Sie für jeden Endpoint NAT zum VPN hinzufügen. NAT erstellt eine Zuordnung von einer oder mehreren IP-Adresse(n) in einem Bereich zu einem zweiten IP-Adressbereich derselben Größe. Jede IP-Adresse im ersten Bereich entspricht einer IP-Adresse im zweiten Bereich.
  • Netzwerkressourcen — Die Netzwerke, die Datenverkehr durch den Tunnel senden und empfangen können.
  • Virtuelle IP-Adresse — (Empfohlen) Erforderlich, wenn Sie Folgendes tun möchten:
  • Das BOVPN zu einer SD-WAN-Aktion hinzufügen.
  • Ein Null-Routen-BOVPN konfigurieren.
  • Auf Firebox-generierten Datenverkehr durch den Tunnel antworten. Das können Verbindungen mit Bezug auf DNS- und DHCP-Datenverkehr, Dimension, Syslog, SNMP, NTP und Authentifizierung (Active Directory, LDAP und RADIUS) sowie sonstige von der Firebox durch den Tunnel hergestellte Verbindungen zu anderen Ressourcen sein.

Mit Fireware v12.9 hat sich das Prüfverhalten der Firebox im Hinblick auf IP-Spoofing geändert. Der Datenverkehr von einer zweiten externen Schnittstelle wird als Spoofing-Angriff gewertet und verworfen. Virtuelle BOVPN-Schnittstellen werden ebenfalls auf IP-Spoofing überprüft und falls Sie keine IP-Adressen für virtuelle BOVPN-Schnittstellen konfiguriert haben, scheint der Datenverkehr von der öffentlichen IP eines Remote-Endpoints zu kommen. Weitere Informationen zu dieser Veränderung im Prüfverhalten für Spoofing-Angriffe finden Sie in der WatchGuard-Wissensdatenbank.

  • Einstellungen für das Bit Nicht fragmentieren (DF) aktivieren — (Optional) Steuern Sie, ob die Firebox die ursprüngliche Einstellung des DF-Bits im Header eines Pakets verwendet.
  • Tunnel MTU konfigurieren — (Optional) Verwenden einer benutzerdefinierten Maximum Transmission Unit (MTU).

Alle VPN-Sicherheitseinstellungen werden automatisch mit denselben Einstellungen konfiguriert, damit die Geräte eine Verbindung herstellen können.

BOVPNs und Routing

In der BOVPN-Konfiguration legen Sie fest, welche Netzwerkressourcen über den BOVPN-Tunnel zugänglich sind. Die Ressourcen, die Sie für einen Endpoint auswählen, werden zu statischen Routen auf dem anderen Endpoint, mit dem BOVPN als Gateway. Die Distanz (Kennzahl), die Sie für jede Ressource angeben, erscheint in der Routing-Tabelle. Anhand der Routing-Tabelle entscheidet die Firebox, ob der Datenverkehr durch den BOVPN-Tunnel geleitet werden soll.

Wenn Sie Netzwerkressourcen für beide Endpoints im selben Subnetz angeben möchten, müssen Sie NAT verwenden. Wenn Sie NAT nicht verwenden, können Sie den Datenverkehr zwischen privaten Netzwerken, die denselben IP-Adressbereich verwenden, nicht über einen BOVPN-Tunnel routen.

Für ein VPN zwischen einer Firebox und einem lokal verwalteten oder Drittanbieter-VPN-Endpoint:

  • Die Netzwerkressourcen, die Sie für den Remote-Endpoint angeben, bestimmen, welchen Datenverkehr die Firebox durch den Tunnel leitet. Diese werden zu statischen Routen auf der Cloud-verwalteten Firebox, mit dem BOVPN als Gateway.
  • Die Netzwerkressourcen, die Sie für die Firebox angeben, sind die Ressourcen, die der Remote-Endpoint durch den VPN-Tunnel an die Firebox leiten soll. Die Ressourcen, die Sie hier angeben, schränken den Datenverkehr, den die Firebox durch den VPN-Tunnel akzeptiert, nicht ein. Damit die Firebox VPN-Datenverkehr zu diesen Ressourcen empfangen kann, muss der Remote-Endpoint so konfiguriert sein, dass der Datenverkehr zu diesen IP-Adressen durch den Tunnel geleitet wird.

Virtuelle IP-Adressen

Eine virtuelle IP-Adresse ist eine IP-Adresse, die nicht mit einer physischen Schnittstelle verbunden ist. Bei einem BOVPN in WatchGuard Cloud, das eine virtuelle BOVPN-Schnittstelle ist, dient eine virtuelle IP-Adresse als Gateway (nächster Hop). Die virtuelle IP-Adresse wird für Firebox-generierten Datenverkehr und Antwortverkehr genutzt, der direkt an die virtuelle BOVPN-Schnittstelle gesendet wird.

Eine virtuelle IP-Adresse ist zwar nur in bestimmten Szenarien erforderlich, wir empfehlen jedoch, für ein BOVPN immer eine virtuelle IP-Adresse zu konfigurieren. Diese Konfiguration stellt sicher, dass der Datenverkehr wie erwartet durch den Tunnel geleitet wird.

Sie müssen die virtuelle IP-Adresse in folgenden Fällen konfigurieren:

SD-WAN

Bevor Sie ein BOVPN zu einer SD-WAN-Aktion hinzufügen können, müssen Sie das BOVPN mit /32 virtuellen IP-Adressen für beide Endpoints konfigurieren. BOVPN Link Monitoring ist implizit aktiviert, wenn Sie /32 Host-IP-Adressen als virtuelle IP-Adressen beider Endpoints konfigurieren. Ein BOVPN, bei dem das Link Monitoring nicht aktiviert ist (keine gültigen /32 virtuellen IP-Adressen für beide Endpoints), ist für die Auswahl in einer SD-WAN-Aktion nicht verfügbar.

Weitere Informationen über SD-WAN finden Sie unter SD-WAN konfigurieren.

Null-Routing

Wenn Sie eine BOVPN-Netzwerkressource mit Null-Route hinzufügen (0.0.0.0/0), wird eine Standardroute erstellt, die den gesamten Netzwerk-Datenverkehr (einschließlich des Datenverkehrs zu WatchGuard Cloud) durch den VPN-Tunnel leitet. Bei einer Cloud-verwalteten Firebox müssen Sie virtuelle IP-Adressen in der BOVPN-Konfiguration eingeben, damit der Rückverkehr den VPN-Tunnel nutzt.

Caution: Wenn Sie eine BOVPN-Netzwerkressource mit Null-Route hinzufügen und der Remote-VPN-Endpoint den Datenverkehr von der Cloud-verwalteten Firebox nicht an WatchGuard Cloud weiterleiten kann, verlieren Sie die Möglichkeit, die Firebox zu verwalten oder zu überwachen.

Firebox-generierter Datenverkehr

Die Firebox selbst generiert Datenverkehr durch den Tunnel. Von der Firebox generierter Datenverkehr wird auch als selbst erzeugter oder eigener Datenverkehr bezeichnet.

Sie müssen eine virtuelle /32-IP-Adresse für jeden Endpoint eingeben, damit der Antwortverkehr auf den Firebox-generierten Datenverkehr den VPN-Tunnel nutzt. Verwenden Sie die IP-Adresse nicht an anderer Stelle auf der Firebox. Sie müssen keine IP-Adresse aus den Tunnelrouten verwenden. Beispiele für Datenverkehr, der von der Firebox generiert wird, sind DNS- und DHCP-Datenverkehr, Dimension, syslog, SNMP, NTP, Authentifizierung (Active Directory, LDAP und RADIUS) und andere von der Firebox hergestellte Verbindungen zu Ressourcen über den Tunnel.

BOVPNs und Automatische Bereitstellung

Wenn Sie ein BOVPN hinzufügen, bearbeiten oder entfernen, erstellt WatchGuard Cloud automatisch eine neue Bereitstellung für beide Fireboxen zum Download. Für jede Firebox enthält die automatische Bereitstellung aktualisierte BOVPN-Einstellungen. Um sicherzustellen, dass die automatische Bereitstellung nur BOVPN-Konfigurationsänderungen enthält, können Sie BOVPN-Änderungen so lange nicht speichern, wie eines der Geräte andere, noch nicht bereitgestellte Konfigurationsänderungen aufweist.

Bevor Sie ein BOVPN für zwei Fireboxen im selben Konto hinzufügen, bearbeiten oder entfernen, vergewissern Sie sich, dass keine der beiden Fireboxen noch nicht bereitgestellte Änderungen aufweist.

BOVPNs zwischen Cloud-verwalteten Fireboxen im selben Konto hinzufügen

Sie können ein BOVPN auf der Seite BOVPN für eine bestimmte Firebox hinzufügen, oder Sie können es auf der Seite VPNs hinzufügen, die eine gemeinsame Konfigurationsseite ist. Weitere Informationen finden Sie unter BOVPNs für Cloud-verwaltete Fireboxen verwalten.

Hinzufügen eines BOVPN von WatchGuard Cloud aus:

  1. Verwenden Sie eine der folgenden Methoden, um die Seite BOVPN zu öffnen:
    • Wählen Sie Konfigurieren > VPNs, um BOVPNs für alle Fireboxen im aktuell ausgewählten Konto zu verwalten.
    • Um BOVPNs für eine bestimmte Firebox zu verwalten, klicken Sie auf der Seite Gerätekonfiguration auf die Kachel Branch-Office-VPN.
  2. Klicken Sie auf einer der beiden Seiten BOVPN auf die Kachel Branch-Office-VPN.
    Auf der Seite BOVPN werden die aktuell konfigurierten BOVPNs angezeigt.

Screen shot of the BOVPN page with no BOVPNs added

  1. Klicken Sie auf BOVPN hinzufügen.
    Die Seite BOVPN hinzufügen wird geöffnet.

Screen shot of the Add BOVPN page, name and type settings

  1. Geben Sie im Textfeld Name einen Namen für dieses BOVPN ein.
  2. Wählen Sie in der Dropdown-Liste VPN-Verbindungstyp die Option zum Herstellen einer Routenbasierten IPSec-Verbindung zu einer Cloud-verwalteten Firebox aus.
    Mit dieser Option enthalten die beiden Abschnitte Endpoint A und Endpoint B eine Liste von Fireboxen.

Die Option Routenbasierte IPSec-Verbindung zu einer Cloud-verwalteten Firebox hieß zuvor WatchGuard Cloud-verwaltete Firebox.

  1. Wählen Sie aus der Dropdown-Liste Adressenfamilie entweder IPv4-Adressen oder IPv6-Adressen aus.
    Falls Sie IPv6-Adressen auswählen, muss der andere BOVPN-Endpoint so konfiguriert sein, dass er IPv6 unterstützt.

Screen shot of the Define VPN endpoints settings

  1. Wählen Sie im Abschnitt Endpoint A eine Cloud-verwaltete Firebox in Ihrem Konto aus.
    Wenn Sie das BOVPN über eine Seite Gerätekonfiguration hinzugefügt haben, enthält die Liste Endpoint A nur eine Firebox.
  2. Wählen Sie im Abschnitt Endpoint B eine andere Cloud-verwaltete Firebox in diesem Konto aus.
    In der Liste Endpoint B werden alle Cloud-verwalteten Fireboxen desselben Kontos angezeigt.
  3. Klicken Sie auf Weiter.
    Auf der Seite VPN-Gateways kann für jede Firebox festgelegt werden, ob ein IPSec Firebox-Zertifikat verwendet und externe Netzwerke genutzt werden sollen.

Screen shot of the VPN Gateways settings

  1. (Optional) Um ein IPSec Firebox-Zertifikat für diese VPN-Verbindung zu verwenden:
    1. Wählen Sie IPSec Firebox-Zertifikat verwenden.
      Es wird eine Zertifikatsliste angezeigt.
    2. Wählen Sie ein Zertifikat aus.
  1. Wählen Sie für jeden Endpoint mindestens ein externes Netzwerk aus, mit dem sich die Endpoints verbinden.
  2. Geben Sie für jedes ausgewählte Netzwerk die IP-Adresse oder einen Domänennamen an, der in die IP-Adresse des externen Netzwerks der Firebox aufgelöst wird.
  3. Wenn Sie mehr als ein Netzwerk für einen Endpoint auswählen, bestimmt die Reihenfolge, welches Netzwerk das primäre ist. Um die Reihenfolge der Netzwerke zu ändern, klicken Sie auf den Ziehpunkt für ein Netzwerk und ziehen es in der Liste nach oben oder unten.
  4. Klicken Sie auf Weiter.
    Auf der Seite mit den Einstellungen für den Datenverkehr werden die auf den einzelnen Geräten konfigurierten internen und Gastnetzwerke angezeigt.

Screen shot of the Add BOVPN, Traffic settings

  1. Wählen Sie für jeden Endpoint interne Netzwerke oder Gastnetzwerke aus, die Datenverkehr über diesen Tunnel senden und empfangen können.
  2. (Optional) Um Konflikte zu vermeiden, wenn beide Netzwerke denselben privaten IP-Adressbereich verwenden, z. B. 192.168.1.0/24, fügen Sie jedem Endpoint NAT hinzu:
    1. Klicken Sie neben dem ersten Netzwerk-Endpoint, dem Sie einen NAT hinzufügen möchten, auf NAT hinzufügen.
      Das Dialogfeld NAT hinzufügen wird geöffnet.
    2. Geben Sie im Textfeld NAT eine IP-Adresse und Netzmaske für das NAT ein.

    3. Klicken Sie auf Hinzufügen.
      Die NAT-Informationen werden neben dem Eintrag des Netzwerk-Endpoints angezeigt.
    4. Wiederholen Sie die Schritte a bis c, um NAT zum zweiten Endpoint hinzuzufügen.

Um eine NAT-IP-Adresse zu entfernen, bearbeiten Sie den Text im Textfeld NAT so, dass das Textfeld leer bleibt und klicken Sie auf Speichern.

Wenn Sie NAT zwischen zwei Cloud-verwalteten Fireboxen im selben WatchGuard Cloud-Konto konfigurieren, fügen Sie NAT zu jedem Endpoint hinzu.

  1. So legen Sie eine Netzwerkressource fest, die kein internes und kein Gastnetzwerk ist:
    1. Klicken Sie auf Netzwerkressource hinzufügen.
      Das Dialogfeld Netzwerkressource hinzufügen wird geöffnet.
      Screen shot of the Add Network Resource dialog box
    1. Geben Sie im Textfeld Netzwerkressource die Netzwerk-IP-Adresse und die Netzmaske ein.Tipp!
    2. Geben Sie im Textfeld Distanz einen Wert zwischen 1 und 254 ein. Routen mit niedrigeren Kennzahlen haben eine höhere Priorität. Der Standardwert lautet 1. In Fireware v12.9 oder höher ersetzt die Einstellung Distanz die Einstellung Kennzahl.
    3. (Optional) Um NAT zu einer Netzwerkressource hinzuzufügen:
      1. Klicken Sie auf NAT hinzufügen.
      2. Geben Sie im Textfeld NAT eine IP-Adresse und Netzmaske für das NAT ein.
        Die im NAT-Textfeld verwendete Netzmaske muss mit der Netzmaske der Netzwerkressource übereinstimmen.

    4. Klicken Sie auf Hinzufügen.
      Die Netzwerkressource wird zu den Einstellungen für den Datenverkehr des Endpoints hinzugefügt.
      Screen shot of an added network resource
  1. (Empfohlen) Geben Sie für jeden Endpoint im Textfeld Virtuelle IP-Adresse eine IP-Adresse ein. Eine virtuelle IP-Adresse ist eine IP-Adresse, die nicht mit einer physischen Schnittstelle verbunden ist. Bei einem BOVPN in WatchGuard Cloud, das eine virtuelle BOVPN-Schnittstelle ist, dient eine virtuelle IP-Adresse als Gateway (nächster Hop). Die virtuelle IP-Adresse wird für direkt an die virtuelle BOVPN-Schnittstelle gesendeten Antwortverkehr verwendet.

In manchen Fällen sind virtuelle IP-Adressen erforderlich:

  • Sie müssen virtuelle IP-Adressen mit einer /32-Netzmaske angeben, bevor Sie dieses BOVPN zu einer SD-WAN-Aktion hinzufügen können.
  • Wenn Sie ein Null-Routen-BOVPN konfigurieren, müssen Sie virtuelle IP-Adressen eingeben, damit der zurückgesendete Datenverkehr den VPN-Tunnel nutzt. Wenn Sie eine BOVPN-Netzwerkressource mit Null-Route hinzufügen und der Remote-VPN-Endpoint den Datenverkehr von der Cloud-verwalteten Firebox nicht an WatchGuard Cloud weiterleiten kann, verlieren Sie die Möglichkeit, die Firebox zu verwalten oder zu überwachen.
  • Für den von einer Firebox generierten Datenverkehr sind virtuelle IP-Adressen erforderlich, damit dieser zurückgesendete Datenverkehr den VPN-Tunnel nutzt. Beispiele für Datenverkehr, der von der Firebox generiert wird, sind DNS- und DHCP-Datenverkehr, Dimension, syslog, SNMP, NTP, Authentifizierung (Active Directory, LDAP und RADIUS) und andere von der Firebox hergestellte Verbindungen zu Ressourcen über den Tunnel.

Screen shot of the virtual IP address settings

  1. (Optional) Für jeden Endpoint können Sie die Option Einstellungen für das Bit Nicht fragmentieren (DF) aktivieren auswählen. Das DF-Bit ist ein Kennzeichen im Header eines Pakets. Diese Einstellung steuert, ob die Firebox die ursprüngliche Einstellung des DF-Bits im Header eines Pakets verwendet.

Screenshot of the Don't Fragment (DF) Bit Settings UI.

Wählen Sie aus der Dropdown-Liste Einstellungen für das Bit Nicht fragmentieren (DF) aktivieren eine der folgenden Optionen aus:

Kopieren

Kopiert die ursprüngliche DF-Bit-Einstellung des IPSec-Pakets in den Kapselungsheader.
Wenn ein Frame keine DF-Bits gesetzt hat, setzt die Firebox die DF-Bits nicht und fragmentiert das Paket wie erforderlich. Wenn ein Frame so eingestellt ist, dass er nicht fragmentiert werden darf, kapselt die Firebox den gesamten Frame und setzt die DF-Bits des verschlüsselten Pakets so, dass sie mit denen des ursprünglichen Frames übereinstimmen.

Einrichten

Die Firebox kann IPSec-Pakete unabhängig von der ursprünglichen Bit-Einstellung nicht fragmentieren.
Wenn Sie IPSec-Verbindungen zu einer Firebox hinter einer anderen Firebox herstellen müssen, wählen Sie diese Option nicht aus, wenn Sie die IPSec-Pass-Through-Funktion aktivieren möchten.

Löschen

Die Firebox kann IPSec-Pakete unabhängig von der ursprünglichen Bit-Einstellung fragmentieren.
Diese Option zerlegt den Frame in Teile, die in ein IPSec-Paket passen, unabhängig von der ursprünglichen Bit-Einstellung.

Wenn Sie keine DF-Bit-Einstellung für den Endpoint angeben, verwendet der Endpoint die DF-Bit-Einstellung, die in den Einstellungen für die externe Schnittstelle angegeben ist.

  1. (Optional) Geben Sie eine benutzerdefinierte Maximum Transmission Unit (MTU) in das Textfeld Tunnel MTU konfigurieren ein. Der Standard-MTU-Wert der Option ist 1400 Byte. Die MTU gibt die größte Datenpaketgröße in Byte an, die ein Netzwerk übertragen kann. Sie sollten möglicherweise eine benutzerdefinierte MTU angeben, wenn der Endpoint eine Verbindung zu einem Drittanbieter-VPN-Endpoint herstellt, der Pakete verwirft, die eine bestimmte Größe überschreiten.

    2. Screenshot of the Configure Tunnel MTU UI.

  1. Klicken Sie auf Speichern.
    Die BOVPN-Änderungen werden automatisch für beide Fireboxen zum Download bereitgestellt. Die BOVPN-Bereitstellung wird zum Bereitstellungsverlauf für beide Fireboxen hinzugefügt.

Bearbeiten oder Löschen eines BOVPN

Sie können ein BOVPN auf der Seite BOVPN bearbeiten oder löschen. Informationen finden Sie unter BOVPNs für Cloud-verwaltete Fireboxen verwalten.

Ähnliche Themen

Bereitstellung von Gerätekonfigurationen verwalten

Konfigurieren Sie ein BOVPN für eine lokal verwaltete Firebox oder einen Drittanbieter-VPN-Endpoint