IKEIP
Konfiguration feste, öffentliche IPv4-Adressen auf Sophos UTM 9

Artikel 42369

Stand 24.02.2022, 12:51:26

Version 6217713e

Ziel dieser Anleitung ist es, unseren Dienst zum Erhalt von festen, öffentlichen IPv4-Adressen auf einer Sophos UTM 9 (ehemals Astaro) über eine IPsec Site-to-Site-Verbindung einzurichten. Nach Abschluss der Anleitung liegen die Ihnen zugeteilten festen IP-Adressen auf der Sophos UTM 9 an. Außerdem wurde ein oder mehrere Server über NAT-Regeln mit jeweils einer festen IPv4-Adresse angebunden. Bitte beachten Sie, dass diese Anleitung lediglich eine Empfehlung, ein getestetes und funktionierendes Referenz-Szenario, darstellt, das nicht alle Konfigurationsmöglichkeiten der Sophos UTM 9 (z.B. Uplink-Balancing, Multipath Routing usw.) berücksichtigen kann. Am Ende entscheiden natürlich Sie als Administrator welche Realisierungsform Sie verwenden möchten.

Zielgruppe:
Administratoren, die auf einer Sophos UTM 9 zusätzliche feste, öffentliche IPv4-Adressen nutzen möchten, die über einen IPSec-Tunnel von Internet XS bereitgestellt werden.

Wir betreiben verschiedene Einwahl-Server zur Bereitstellung von IP-Tunnel-Verbindungen / festen, öffentlichen IPv4-Adressen. Die Anleitungen in dieser Kategorie sind speziell abgestimmt auf diesen Server:

  • Name: IKEIP
  • Hostname: ikeip.internet-xs.de
  • IP-Adresse: 212.58.69.60
  • Protokoll: IPSec / IKEv1 / Xauth / PSK
  • Client IP-Adress-Bereich: 212.58.80.0/24 (212.58.80.1 - 212.58.80.254)
  • Benutzernamen-Format: ixs060........, ixs060-....-........

Bitte prüfen Sie, ob Ihr IP-Tunnel-Zugang auch auf dem o.g. Server registriert ist.

Alle Arbeiten geschehen auf eigene Gefahr. Für Schäden an Soft- und Hardware sowie für Ausfälle Ihrer Infrastruktur sind Sie selbst verantwortlich. Wir können keine Unterstützung für nicht von uns getestete Szenarien, Hardware, Software und Betriebssysteme anbieten. Alle Anleitungen setzen ein Blanko- bzw. minimal konfiguriertes System voraus und sind als eine mögliche Konfigurationsvariante zu verstehen, die ggf. an Ihr lokales Umfeld und Ihre Anforderungen angepasst werden muss. Bitte beachten Sie immer die Sicherheitshinweise in der Bedienungsanleitung des Herstellers, besonders zum Betrieb von Hardware, dem Aufstellungsort und Betriebstemperaturen. Führen Sie Tests nicht in Produktivumgebungen durch. Testen Sie die Lösung ausgiebig, bevor Sie sie produktiv einsetzen. IT-Systeme sollten nur von qualifiziertem Personal konfiguriert werden. Als Administrator müssen Sie selbst abwägen, ob unsere Produkte und Dienstleistungen für Ihren Anwendungszweck und die gewünschte Verfügbarkeit geeignet sind, oder nicht. Führen Sie Änderungen nicht über eine entfernte Verbindung (Remote-Verbindung) durch. Verwenden Sie stets sichere Passwörter, ändern Sie Standard-Passwörter umgehend ab.

Policy definieren

Site-to-site VPN > IPsec Reiter: Policies Aktion: New IPsec Policy…

  1. Name: ikeip.internet-xs.de
  2. IKE encryption algorithm: AES 256
  3. IKE authentication algorithm: SHA256
  4. IKE SA lifetime: 86400
  5. IKE DH group: Group2: MODP 1024
  6. IPsec encryption algorithm: No encryption (null)
  7. IPsec authentication algorithm: MD5
  8. IPsec SA lifetime: 86400
  9. IPsec PFS group: None
  10. Strict policy: Aktiviert
  11. Compression: Deaktiviert
  12. Klicken Sie auf “Save” um die Konfiguration zu speichern.

Remote Gateway definieren

Im nächsten Schritt wird das Remote Gateway – unser Einwahlserver – im System angelegt.

Site-to-site VPN > IPsec Reiter: Remote Gateways Aktion: New Remote Gateway…

  1. Name: ikeip.internet-xs.de
  2. Gateway type: Initiate connection
  3. Gateway: Create New… (Plus-Zeichen). Ein überlagertes Fenster öffnet sich.
  4. Name: ikeip.internet-xs.de
  5. Type: Host
  6. IPv4 address: 212.58.69.60
  7. Klicken Sie auf “Save” um die Konfiguration zu speichern, das überlagerte Fenster schließt sich wieder und das Host-Objekt wurde der Einstellung “Gateway” zugewiesen.
    1. Authentication type: Preshared key
  8. Key: PSK eingeben
  9. Repeat: PSK nochmal eingeben
  10. VPN ID type: Hostname
  11. VPN ID: ikeip.internet-xs.de
  12. Remote networks: Internet IPv4 (vorhandenes Objekt wählen)
  13. Öffnen Sie den Abschnitt “Advanced”.
  14. Support path MTU discovery: Aktiviert
  15. Support congestion signaling (ECN): Deaktiviert
  16. Enable XAUTH client mode: Aktiviert
  17. Username: ixs060-nnnn-abcd0123
  18. Password: ********************
  19. Repeat: ********************
  20. Klicken Sie auf “Save” um die Konfiguration zu speichern.

Connection definieren

Nachdem Policy und Remote Gateway definiert wurden, kann die Connection definiert werden.

Site-to-site VPN > IPsec Reiter: Connections Aktion: New IPsec Connection…

  1. Name: ikeip.internet-xs.de
  2. Remote gateway: ikeip.internet-xs.de
  3. Local interface: WAN
  4. Policy: ikeip.internet-xs.de
  5. Local Networks: Create New… (Plus-Zeichen). Ein überlagertes Fenster öffnet sich.
  6. Name: 212.58.80.XXX/YY (Netzadresse sowie Subnetzmaske in CIDR-Notation, die Sie von uns erhalten haben)
  7. Type: Network
  8. IPv4 address: 212.58.80.XXX (Netzadresse, die Sie von uns erhalten haben)
  9. Netmask: z.B. /29 (255.255.255.248) (Subnetzmaske, die Sie von uns erhalten haben)
  10. Klicken Sie auf “Save” um die Konfiguration zu speichern, das überlagerte Fenster schließt sich wieder und das Host-Objekt wurde der Einstellung “Local Networks” zugewiesen
  11. Automatic firewall rules: Deaktiviert
  12. Strict routing: Deaktiviert
  13. Bind tunnel to local interface: Deaktiviert
  14. Klicken Sie auf “Save” um die Konfiguration zu speichern.

Verbindung aktivieren

Die Konfiguration ist nun abgeschlossen. Aktivieren Sie die neue Verbindung in der Verbindungsübersicht durch klicken auf den Schalter. Der Schalter sollte anschließend grün werden.

Verbindung prüfen

Sie können nun prüfen, ob die Verbindung erfolgreich hergestellt wurde.

Site-to-site VPN

Es sollte ein neuer Abschnitt mit der Bezeichnung “ikeip.internet-xs.de” vorhanden sein. Dem Abschnitt sollte ein grüner Kreis mit einem Häkchen vorangestellt sein – außerdem sollte der Bezeichnung der Status “[1 of 1 IPsec SAs established]” angestellt sein. Ist dies der Fall wurde die Verbindung erfolgreich hergestellt.

Additional Addresses anlegen

Dieser Schritt ist über jede IPv4-Adresse aus dem Netz zu wiederholen, das Sie von uns erhalten haben. Bitte beachten Sie, dass Sie die Netzadresse sowie die Broadcast-Adresse nicht als Additional Address anlegen sollten.

Interfaces & Routing > Interfaces Reiter: Additional Addresses Aktion: New Additional Address…

  1. Name: 212.58.80.XXX+1
  2. On interface: WAN
  3. IPv4 address: 212.58.80.XXX+1
  4. Netmask: /32 (255.255.255.255)
  5. Klicken Sie auf “Save” um die Konfiguration zu speichern.

Wiederholen Sie diese Schritte für alle weiteren festen IPs aus dem Ihnen zugeteilten Netz.

DNAT anlegen

Damit Traffic, der an 212.58.80.XXX geschickt und auf Ihrer Sophos UTM 9 eingeht auch zum richtigen Server in Ihrer DMZ geleitet wird, ist die Erstellung einer NAT-Regel erforderlich.

Network Protection > NAT Reiter: NAT Aktion: New NAT Rule…

  1. Rule type: DNAT (destination)
  2. For traffic from: Any IPv4 (vordefiniertes Objekt auswählen)
  3. Using service: Der gewünschte Dienst, z.B. HTTPS (Port 443) (vordefniertes Objekt auswählen, alternativ neues Objekt anlegen)
  4. Going to: 212.58.80.XXX (Netzobjekt einer Adresse, die als “Additional Address” erstellt wurde)
  5. Change the destination to: Host-Objekt / DMZ-LAN-IP-Adresse des anzubindenden Servers (ggf. erstellen)
  6. And the service to: Leer
  7. Automatic firewall rule: Aktiviert
  8. Klicken Sie auf “Save” um die Konfiguration zu speichern.

Wiederholen Sie diese Schritte für alle Server und Dienste, die Sie mittels einer festen IP anbinden möchten.

SNAT anlegen

Damit Traffic, der an einen per DNAT angebundenen Server wieder mit der festen, öffentlichen IPv4-Adresse 212.58.80.XXX nach außen kommunizieren kann, ist die Verwendung von SNAT erforderlich.

Network Protection > NAT Reiter: NAT Aktion: New NAT Rule…

  1. Rule type: SNAT (source)
  2. For traffic from: Host-Objekt / DMZ-LAN-IP-Adresse des anzubindenden Servers
  3. Using service: Der gewünschte Dienst, z.B. HTTPS (Port 443) oder Any (vordefniertes Objekt auswählen, alternativ neues Objekt anlegen)
  4. Going to: Any IPv4
  5. Change the source to: 212.58.80.XXX (Netzobjekt einer Adresse, die als “Additional Address” erstellt wurde)
  6. And the service to: Leer
  7. Automatic firewall rule: Aktiviert
  8. Klicken Sie auf “Save” um die Konfiguration zu speichern.

Wiederholen Sie diese Schritte für alle Server und Dienste, die Sie mittels einer festen IP anbinden möchten.

Weitere Hinweise und Anmerkungen

  1. Diese Anleitung wurde auf einer Sophos UTM 9 mit Minimalkonfiguration, z.B. an einem VDSL-Anschluss mit öffentlicher IP-Adresse bei dem die Sophos UTM 9 die DSL-Einwahl vornimmt (PPPoE / VLAN ID 7) getestet und seit Jahren dauerhaft von Kunden betrieben. Bitte haben Sie Verständnis dafür, dass die Anleitung nicht alle Konfigurationsmöglichkeiten einer Sophos UTM 9 berücksichtigen oder auf diese getetstet werden kann.
  2. Bei dieser speziellen Anwendung von IPSec kann es passieren, dass trotz Path MTU Discovery die MTU nicht richtig erkannt wird. Falls Sie Probleme haben sollten, bestimmte Internet-Adressen zu erreichen (z.B. facebook.com), stellen Sie die MTU der Netzwerkschnittelle des Servers, den Sie mittels DNAT/SNAT ansprechen, auf 1450 ein. Für dieses Problem gibt es leider keine andere bekannte Lösung.
  3. In Schritt 3.9 wird festgelegt, dass das Netz der Gegenstelle das gesamte Internet (0.0.0.0/0) ist. Dies würde der Umstellung des systemweiten Standard-Gateways gleichkommen, jedoch verwendet die Sophos UTM 9 spezielle iptables-Marker die dafür sorgen, dass nur der gewünschte Traffic in den IPSec-Tunnel geleitet wird. Bei der Verwendung von Proxy-ARP, Multipath-Routing, Uplink-Balancing könnte es jedoch dazu kommen, dass dieser Mechanismus außer Kraft gesetzt wird. Falls Sie eine dieser Funktionen verwenden und vermuten, dass das Standard-Gateway der gesamten Sophos UTM 9 auf eine der Ihnen per IPSec vermittelten, öffentlichen IPv4-Adressen umgestellt wurde, deaktivieren Sie bitte testweise diese Funktionen.
  4. IPSec in IPSec, d.h. die Tunnelung von Ihrem eigenen IPSec innerhalb des Tunnels, der die öffentlichen IPv4-Adressen bereitstellt, ist nicht möglich (Sophos RED verwendet SSL-VPN und kann daher über unsere Lösung genutzt werden).
  5. Unser Lösungsvorschlag ist ein Kompromiss / Brückenlösung, der so gut wie technisch möglich (unter Berücksichtigung der zur Verfügung stehenden Protokolle und Optionen) realisiert und getestet wurde. Bitte berücksichtigen Sie dies beim Einsatz unserer Dienstleistungen. Sie müssen als Administrator stets selbst abwägen, ob ein Lösungsvorschlag für Ihre Anwendung - unter Berücksichtigung der Umgebung - geeignet ist.
Erstellt
07.07.2020, 17:51:09
Zuletzt geändert
24.02.2022, 12:51:26
Version
6217713e
topf@internet-xs.de topf-white@internet-xs.de topf@internet-xs.com topf-white@internet-xs.com topf2023@internet-xs.de topf-white2023@internet-xs.de topf2023@internet-xs.com topf-white2023@internet-xs.com