Konfigurieren eines BOVPN zwischen Cloud-verwalteten Fireboxen

Gilt für: Cloud-verwaltete Fireboxen

Um ein BOVPN zwischen zwei Cloud-verwalteten Fireboxen im selben WatchGuard Cloud-Konto zu konfigurieren, müssen Sie eine gemeinsame BOVPN-Konfiguration erstellen. Wenn Sie ein BOVPN zwischen zwei Cloud-verwalteten Fireboxen hinzufügen oder aktualisieren, werden die Einstellungen für die BOVPN-Konfiguration automatisch für beide Fireboxen zum Download bereitgestellt.

Um ein BOVPN zwischen Cloud-verwalteten Fireboxen zu konfigurieren, die sich nicht im selben WatchGuard Cloud-Konto befinden, müssen Sie das BOVPN für jede Firebox separat konfigurieren. Weitere Informationen finden Sie unter Konfigurieren Sie ein BOVPN für eine lokal verwaltete Firebox oder einen Drittanbieter-VPN-Endpoint.

Wenn Sie ein BOVPN zwischen zwei Cloud-verwalteten Fireboxen hinzufügen, konfigurieren Sie:

  • VPN Gateways — Die externen Netzwerke, über die die beiden Geräte miteinander verbunden sind
  • Netzwerkressourcen — Die Netzwerke, die Datenverkehr durch den Tunnel senden und empfangen können
  • Virtuelle IP-Adresse — (optional) Erforderlich, wenn Sie das BOVPN zu einer SD-WAN-Aktion hinzufügen möchten

Alle VPN-Sicherheitseinstellungen werden automatisch mit denselben Einstellungen konfiguriert, damit die Geräte eine Verbindung herstellen können.

BOVPNs und Routing

In der BOVPN-Konfiguration legen Sie fest, welche Netzwerkressourcen über den Tunnel zugänglich sind. Die Ressourcen, die Sie für einen Endpoint auswählen, werden zu statischen Routen auf dem anderen VPN Endpoint, mit dem BOVPN als Gateway. Die Kennzahl, die Sie für jede Ressource angeben, erscheint in der Routing-Tabelle. Anhand der Routing-Tabelle entscheidet die Firebox, ob der Datenverkehr durch den BOVPN-Tunnel geleitet werden soll.

Sie können keine Netzwerkressourcen für beide Endpoints im selben Subnetz angeben. Das bedeutet, dass Sie den Datenverkehr zwischen privaten Netzwerken, die denselben IP-Adressbereich verwenden, nicht über einen BOVPN-Tunnel routen können.

Wenn Sie eine BOVPN-Netzwerkressource ohne Route hinzufügen (0.0.0.0/0), wird eine Standardroute erstellt, die den gesamten Netzwerk-Datenverkehr (einschließlich des Datenverkehrs zu WatchGuard Cloud) durch den VPN-Tunnel leitet.

Wenn Sie eine BOVPN-Netzwerkressource mit Null-Route hinzufügen und der Remote-VPN-Endpoint den Datenverkehr von der Cloud-verwalteten Firebox nicht an WatchGuard Cloud weiterleiten kann, verlieren Sie die Möglichkeit, die Firebox zu verwalten oder zu überwachen.

BOVPNs und Automatische Bereitstellung

Wenn Sie ein BOVPN hinzufügen, bearbeiten oder entfernen, erstellt WatchGuard Cloud automatisch eine neue Bereitstellung für beide Fireboxen zum Download. Für jede Firebox enthält die automatische Bereitstellung aktualisierte BOVPN-Einstellungen. Um sicherzustellen, dass die automatische Bereitstellung nur BOVPN-Konfigurationsänderungen enthält, können Sie BOVPN-Änderungen so lange nicht speichern, wie eines der Geräte andere, noch nicht bereitgestellte Konfigurationsänderungen aufweist.

Bevor Sie ein BOVPN für zwei Fireboxen im selben Konto hinzufügen, bearbeiten oder entfernen, vergewissern Sie sich, dass keine der beiden Fireboxen noch nicht bereitgestellte Änderungen aufweist.

Hinzufügen eines BOVPN zwischen Cloud-verwalteten Fireboxen im selben Konto

Sie können ein BOVPN auf der BOVPN-Seite für eine bestimmte Firebox hinzufügen, oder Sie können es auf der Seite VPNs hinzufügen, die eine gemeinsame Konfigurationsseite ist. Weitere Informationen finden Sie unter Verwalten von BOVPNs für Cloud-verwaltete Fireboxen.

Hinzufügen eines BOVPN von WatchGuard Cloud aus:

  1. Verwenden Sie eine der folgenden Methoden, um die BOVPN-Seite zu öffnen:
    • Wählen Sie Konfigurieren > VPNs, um BOVPNs für alle Fireboxen im aktuell ausgewählten Konto zu verwalten
    • Um BOVPNs für eine bestimmte Firebox zu verwalten, klicken Sie auf der Seite Gerätekonfiguration auf die Kachel Branch-Office-VPN.
  2. Klicken Sie auf einer der beiden BOVPN-Seiten auf die Kachel Branch-Office-VPN.
    Auf der BOVPN-Seite werden die aktuell konfigurierten BOVPNs angezeigt.

Screen shot of the BOVPN page with no BOVPNs added

  1. Klicken Sie auf BOVPN hinzufügen.
    Die Seite BOVPN hinzufügen wird geöffnet.

Screen shot of the Add BOVPN page, name and type settings

  1. Geben Sie im Textfeld Name einen Namen für dieses BOVPN ein.
  2. Wählen Sie die Option zum Verbinden mit einer von WatchGuard Cloud-verwalteten Firebox.
    Mit dieser Option enthalten die beiden Abschnitte Endpoint A und Endpoint B eine Liste von Fireboxen.

Screen shot of the Define VPN endpoints settings

  1. Wählen Sie im Abschnitt Endpoint A eine Cloud-verwaltete Firebox in Ihrem Konto aus.
    Wenn Sie das BOVPN über eine Gerätekonfigurationsseite hinzugefügt haben, enthält die Liste Endpoint A nur eine Firebox.
  2. Wählen Sie im Abschnitt Endpoint B eine andere Cloud-verwaltete Firebox in diesem Konto aus.
    In der Liste Endpoint B werden alle Cloud-verwalteten Fireboxen desselben Kontos angezeigt.
  3. Klicken Sie auf Weiter.
    Die Seite VPN Gateways zeigt eine Liste der externen Netzwerke auf jeder Firebox an.

Screen shot of the VPN Gateways settings

  1. Wählen Sie für jeden Endpoint mindestens ein externes Netzwerk aus, mit dem sich die Endpoints verbinden.
  2. Geben Sie für jedes ausgewählte Netzwerk die IP-Adresse oder einen Domänennamen an, der in die IP-Adresse des externen Netzwerks der Firebox aufgelöst wird.
  3. Wenn Sie mehr als ein Netzwerk für einen Endpoint auswählen, bestimmt die Reihenfolge, welches Netzwerk das primäre ist. Um die Reihenfolge der Netzwerke zu ändern, klicken Sie auf den Ziehpunkt für ein Netzwerk und ziehen es in der Liste nach oben oder unten.
  4. Klicken Sie auf Weiter.
    Auf der Seite mit den Einstellungen für den Datenverkehr werden die auf den einzelnen Geräten konfigurierten internen und Gastnetzwerke angezeigt.

Screen shot of the Add BOVPN, Traffic settings

  1. Wählen Sie für jeden Endpoint interne Netzwerke oder Gastnetzwerke aus, die Datenverkehr über diesen Tunnel senden und empfangen können.
  2. So legen Sie eine Netzwerkressource fest, die kein internes und kein Gastnetzwerk ist:
    1. Klicken Sie auf Netzwerkressource hinzufügen.

    Screen shot of the Add Network Resource dialog box

    1. Geben Sie im Textfeld Netzwerkressource die Netzwerk-IP-Adresse und die Netzmaske ein.Tipp!
    2. Im Textfeld Kennzahl können Sie die Kennzahl bearbeiten. Der Standardwert lautet 1.
    3. Klicken Sie auf Hinzufügen.
      Die Netzwerkressource wird zu den Einstellungen für den Datenverkehr des Endpoints hinzugefügt.

Screen shot of an added network resource

  1. (Optional) Geben Sie für jeden Endpoint im Textfeld Virtuelle IP-Adresse eine IP-Adresse ein.

Screen shot of the virtual IP address settings

Es wird empfohlen, eine IP-Adresse in einem privaten Netzwerk-IP-Adressbereich anzugeben, der auf keinem der Endpoints für das Routing verwendet wird.

Sie müssen virtuelle IP-Adressen angeben, bevor Sie dieses BOVPN zu einer SD-WAN-Aktion hinzufügen können. Um dies in einer SD-WAN-Aktion zu verwenden, geben Sie eine Host-IP-Adresse mit einer /32-Netzmaske an.

  1. Klicken Sie auf Speichern.
    Die BOVPN-Änderungen werden automatisch für beide Fireboxen zum Download bereitgestellt. Die BOVPN-Bereitstellung wird zum Bereitstellungsverlauf für beide Fireboxen hinzugefügt.

Bearbeiten oder Löschen eines BOVPN

Sie können ein BOVPN auf der BOVPN-Seite bearbeiten oder löschen. Informationen finden Sie unter Verwalten von BOVPNs für Cloud-verwaltete Fireboxen.

Siehe auch

Verwalten der Bereitstellung von Firebox-Konfigurationen