Konfigurieren Sie ein BOVPN für eine lokal verwaltete Firebox oder einen Drittanbieter-VPN-Endpoint

Gilt für: Cloud-verwaltete Fireboxen Dieses Thema trifft auf Fireboxen zu, die Sie in WatchGuard Cloud konfigurieren.

Sie können ein VPN zwischen einer Cloud-verwalteten Firebox und einer anderen Firebox oder jedem Drittanbieter-VPN-Endpoint konfigurieren, der IKEv2-VPNs mit kompatiblen Einstellungen unterstützt. Sie können eine virtuelle BOVPN-Schnittstelle zu einem Drittanbieter-VPN-Endpoint oder einem Cloudbasierten Endpoint konfigurieren. Zu den unterstützten Endpointen gehören Cloudbasierte virtuelle Netzwerke wie Microsoft Azure, Amazon AWS und Cisco VTI-Endpointe.

Informationen darüber, wie Sie ein BOVPN zwischen zwei Cloud-verwalteten Fireboxen im selben WatchGuard Cloud-Konto konfigurieren, finden Sie unter Konfigurieren eines BOVPN zwischen Cloud-verwalteten Fireboxen.

Wenn Sie das BOVPN konfigurieren, stellt WatchGuard Cloud die Konfiguration für die Cloud-verwaltete Firebox bereit. Sie müssen dann den Remote-Endpoint mit denselben Einstellungen konfigurieren.

Wenn Sie einer Cloud-verwalteten Firebox ein BOVPN hinzufügen, konfigurieren Sie es:

• VPN Gateways — Die externen Netzwerke, über die die beiden Geräte miteinander verbunden sind.
• Gemeinsam verwendeter Schlüssel — Ein gemeinsam verwendetes Geheimnis, das zur Ver- und Entschlüsselung von Daten verwendet wird, die durch den Tunnel laufen.
• Netzwerkressourcen — Die Netzwerke, die Datenverkehr durch den Tunnel senden und empfangen können.
• Virtuelle IP-Adresse — (optional) Erforderlich, wenn Sie das BOVPN zu einer SD-WAN-Aktion hinzufügen möchten.
• Sicherheitseinstellungen — Authentifizierungseinstellungen und Verschlüsselung für VPN-Verhandlungen.

BOVPNs und Routing

In der BOVPN-Konfiguration legen Sie fest, welche Netzwerkressourcen über den Tunnel zugänglich sind. Die Ressourcen, die Sie für einen Endpoint auswählen, werden zu statischen Routen auf dem anderen VPN Endpoint, mit dem BOVPN als Gateway. Die Kennzahl, die Sie für jede Ressource angeben, erscheint in der Routing-Tabelle. Anhand der Routing-Tabelle entscheidet die Firebox, ob der Datenverkehr durch den BOVPN-Tunnel geleitet werden soll.

Sie können keine Netzwerkressourcen für beide Endpoints im selben Subnetz angeben. Das bedeutet, dass Sie den Datenverkehr zwischen privaten Netzwerken, die denselben IP-Adressbereich verwenden, nicht über einen BOVPN-Tunnel routen können.

Wenn Sie eine BOVPN-Netzwerkressource ohne Route hinzufügen (0.0.0.0/0), wird eine Standardroute erstellt, die den gesamten Netzwerk-Datenverkehr (einschließlich des Datenverkehrs zu WatchGuard Cloud) durch den VPN-Tunnel leitet.

Wenn Sie eine BOVPN-Netzwerkressource mit Null-Route hinzufügen und der Remote-VPN-Endpoint den Datenverkehr von der Cloud-verwalteten Firebox nicht an WatchGuard Cloud weiterleiten kann, verlieren Sie die Möglichkeit, die Firebox zu verwalten oder zu überwachen.

Für ein VPN zwischen einer Firebox und einem lokal verwalteten oder Drittanbieter-VPN-Endpoint

• Die Netzwerkressourcen, die Sie für den Remote-Endpoint angeben, bestimmen, welchen Datenverkehr die Firebox durch den Tunnel leitet. Diese werden zu statischen Routen auf der Cloud-verwalteten Firebox, mit dem BOVPN als Gateway.
• Die Netzwerkressourcen, die Sie für die Firebox angeben, sind die Ressourcen, die der Remote-Endpoint durch den VPN-Tunnel an die Firebox leiten soll. Die Ressourcen, die Sie hier angeben, schränken den Datenverkehr, den die Firebox durch den VPN-Tunnel akzeptiert, nicht ein. Damit die Firebox VPN-Datenverkehr zu diesen Ressourcen empfangen kann, muss der Remote-Endpoint so konfiguriert sein, dass der Datenverkehr zu diesen IP-Adressen durch den Tunnel geleitet wird.

BOVPNs und Automatische Bereitstellung

Wenn Sie ein BOVPN hinzufügen, bearbeiten oder entfernen, wird die BOVPN-Konfiguration automatisch für die Cloud-verwaltete Firebox zum Download bereitgestellt. Um sicherzustellen, dass die automatische Bereitstellung nur BOVPN-Konfigurationsänderungen enthält, können Sie keine BOVPN-Änderungen speichern, wenn die Firebox andere, noch nicht bereitgestellte Konfigurationsänderungen enthält.

Bevor Sie ein BOVPN hinzufügen, bearbeiten oder entfernen, vergewissern Sie sich, dass die Firebox keine noch nicht bereitgestellten Änderungen aufweist.

Hinzufügen eines BOVPN

Hinzufügen eines BOVPN zur Cloud-verwalteten Firebox von WatchGuard Cloud aus:

1. Verwenden Sie eine der folgenden Methoden, um die BOVPN-Seite zu öffnen:
   • Wählen Sie Konfigurieren > VPNs, um BOVPNs für alle Fireboxen im aktuell ausgewählten Konto zu verwalten
   • Um BOVPNs für eine bestimmte Firebox zu verwalten, klicken Sie auf der Seite Gerätekonfiguration auf die Kachel Branch-Office-VPN.
2. Klicken Sie auf einer der beiden BOVPN-Seiten auf die Kachel Branch-Office-VPN.
   Auf der BOVPN-Seite werden die aktuell konfigurierten BOVPNs angezeigt.

3. Klicken Sie auf BOVPN hinzufügen.
   Die Seite BOVPN hinzufügen wird geöffnet.
4. Geben Sie im Textfeld Name einen Namen für dieses BOVPN ein.
5. Wählen Sie Lokal verwaltete Firebox oder Drittanbieter-VPN-Endpoint.
   Der Inhalt des Endpoint B-Abschnitts wechselt und zeigt nicht mehr eine Liste von Fireboxen sondern ein Textfeld mit dem Namen des Endpoints an.

6. Wählen Sie im Abschnitt Endpoint A eine Cloud-verwaltete Firebox in Ihrem Konto aus.
   Wenn Sie das BOVPN über eine Gerätekonfigurationsseite hinzugefügt haben, enthält die Liste Endpoint A nur eine Firebox.
7. Geben Sie im Abschnitt Endpoint B im Textfeld Endpoint-Name einen Namen ein, um den Remote-VPN-Endpoint zu identifizieren.
   Die BOVPN-Konfiguration verwendet diesen Namen, um auf Endpoint B zu verweisen.

8. Klicken Sie auf Weiter.
   Die Seite Einstellungen für VPN Gateways wird geöffnet.

9. Wählen Sie für die Cloud-verwaltete Firebox ein externes Netzwerk aus, das für diese VPN-Verbindung verwendet werden soll.
10. Geben Sie die IP-Adresse oder einen Domänennamen an, der in die IP-Adresse des externen Netzwerks der Fireboxen aufgelöst wird.
11. Geben Sie für den entfernten Endpoint in das Textfeld IP oder Domänenname eine IP-Adresse oder einen Domänennamen ein, der in die IP-Adresse des Remote-Endpoint aufgelöst wird.
12. Geben Sie in das Textfeld Gemeinsam verwendeter Schlüssel einen gemeinsamen Schlüssel ein, um diesen VPN-Tunnel abzusichern.
13. Klicken Sie auf Weiter.

14. Wählen Sie die internen Fireboxen und Gastnetzwerke aus, die über den VPN-Tunnel zugänglich sein sollen.
15. So fügen Sie eine Netzwerkressource hinzu, bei der es sich nicht um ein internes Netzwerk oder ein Gastnetzwerk handelt:
    1. Klicken Sie im Abschnitt für die Firebox-Ressourcen auf Netzwerkressource hinzufügen.

    

    2. Geben Sie im Textfeld Netzwerkressource die Netzwerk-IP-Adresse und die Netzmaske ein.Tipp! Um eine Host-IP-Adresse hinzuzufügen, fügen Sie die Netzmaske /32 hinzu.
    3. Im Textfeld Kennzahl können Sie die Kennzahl bearbeiten. Der Standardwert lautet 1.
    4. Klicken Sie auf Hinzufügen.
       Die Netzwerkressource wird zu den Einstellungen für den Datenverkehr des Endpoints hinzugefügt.
16. Hinzufügen einer Netzwerkressource für den Remote-Endpoint:
    1. Klicken Sie im Abschnitt für den zweiten Endpoint aufNetzwerkressource hinzufügen.
    2. Geben Sie im Textfeld Netzwerkressource die Netzwerk-IP-Adresse und die Netzmaske ein.
    3. Im Textfeld Kennzahl können Sie die Kennzahl bearbeiten. Der Standardwert lautet 1.
    4. Klicken Sie auf Hinzufügen.
       Die Netzwerkressource wird zu den Einstellungen für den Datenverkehr des Endpoints hinzugefügt.
17. Wiederholen Sie den vorherigen Schritt, um weitere Netzwerkressourcen hinzuzufügen.
18. (Optional) Geben Sie für jeden Endpoint im Textfeld Virtuelle IP-Adresse eine IP-Adresse ein.

Es wird empfohlen, eine IP-Adresse in einem privaten Netzwerk-IP-Adressbereich anzugeben, der auf keinem der Endpoints für das Routing verwendet wird.

Sie müssen virtuelle IP-Adressen angeben, bevor Sie dieses BOVPN zu einer SD-WAN-Aktion hinzufügen können. Um dies in einer SD-WAN-Aktion zu verwenden, geben Sie eine Host-IP-Adresse mit einer /32-Netzmaske an.

19. Klicken Sie auf Weiter.
    Die Seite Sicherheitseinstellungen wird geöffnet.

20. Übernehmen Sie die standardmäßigen Sicherheitseinstellungen oder bearbeiten Sie sie so, dass sie mit den Einstellungen übereinstimmen, die vom Remote-VPN-Endpoint unterstützt werden. Informationen finden Sie unter Konfigurieren Sie die BOVPN-Sicherheitseinstellungen.
21. Klicken Sie auf Hinzufügen.
    Die BOVPN-Bereitstellung wird hinzugefügt, und die Seite BOVPN-Leitfaden wird geöffnet.

22. Um den BOVPN-Leitfaden in einer neuen Registerkarte zu öffnen, klicken Sie auf Leitfaden anzeigen.
    Der BOVPN-Leitfaden wird auf einer neuen Registerkarte des Browsers geöffnet. Sie können diese Seite ausdrucken oder als PDF-Datei speichern.
23. Um zur BOVPN-Liste zurückzukehren, klicken Sie auf Fertigstellen.

Anzeigen des BOVPN-Leitfadens

Für jedes BOVPN generiert WatchGuard Cloud einen VPN-Leitfaden, der die erforderlichen Konfigurationseinstellungen für das VPN am entfernten VPN Endpoint zusammenfasst. Sie können das BOVPN-Leitfaden auf der Seite BOVPN bearbeiten einsehen. Weitere Informationen finden Sie unter Anzeigen des BOVPN-Leitfadens.

Konfigurieren Sie den Remote-VPN-Endpoint

Fügen Sie auf dem Remote-VPN-Endpoint ein IKEv2 VPN mit Einstellungen hinzu, die mit den VPN-Einstellungen auf der Cloud-verwalteten Firebox übereinstimmen. Weitere Informationen finden Sie unter Konfigurieren von Einstellungen für Remote-VPN-Endpoints auf einer lokal verwalteten Firebox oder einem Drittanbieter-VPN-Endpoint.

Bearbeiten oder Löschen eines BOVPN

Sie können ein BOVPN auf der BOVPN-Seite bearbeiten oder löschen. Informationen finden Sie unter Verwalten von BOVPNs für Cloud-verwaltete Fireboxen.

Siehe auch

Verwalten der Bereitstellung von Firebox-Konfigurationen