Mit der integrierten Firewall verfügen die Router über ein leistungsfähiges Instrument zur Definition von Quell- und Ziel-Adressbereichen, für die eine Datenübertragung (ggf. mit weiteren Einschränkungen) erlaubt bzw. verboten werden soll. Diese Funktionen werden auch für die Einrichtung der Netzbeziehungen für die VPN-Regeln verwendet.
Im einfachsten Fall kann die Firewall die VPN-Regeln automatisch erzeugen:
- Als Quellnetz wird dabei das lokale Intranet eingesetzt, also derjenige private IP-Adressbereich, zu dem das lokale VPN-Gateway selbst gehört.
- Als Zielnetze dienen für die automatisch erstellten VPN-Regeln die Netzbereiche aus der IP-Routing-Tabelle, für die als Router ein entferntes VPN-Gateway eingetragen ist.
Zum Aktivieren dieser automatischen Regelerzeugung reicht es aus, die entsprechende Option in der Firewall einzuschalten1. Bei der Kopplung von zwei einfachen lokalen Netzwerken kann die VPN-Automatik aus dem IP-Adressbereich des eigenen LANs und dem Eintrag für das entfernte LAN in der IP-Routing-Tabelle die erforderliche Netzbeziehung ableiten.
Etwas aufwändiger wird die Beschreibung der Netzbeziehungen dann, wenn die Quell- und Zielnetze nicht nur durch den jeweiligen Intranet-Adressbereich der verbundenen LANs abgebildet werden:
- Wenn nicht das gesamte lokale Intranet in die Verbindung mit dem entfernten Netz einbezogen werden soll, würde die Automatik einen zu großen IP-Adressbereich für die VPN-Verbindung freigeben.
- In vielen Netzstrukturen sind an das lokale Intranet über weitere Router noch andere Netzabschnitte mit eigenen IP-Adressbereichen angebunden. Diese Adressbereiche müssen über zusätzliche Einträge in die Netzbeziehung einbezogen werden.
In diesen Fällen müssen die Netzbeziehungen zur Beschreibung der Quell- und Zielnetze manuell eingetragen werden. Je nach Situation werden dabei die automatisch erzeugten VPN-Regeln erweitert, manchmal muss die VPN-Automatik ganz abgeschaltet werden, um unerwünschte Netzbeziehungen zu vermeiden.
Die erforderlichen Netzbeziehungen werden durch entsprechende Firewall-Regeln unter den folgenden Randbedingungen definiert:
- Für die Firewall-Regel muss die Option "Diese Regel wird zur Erzeugung von VPN-Regeln herangezogen" aktiviert sein.Anmerkung: Die Firewall-Regeln zur Erzeugung von VPN-Regeln sind auch dann aktiv, wenn die eigentliche Firewall-Funktion im Gerät nicht benötigt wird und ausgeschaltet ist!
- Als Firewall-Aktion muss auf jeden Fall "Übertragen" gewählt werden.
- Als Quelle und Ziel für die Verbindung können einzelne Stationen, bestimmte IP-Adressbereiche oder ganze IP-Netzwerke eingetragen werden. Anmerkung: Die Zielnetze müssen auf jeden Fall in der IP-Routing-Tabelle definiert sein, damit der Router in den Geräten die entsprechenden Datenpakete in das andere Netz weiterleiten kann. Die dort schon vorhandenen Einträge können Sie nutzen und nur ein übergeordnetes Netzwerk als Ziel eintragen. Die Schnittmenge aus dem Eintrag des Zielnetzes in der Firewall und den untergeordneten Einträgen in der IP-Routing-Tabelle fließt in die Netzbeziehungen für die VPN-Regeln ein.Beispiel: In der IP-Routing-Tabelle sind die Zielnetze 10.2.1.0/24, 10.2.2.0/24 und 10.2.3.0/24 eingetragen, die alle über den Router VPN-GW-2 erreichbar sind. In der Firewall reicht ein Eintrag mit dem Zielnetz 10.2.0.0/16, um die drei gewünschten Subnetze in die VPN-Regeln einzubeziehen.Anmerkung: Die Quell- und Zielnetze müssen auf beiden Seiten der VPN-Verbindung übereinstimmend definiert werden. Es ist z. B. nicht möglich, einen größeren Ziel-Adressbereich auf einen kleineren Quell-Adressbereich auf der Gegenseite abzubilden. Maßgebend sind dabei die in den VPN-Regeln gültigen IP-Adressbereiche, nicht die in den Firewall-Regeln eingetragenen Netze. Diese können aufgrund der Schnittmengenbildung durchaus von den Netzbeziehungen in den VPN-Regeln abweichen.
- Je nach Bedarf kann die VPN-Verbindung zusätzlich auf bestimmte Dienste oder Protokolle eingeschränkt werden. So kann die VPN-Verbindung z. B. nur auf die Nutzung für ein Windows-Netzwerk reduziert werden.