Tutorial: Einrichtung von Advanced Mesh VPN

Ausgangsszenario: Das Szenario besteht aus zwei Filialen (A und B) mit öffentlichen IPv4-Adressen sowie einer Zentrale, ebenfalls mit einer öffentlichen IPv4-Adresse. Die beiden Filialen haben bereits einen statischen IKEv2-VPN-Tunnel zur Zentrale eingerichtet, der aufgebaut ist. Die VPN-Gegenstelle auf den Filialen heißt jeweils "ZENTRALE". Filiale A hat das Subnetz 192.168.1.0/24 und Filiale B das Subnetz 192.168.2.0/24 mit dem Namen "INTRANET".

Konfiguration der Filiale A

Legen Sie einen neuen Eintrag, z. B. "MESH-TEMPLATE", in der IKEv2-Verbindungsliste unter VPN > IKEv2 / IPSec > Verbindungs-Liste an.

Anmerkung: Dieser Eintrag dient als Vorlage, aus der die dynamischen Mesh-Tunnel ihre Parameter übernehmen.
Als Haltezeit wird die Zeit konfiguriert, nach der die Mesh-VPN-Tunnel ohne Datenverkehr getrennt werden sollen, z. B. 300 Sekunden.
Wichtig: Eine Deaktvierung der Haltezeit über den Wert 0 wird nicht empfohlen, da dynamische Mesh-VPN-Tunnel niemals bei Inaktivität abgebaut werden und Lizenzen verbrauchen.
Das entfernte Gateway muss leer gelassen werden, da es dynamisch bestimmt wird.
Über den Parameter Routing wird das lokale Netz an die gegenüberliegende Filiale übertragen, in diesem Fall das Netz "INTRANET". Legen Sie dazu in der Tabelle IPv4-Routing unter VPN > IKEv2 / IPSec > Erweiterte Einstellungen einen neuen Eintrag an. Wählen Sie z. B. als Name "INTRANET-ROUTING" und wählen Sie im Feld Netzwerk das lokale Netzwerk aus, das für Mesh VPN verwendet werden soll, z. B. "INTRANET".

Abbildung 1. Beispiel für den IPv4-Routing-Eintrag
Wählen Sie unter Authentifizierung die Option Quelle verwalten aus. Erzeugen Sie einen neuen Eintrag, z. B. "MESH". Geben Sie die lokale Identität der Filiale an, sowie den PSK, der für alle dynamischen Mesh-Tunnel verwendet wird. Der PSK muss auf allen beteiligten Filialen für den Mesh-VPN-Tunnel identisch sein. Dieser wird dann im Feld Entferntes Passwort eingetragen. Lassen Sie das Feld entfernte Identität leer und wählen Sie die Option "Keine Identität" für entfernter Identitätstyp, so dass alle ankommenden Identitäten mit dem korrekten PSK als Mesh-Tunnel akzeptiert werden.

Abbildung 2. Beispiel für die Authentifizierungs-Einstellungen
Setzen Sie die VPN-Regel auf "ANY" bzw. wählen Sie für IPv4-Regeln den Eintrag "RAS-WITH-NETWORK-SELECTION". Somit wird 0.0.0.0/0 <=> 0.0.0.0/0 verwendet.
Setzen Sie die Regelerzeugung auf "Manuell".

Abbildung 3. Beispiel für das Mesh-VPN-Template in der Verbindungs-Liste
Konfigurieren Sie nun die Mesh-VPN-Parameter unter VPN > IKEv2 / IPSec > Erweiterte Einstellungen > Advanced Mesh VPN.
Setzen Sie die Betriebsart auf "Spoke".
Wählen Sie unter VPN-Gegenstellen-Vorlage die zuvor angelegte IKEv2-Gegenstelle als Vorlage für die Mesh-VPN-Tunnel aus.
Wählen Sie unter Detektiere auf VPN-Gegenstelle den Namen der VPN-Gegenstelle aus, der dem Namen des Tunnels zur Zentrale entspricht.

Abbildung 4. Beispiel für die Advanced Mesh VPN-Einstellungen in der Filiale

Konfiguration der Filiale B

Die Konfiguration erfolgt analog zur Filiale A. Ändern Sie die lokale Identität bei der Authentifizierungentsprechend auf den Namen der Filiale B.

Konfiguration der Zentrale

Da die Zentrale selbst keine dynamischen Mesh-Tunnel aufbaut, wird auch keine Gegenstellen-Vorlage angelegt. Setzen Sie die Betriebsart bei Advanced Mesh VPN auf "Hub".

Abbildung 5. Beispiel für die Advanced Mesh VPN-Einstellungen in der Zentrale

Wenn Sie nun Daten von der Filiale A an Filiale B übertragen, so gehen die ersten Pakete über den Umweg der Zentrale. Daraufhin wird der dynamische Mesh-Tunnel zwischen den Filialen aufgebaut.

Wichtig: Ein Ping auf die IP-Adresse des Routers der gegenüberliegenden Seite wird keinen Mesh-Tunnel aufbauen. Es muss eine (ggf. nichtexistierende) Station im LAN der anderen Seite als Ziel verwendet werden.