Einrichten von RED 50

  • Artikel-ID: 118916
  • Einstufung:
  • Der Artikel wurde von 1 Kunden mit 3.0 von 6 bewertet
  • Aktualisiert: 14 Mai 2013

In diesem Artikel erfahren Sie, wie Sie RED 50 einrichten.

Betrifft die folgenden Sophos Produkte/Versionen:

Sophos RED 50

Betriebssysteme

Sophos UTM 9.100 oder höher

 

In diesem Artikel ist Folgendes enthalten:

Informationen zu RED 50

Einsatzszenarien

Einrichten von RED 50


Informationen zu RED 50

  • Eine einfache und kostengünstige Möglichkeit zur Herstellung von sicheren Verbindungen zwischen Zweigstellen
  • Kleine Einheit, die an nicht-technisches Personal in der Zweigstelle gesendet werden kann
  • Einfach anschließen und die Einrichtung erfolgt ganz automatisch
  • Stellt eine sichere Verbindung zwischen der Zweigstelle und der Unternehmenszentrale her
  • Leitet den Datenverkehr der Zweigstellen weiter und filtert ihn
  • Zentral verwaltet von Sophos UTM

Neue Funktionen:

  • Verschlüsselung: Hardware-beschleunigt
  • Datenübertragungsrate: Ausbalanciert
  • Backup: Failover

Technische Spezifikationen:

  • VPN-Durchsatz: 360 MBit/s
  • WAN-Ports: 2 x GBit
  • LAN-Ports: 4 x GBit
  • USB-Ports: 2

Einsatzszenarien

UTM-Hostname = Failover

RED-Uplink = Failover

 

Das RED stellt eine Verbindung zwischen RED_WAN1 und UTM_WAN1 her.

 

 

Wenn UTM_WAN1 ausgefallen ist, stellt RED_WAN1 eine Verbindung zu UTM_WAN2 her.

 

 

Wenn UTM_WAN1 und RED_WAN1 ausgefallen sind, stellt RED_WAN2 eine Verbindung zu UTM_WAN2 her.

 

 

 

 

UTM-Hostname = Balancing

RED-Uplink = Failover


Das RED stellt eine Verbindung zwischen RED_WAN1 und UTM_WAN1 / UTM_WAN2 her.

 

Wenn RED_WAN1 ausgefallen ist, stellt RED_WAN2 eine Verbindung zu UTM_WAN1 / UTM_WAN2 her.

 

 

 

 

UTM-Hostname = Failover

RED-Uplink = Balancing

 

Das RED stellt eine Verbindung zwischen RED_WAN1 / RED_WAN2 und UTM_WAN1 her.

 

Wenn UTM_WAN1 ausgefallen ist, stellt RED_WAN1 / RED_WAN2 eine Verbindung zu UTM_WAN2 her.

 

 

 

UTM-Hostname = Balancing

RED-Uplink = Balancing

Das RED stellt eine Verbindung zwischen RED_WAN1 / RED_WAN2 und UTM_WAN1 / UTM_WAN2 her.


 

Hinweis:

Wenn eine Schnittstelle ausfällt, wird diese solange geprüft, bis sie wieder funktioniert. Die Verbindung zur ursprünglichen Schnittstelle wird wieder hergestellt, sobald diese erneut verfügbar ist.

Von RED 50 verwendete Ports

TCP-Port 3400 (Steuerverbindung unter Verwendung von SSL, authentifiziert durch gegenseitige X509-Zertifikatsprüfung)

UDP-Port 3410 (Gekapselter Datenverkehr, AES256 (verschlüsselt), SHA1-HMAC (authentifiziert)) 

Firmware-Upgrades

Das RED kann die Firmware entweder über eine WAN- oder über eine 3G/4G-Verbindung aktualisieren.

Die Firmware wird vom UTM selbst heruntergeladen, nicht von einem Bereitstellungsserver (nur für UTM v9.1 oder höher). 

Einrichten von RED 50

Wichtiger Hinweis: Bewahren Sie unbedingt den Entsperrcode auf, der unmittelbar nach der Registrierung der RED-Appliance beim RPS an die E-Mail-Adresse gesendet wird, die (bei der Aktivierung des RED) auf der Registerkarte „Global Settings“ (Allgemeine Einstellungen) angegeben wurde. Dieser Entsperrcode wird benötigt, wenn Sie die RED-Appliance mit einem anderen UTM verwenden möchten. Wenn Ihnen der Entsperrcode nicht vorliegt, müssen Sie sich zum Entsperren der RED-Appliance an den Support von Sophos wenden.

1. Rufen Sie „RED Management“ > „[Server] Client Management“ (RED-Verwaltung > Server-/Client-Verwaltung) auf, und klicken Sie auf „Add RED“ (RED hinzufügen). 
2. Füllen Sie das Dialogfeld „Add RED“ (RED hinzufügen) folgendermaßen aus: 
Benutzeroberfläche Konfigurationsoptionen

Zweigstellenname: Geben Sie einen Namen für die Zweigstelle ein, an der sich die RED-Appliance befindet, z.B. „Büro München“.

Client-Typ: Wählen Sie aus der Dropdown-Liste „RED 10“ oder „RED 50“ aus, je nachdem welche Art von RED-Appliance Sie anschließen möchten.

RED ID (RED-ID): Geben Sie die OD der RED-Appliance ein, die Sie konfigurieren. Sie finden diese ID auf der Rückseite der RED-Appliance sowie auf deren Verpackung.

Tunell-ID: Hier wird automatisch die Option „Automatisch“ ausgewählt. Die Tunnel werden fortlaufend nummeriert. Wählen Sie im Falle von widersprüchlichen IDs eine andere ID aus der Dropdown-Liste aus.

Entsperrcode (optional): Bei der Ersteinrichtung einer RED-Appliance wird ein Entsperrcode generiert. Es handelt sich dabei um eine Sicherheitsfunktion, mit der sichergestellt wird, dass eine RED-Appliance nicht einfach entfernt und an einem anderen Ort wieder installiert werden kann. Wenn die von Ihnen konfigurierte RED-Appliance bereits zuvor verwendet wurde, müssen Sie den entsprechenden Entsperrcode eingeben. Wenn Ihnen der Entsperrcode nicht vorliegt, müssen Sie sich zum Entsperren der RED-Appliance an den Support von Sophos wenden.

UTM-Hostname: Geben Sie eine öffentliche IP-Adresse oder einen Hostnamen ein, über die/den auf das UTM zugegriffen werden kann.

2. UTM-Hostname Sie können eine weitere öffentliche IP-Adresse oder einen Hostnamen für dasselbe UTM eingeben. Sie können jedoch nicht die IP-Adresse oder den Hostnamen eines anderen UTM eingeben.

Verwende 2. Hostnamen für Hier können Sie konfigurieren, wofür der zweite Hostname verwendet werden soll:

Failover: Wählen Sie diese Option aus, wenn der zweite Hostname nur verwendet werden soll, wenn der ersten Hostname ausfällt.

Lastverteilung: Wählen Sie diese Option aus, um den aktiven Lastausgleich zwischen beiden Hostnamen zu aktivieren. Verwenden Sie diese Funktion, wenn die externen Schnittstellen, auf die sich der erste und zweite Hostname beziehen, dieselbe Latenz und denselben Durchsatz aufweisen.

Uplink-Modus/ 2. Uplink-Modus: Sie können festlegen, wie die RED-Appliance eine IP-Adresse bezieht: entweder über DHCP oder durch direktes Zuweisen einer statischen IP-Adresse. Der Uplink-Modus wird für jeden RED-Uplink-Ethernet-Port separat festgelegt.

DHCP-Client: Das RED bezieht eine IP-Adresse von einem DHCP-Server.

Statische Adresse: Geben Sie eine IPv4-Adresse, eine entsprechende Netzmaske, ein Standard-Gateway und einen DNS-Server ein. 

Hinweis: Es gibt keine Eins-zu-eins-Verknüpfung zwischen dem UTM-Hostnamen und dem RED-Uplink-Ethernet-Port. Jeder RED-Port versucht eine Verbindung zu jedem definierten UTM-Hostnamen herzustellen. 

Verwende 2. Uplink für: Hier können Sie konfigurieren, wofür der zweite Uplink verwendet werden soll: 

Failover: Wählen Sie diese Option aus, um diesen zweiten Uplink nur dann zu verwenden, wenn der erste Uplink ausfällt.

Lastverteilung: Wählen Sie diese Option aus, um den aktiven Lastausgleich zwischen beiden Hostnamen zu aktivieren. Verwenden Sie diese Funktion, wenn die externen Schnittstellen, auf die sich der erste und zweite Hostname beziehen, dieselbe Latenz und denselben Durchsatz aufweisen.

Betriebsmodus: Hier können Sie festlegen, wie das Remote-Netzwerk in Ihr lokales Netzwerk integriert werden soll.

Standard/Vereint: Das UTM steuert vollständig den Netzwerkverkehr im Remote-Netzwerk. Zusätzlich fungiert es als DHCP-Server und als Standard-Gateway. Der gesamte Remote-Netzwerkverkehr wird durch das UTM geleitet.
Standard/Getrennt: Das UTM steuert vollständig den Netzwerkverkehr im Remote-Netzwerk. Zusätzlich fungiert es als DHCP-Server und als Standard-Gateway. Anders als im Unified-Modus, wird nur bestimmter Netzwerkverkehr durch das UTM geleitet. Geben Sie im darunter liegenden Feld „Split Networks“ (Verteilte Netzwerke) lokale Netzwerke an, auf die Remote-Clients zugreifen können.
Transparent/Getrennt Das UTM steuert weder den Netzwerkverkehr des Remote-Netzwerks noch dient es als DHCP-Server oder Standard-Gateway. Es bezieht die IP-Adresse vom DHCP-Server des Remote-Netzwerks und wird Teil dieses Netzwerks. Sie können jedoch Remote-Clients Zugriff auf Ihr lokales Netzwerk gewähren. Dazu müssen Sie verteilte Netzwerke festlegen, auf die das Remote-Netzwerk zugreifen darf. Zusätzlich können Sie eine oder mehrere verteilte Domänen für den Zugriff definieren. Wenn Ihre lokalen Domänen nicht öffentlich zugänglich sind, müssen Sie einen verteilten DNS-Server festlegen, der von Remote-Clients abgefragt werden kann.

Beispiele für alle Betriebsmodi finden Sie auf der Registerkarte „Einrichtungshilfe“.

Optional stehen folgende erweiterten Einstellungen zur Verfügung:

MAC-Filter-Typ: Verfügbar für UTM v9.1 und höher. Um die MAC-Adressen einzuschränken, denen die Verbindung zu dieser RED-Appliance erlaubt wird, wählen Sie „Blacklist“ oder „Whitelist“ aus. 

Wenn Sie „Blacklist“ auswählen, können Sie im darunter stehenden Feld „MAC-Adressen“ eine Blacklist erstellen. Den Adressen, die Sie dort aufführen, wird der Zugriff verweigert, allen anderen MAC-Adressen wird er erlaubt. 

Wenn Sie „Whitelist“ auswählen, können Sie im darunter stehenden Feld „MAC-Adressen“ eine Whitelist erstellen. Nur den Adressen, die Sie dort aufführen, wird der Zugriff erlaubt, allen anderen MAC-Adressen wird er verweigert. 

MAC-Adressen: Verfügbar für UTM v9.1 und höher. Dieses Feld wird nur angezeigt, wenn Sie unter „MAC-Filter-Typ“ entweder „Whitelist“ oder „Blacklist“ ausgewählt haben. Diese MAC-Adressenliste wird für die Zugriffssteuerung auf die RED-Appliance verwendet. MAC-Adressenlisten können unter „Definitionen und Benutzer“ > „Netzwerkdefinitionen“ auf der Registerkarte „MAC-Adressendefinitionen“ erstellt werden.

Aktivieren Sie den 3G/UMTS-Failover-Uplink: Ab Version RED rev2 ist die RED-Appliance mit einem USB-Port ausgestattet, an dem Sie einen 3G/UMTS-USB-Stick anschließen können. Wenn diese Option ausgewählt ist, kann im Falle eines Ausfalls der WAN-Schnittstelle dieser Stick als Internet-Uplink-Failover dienen. Die erforderlichen Einstellungen finden Sie im Datenblatt Ihres Internetanbieters.

Benutzername/Kennwort (optional): Geben Sie falls erforderlich einen Benutzernamen und ein Kennwort für das mobile Netzwerk ein.

PIN (optional): Geben Sie die PIN der SIM-Karte ein, falls eine PIN konfiguriert ist.

Hinweis: Wenn Sie eine falsche PIN eingeben, kann bei einem Ausfall der WAN-Schnittstelle, keine Verbindung über 3G/UMTS hergestellt werden. Das Kontrollkästchen zur Aktivierung des 3G/UMTS-Failover-Uplink der RED-Appliance wird in diesem Fall automatisch deaktiviert. Die falsche PIN wird somit nur einmal verwendet. Wenn die WAN-Schnittstelle wieder verfügbar wird, wird eine Warnung für die RED-Appliance angezeigt:

Es wurde eine falsche PIN für den 3G/UMTS-Failover-Uplink eingegeben. Bitte ändern Sie die Anmeldedaten

Wenn Sie das Dialogfeld „Edit RED“ (RED bearbeiten) öffnen, wird die Meldung angezeigt, dass der 3G/UMTS-Failover-Uplink automatisch deaktiviert wurde. Korrigieren Sie die PIN, ehe Sie das entsprechende Kontrollkästchen erneut aktivieren. Hinweis: Nach dreimaliger Eingabe einer falschen PIN wird die SIM-Karte gesperrt. Eine Entsperrung kann nicht über die RED-Appliance oder das UTM erfolgen.

Mobilfunknetz Wählen Sie für den mobilen Netzwerktyp „GSM“ oder „CDMA“ aus.

APN: Geben Sie die APN-Daten (Access Point Name) Ihres Anbieters ein.

Einwahlzeichenfolge (optional): Wenn Ihr Anbieter eine andere Wählzeichenfolge verwendet, geben Sie diese hier ein. Der Standard lautet *99#.

Hinweis: Folgende Konfigurationen müssen Sie manuell vornehmen:

    1. Erstellen der erforderlichen Firewall-Regeln unter „Netzwerkschutz “ > „Firewall“ > „Regeln“.
    2. Erstellen der erforderlichen Maskierungsregeln unter „Netzwerkschutz “ > „NAT“ > „Maskierung“.

3. Klicken Sie auf „Speichern“.

4. Die RED-Appliance wird nun eingerichtet, und das UTM wird beim Sophos RED Provisioning Service (RPS) registriert. 

Hinweis:  Bewahren Sie unbedingt den Entsperrcode auf, der unmittelbar nach der Registrierung der RED-Appliance beim RPS an die E-Mail-Adresse gesendet wird, die (bei der Aktivierung des RED) auf der Registerkarte „Allgemeine Einstellungen“ angegeben wurde. Dieser Entsperrcode wird benötigt, wenn Sie die RED-Appliance mit einem anderen UTM verwenden möchten. Wenn Ihnen der Entsperrcode dann nicht vorliegt, müssen Sie sich zum Entsperren der RED-Appliance an den Support von Sophos wenden. 

Wenn Sie die erforderlichen Firewall-Regeln (und ggf. die Maskierungsregeln) konfiguriert haben, kann die RED-Appliance am Remote-Standort mit dem Internet verbunden werden. Sobald sie gestartet wurde, ruft sie die Konfiguration vom Sophos RED Provisioning Service (RPS) ab. Anschließend wird die Verbindung zwischen Ihrem UTM und der RED-Appliance hergestellt. Den Status aller konfigurierten RED-Appliances können Sie auf der RED-Übersichtsseite in WebAdmin anzeigen. 

Löschen einer RED-Appliance

Zum Löschen einer RED-Appliance klicken Sie auf die Schaltfläche „Löschen“ neben dem Namen der Appliance.

Es wird eine Warnung angezeigt, dass das RED-Objekt Abhängigkeiten hat. Achtung: Durch das Löschen einer RED-Appliance werden die zugehörigen Schnittstellen und ihre Abhängigkeiten nicht gelöscht. Und dies aus gutem Grund: Auf diese Weise können Sie eine Schnittstelle von einer RED-Appliance zu einer anderen verschieben.

Wenn Sie eine RED-Appliance-Einrichtung komplett löschen möchten, müssen Sie die potenzielle Schnittstelle und andere Definitionen manuell löschen.

 





 
Wenn Sie weitere Informationen oder Unterstützung benötigen, wenden Sie sich bitte an den technischen Support.

Artikel bewerten

Ungenügend Hervorragend

Anmerkungen