IBM Cloud Docs
Verbindung zu einem Check Point Security Gateway-Peer herstellen

Verbindung zu einem Check Point Security Gateway-Peer herstellen

Mit IBM Cloud VPN for VPC können Sie Ihre VPC über einen VPN-Tunnel sicher mit einem lokalen Netz zu verbinden. Dieser Abschnitt enthält eine Anleitung dazu, wie Sie Ihr Check Point Security Gateway für die Verbindung zu VPN for VPC konfigurieren.

Diese Anweisungen basieren auf Check Point Security Gateway, Software-Release [R81.10]. Ältere Versionen der Check Point-Software werden nicht unterstützt.

Machen Sie sich mit den Einschränkungen für VPN-Gateways vertraut, bevor Sie eine Verbindung zu Ihrem lokalen Peer herstellen.

Da Check Point Security Gateway standardmäßig IKEv1 verwendet, müssen Sie eine angepasste IKE- und IPsec-Richtlinie erstellen, um die Standardrichtlinie für automatische Vereinbarung für das VPN in Ihrer VPC zu ersetzen.

Zur Unterstützung dieser Funktion müssen die folgenden allgemeinen Konfigurationsschritte auf dem Check Point Security Gateway durchgeführt werden.

Verbindung eines auf IBM Richtlinien basierenden VPN zu einem Check Point Security Gateway-Peer herstellen

Das folgende Beispiel zeigt, wie ein richtlinienbasiertes IBM VPN mit einem Peer für Check Point Security Gateway verbunden wird:

  1. Führen Sie die folgenden Schritte aus, um die intern verwalteten Sicherheitsgateways zu konfigurieren:

    • Navigieren Sie zu SmartConsole > Gateways und Services und klicken Sie auf den Namen des Sicherheitsgateways, um die Konfigurationsseite für das Sicherheitsgateway zu öffnen.
    • Wechseln Sie zur Seite Network Management, um die Topologie zu definieren.
    • Rufen Sie die Seite Netzmanagement > VPN-Domäne auf, um die VPN-Domäne zu definieren.

  2. Führen Sie die folgenden Schritte aus, um eine interoperable Einheit in Check Point SmartConsole zu erstellen:

    • Rufen Sie den Objektexplorer auf und klicken Sie auf Neu > Mehr > Netzobjekt > Mehr > Interoperable Einheit, um die Seite für die neue interoperable Einheit zu öffnen.
    • Wechseln Sie zur Seite General Properties und geben Sie den Namen und die IP-Adresse des IBM VPN-Gateways ein.
    • Wechseln Sie zur Seite Topology und fügen Sie die öffentliche IP-Adresse und die IBM VPC-Teilnetze für das IBM VPN-Gateway hinzu. Fügen Sie die öffentliche IP-Adresse des IBM VPN als externes Netz mit der Netzmaske 255.255.255.255 hinzu. Fügen Sie die IBM VPC-Teilnetze als internes Netz hinzu.

  3. Führen Sie die folgenden Schritte aus, um die VPN-Community hinzuzufügen.

    Diese Anweisungen basieren auf dem Typ Star Community. Der Typ Meshed Community ist eine weitere Option.

    • Rufen Sie SmartConsole > Sicherheitsrichtlinien > Zugriffstools > VPN-Communitys auf und klicken Sie auf Star Community, um die neue Seite für die VPN-Community zu öffnen.
    • Geben Sie den Name der neuen Community ein.
    • Rufen Sie die Seite Gateways > Center-Gateways auf, klicken Sie auf das Symbol + und fügen Sie das Check Point Security Gateway hinzu.
    • Rufen Sie die Seite Gateways > Satellite-Gateways auf, klicken Sie auf das Symbol + und fügen Sie das IBM VPN-Gateway hinzu.
    • Wechseln Sie zur Seite Encryption und verwenden Sie die Standardwerte für Encryption Method und Encryption Suite.
    • Wechseln Sie zur Seite Tunnel Management und wählen Sie One VPN tunnel per subnet pair aus.
    • Wechseln Sie zur Seite Shared Secret und legen Sie den vorab verteilten Schlüssel fest.
    • Klicken Sie auf OK und veröffentlichen Sie die Änderungen.

  4. Führen Sie die folgenden Schritte aus, um relevante Zugriffsregeln auf der Seite 'Sicherheitsrichtlinie' hinzuzufügen:

    • Fügen Sie die Community in der Spalte 'VPN' hinzu, die Services in der Spalte 'Service & Anwendungen' sowie die gewünschte Aktion und die entsprechende Überwachungsoption.
    • Installieren Sie die Richtlinie für die Zugriffssteuerung.

Routenbasiertes IBM VPN mit einem Peer für Check Point Security Gateway verbinden

Auf diese Beispielschritte wird im Handbuch CheckPoint Administration Guide verwiesen.

Führen Sie die folgenden Schritte aus, um ein routenbasiertes IBM VPN mit einem Peer für Check Point Security Gateway zu verbinden:

  1. Um das IPsec-VPN zu aktivieren, wählen Sie SmartConsole > Gateways & Services aus und klicken Sie anschließend auf den Namen des Sicherheitsgateways, um die Konfigurationsseite des Sicherheitsgateways zu öffnen. Klicken Sie in der Registerkartenansicht Allgemeine Eigenschaften auf IPsec-VPN.

    CheckPoint Connection Enable IPsec
    Abbildung 1: CheckPoint connection enable IPsec

  2. Führen Sie die folgenden Schritte aus, um das routenbasierte VPN zu aktivieren:

    • Wählen Sie SmartConsole > Gateways & Services aus und klicken Sie anschließend auf den Namen des Sicherheitsgateways, um die Konfigurationsseite des Sicherheitsgateways zu öffnen.
    • Klicken Sie auf Netzmanagement > VPN-Domäne.
    • Wählen Sie Benutzerdefiniert aus.
    • Klicken Sie auf die Schaltfläche [...].
    • Klicken Sie auf Neu > Gruppe > Einfache Gruppe und geben Sie einen Namen ein.
    • Klicken Sie auf OK (lassen Sie das Objekt 'Gruppe' leer).

    CheckPoint Connection Enable IPsec
    Abbildung 2: CheckPoint-Verbindung enable IPsec

  3. Rufen Sie den Objektexplorer auf, um das IBM VPN-Gateway als interoperable Einheit hinzuzufügen. Klicken Sie anschließend auf Neu > Mehr > Netzobjekt > Mehr > Interoperabilitätseinheit, um die neue Seite für interoperable Einheiten zu öffnen. Geben Sie die kurze öffentliche IP-Adresse des routenbasierten IBM VPN-Gateways in das Adressfeld IPv4 ein.

    Weitere Informationen zur kurzen öffentlichen IP-Adresse finden Sie unter Wichtiger Hinweis.

    CheckPoint Connection Add Interoperable Device
    Abbildung 3: CheckPoint connection add interoperable device

  4. Wählen Sie zum Erstellen der VPN-Community die Option SmartConsole > Sicherheitsrichtlinien > Zugriffstools > VPN-Communitys aus. Klicken Sie anschließend auf Star-Community, um die neue Seite der VPN-Community zu öffnen. Fügen Sie das Gateway 'CheckPoint' und das routenbasierte IBM VPN-Gateway hinzu.

    CheckPoint Verbindung VPN-Community erstellen
    Abbildung 4: CheckPoint-Verbindung erstellt VPN-Community

  5. Um verschlüsselten Datenverkehr zu konfigurieren, klicken Sie in der VPN-Community auf Verschlüsselter Datenverkehr und wählen Sie anschließend Gesamten verschlüsselten Datenverkehr akzeptieren aus.

    CheckPoint Verbindung Konfigurieren des verschlüsselten Datenverkehrs
    Abbildung 5: CheckPoint-Verbindung konfigurieren den verschlüsselten Datenverkehr

  6. Klicken Sie zum Konfigurieren von IKE- und IPsec-Vorschlägen in der VPN-Community auf Verschlüsselung . Wählen Sie anschließend ein Verschlüsselungsverfahren, Suits und Perfec Forward Secrecy aus. Diese Werte müssen der Konfiguration des routenbasierten IBM VPN entsprechen.

    CheckPoint-Verbindung-IKE-und IPsec-Vorschläge konfigurieren
    Abbildung 6: CheckPoint-Verbindung-IKE-und IPsec-Vorschläge konfigurieren

  7. Klicken Sie zum Konfigurieren der Tunnelverwaltung in der VPN-Community auf Tunnelverwaltung. Wählen Sie anschließend Für alle Tunnel in der Community und Ein VPN-Tunnel pro Gateway-Paar aus.

    CheckPoint Connection Configure Tunnel Management
    Abbildung 7: CheckPoint Connection Configure Tunnel Management

  8. Um den vorab verteilten Schlüssel zu konfigurieren, klicken Sie in der VPN-Community auf Gemeinsam genutzter geheimer Schlüssel. Legen Sie denselben vorab verteilten Schlüssel wie für das routenbasierte IBM VPN-Gateway fest.

    CheckPoint-Verbindung vorab verteilten Schlüssel konfigurieren
    Abbildung 8: CheckPoint-Verbindung vorab verteilten Schlüssel konfigurieren

  9. Um die gerichtete Übereinstimmung zu aktivieren, wählen Sie Menü > Globale Eigenschaften > VPN > Erweitert aus und klicken Sie dann auf Direkte VPN-Übereinstimmung in VPN-Spalte aktivieren.

    CheckPoint Verbindung Richtungsübereinstimmung aktivieren
    Abbildung 9: CheckPoint-Verbindung Richtungsübereinstimmung aktivieren

  10. Wählen Sie zum Hinzufügen von VPN-Regeln für den Richtungsabgleich die Option SmartConsole > Sicherheitsrichtlinien > Zugriffssteuerung > Richtlinie aus und fügen Sie anschließend eine neue VPN-Regel hinzu. Die Richtungsregel muss die folgenden Bedingungen für den Richtungsabgleich enthalten:

    • Ihre VPN-Community > Ihre VPN-Community
    • Ihre VPN-Community > Internal_Clear
    • Internal_Clear > Ihre VPN-Community

    CheckPoint Connection Add Directional Matching VPN Rules
    Abbildung 10: CheckPoint-Verbindung Add Directional Matching VPN Rules

  11. Wählen Sie zum Installieren der Richtlinie SmartConsole > Sicherheitsrichtlinien aus und klicken Sie anschließend auf Richtlinie installieren.

    CheckPoint Verbindungsinstallationsrichtlinie
    Abbildung 11: CheckPoint Verbindungsinstallationsrichtlinie

  12. Wählen Sie zum Hinzufügen einer virtuellen Tunnelschnittstelle (Virtual Tunnel Interface, VTI) die Option Gaia Portal > Netzmanagement > Netzschnittstellen aus und klicken Sie anschließend auf Hinzufügen > VPN-Tunnel.

    CheckPoint Verbindung VPN-Tunnel hinzufügen
    Abbildung 12: CheckPoint-Verbindung VPN-Tunnel hinzufügen

  13. Wählen Sie zum Hinzufügen der statischen Route die Option Gaia Portal > Netzmanagement > Statische IPv4-Routen aus und klicken Sie anschließend auf Hinzufügen. Das Ziel-CIDR ist das IBM VPC-Teilnetz.

    CheckPoint Verbindung-Statische Route hinzufügen
    Abbildung 13: CheckPoint-Verbindung statische Route hinzufügen

  14. Führen Sie die folgenden Schritte aus, um die Netztopologie zu aktualisieren:

    • Wählen Sie SmartConsole > Gateways & Services aus und klicken Sie anschließend auf den Namen des Sicherheitsgateways, um die Konfigurationsseite des Sicherheitsgateways zu öffnen.
    • Wählen Sie Netzmanagement aus und klicken Sie anschließend auf Schnittstellen abrufen > Schnittstellen mit Topologie abrufen.

    CheckPoint Connection Refresh Network Topology
    Abbildung 14: CheckPoint Connection Refresh Network Topology

Angepasste IKE-Richtlinie für ein Check Point Security Gateway erstellen

Das Check Point Security Gateway verwendet standardmäßig IKEv1. Sie müssen daher eine angepasste IKE-Richtlinie erstellen, um die Standardrichtlinie für das VPN in Ihrer VPC zu ersetzen. Im folgenden Richtlinienbeispiel müssen übereinstimmende IKE- und IPsec-Richtlinien verwendet werden.

Gehen Sie wie folgt vor, um eine angepasste IKE-Richtlinie in VPN for VPC zu verwenden:

  1. Wählen Sie in der IBM Cloud-Konsole auf der Seite 'VPN for VPC' die Registerkarte IKE-Richtlinien aus.
  2. Klicken Sie auf Neue IKE-Richtlinie und geben Sie die folgenden Werte an:
    • Wählen Sie für das Feld IKE-Version die Option 1 aus.
    • Wählen Sie für das Feld Authentifizierung die Option sha256 aus.
    • Wählen Sie für das Feld Verschlüsselung die Option aes256 aus.
    • Wählen Sie für das Feld DH-Gruppe den Wert 19 aus.
    • Geben Sie für das Feld Schlüssellebenslebensdauer den Wert 86400 an.
  3. Wählen Sie beim Erstellen der VPN-Verbindung in Ihrer VPC diese angepasste IKE-Richtlinie aus.

Angepasste IPsec-Richtlinie für Check Point Security Gateway erstellen

Gehen Sie wie folgt vor, um eine angepasste IPsec-Richtlinie in VPN for VPC zu verwenden:

  1. Wählen Sie in der IBM Cloud-Konsole auf der Seite 'VPN for VPC' die Registerkarte IPsec-Richtlinien aus.
  2. Klicken Sie auf Neue IPsec-Richtlinie und geben Sie die folgenden Werte an:
    • Wählen Sie für das Feld Authentifizierung die Option sha256 aus.
    • Wählen Sie für das Feld Verschlüsselung die Option aes256 aus.
    • Geben Sie für das Feld Schlüssellebenslebensdauer den Wert 3600 an.
  3. Wählen Sie beim Erstellen der VPN-Verbindung in Ihrer VPC diese angepasste IPsec-Richtlinie aus.

Sicherstellen, dass NAT-T immer aktiv ist

Stellen Sie sicher, dass das NAT-T-Feature auf Ihrem lokalen VPN-Gerät aktiviert ist. Die folgende Liste zeigt die Standardverhalten an:

  • NAT-T ist aktiviert, wenn eine NAT-Einheit erkannt wurde.
  • Für offer_nat_t_initator ist false festgelegt (Initiator sendet NAT-T-Datenverkehr).
  • Für offer_nat_t_responder_for_known_gw ist true festgelegt (Responder aktzeptiert NAT-T-Datenverkehr von bekannten Gateways).
  • Für force_nat_t ist false festgelegt (erzwingt NAT-T auch wenn keine NAT-Einheit vorhanden ist).

Es wird empfohlen, diese Standardeinstellungen wie folgt zu ändern:

  • Aktivieren Sie NAT-T.
  • Setzen Sie offer_nat_t_initator auf true.
  • Wenn Sie wissen, dass keine NAT-Einheit in der Umgebung vorhanden ist, legen Sie für force_nat_t den Wert true fest.

Diese Variablen können Sie mit dem Tool 'GuiDBedit' anzeigen und ändern. Informationen zur Bestätigung dieser Schritte finden Sie in der CheckPoint-Dokumentation für Ihre jeweilige Version.

  1. Klicken Sie im linken oberen Teilfenster auf TABLE > Network Objects > network_objects.
  2. Wählen Sie im rechten oberen Teilfenster das zutreffende Security Gateway-Objekt aus.
  3. Sehen Sie sich im unteren Teilfenster den Abschnitt 'VPN' an.
  4. Klicken Sie zum Speichern der Änderungen File > Save All.
  5. Installieren Sie in SmartConsole die Zugriffssteuerungsrichtlinie für dieses Security Gateway-Objekt.

Weitere Informationen finden Sie unter NAT-T Compatibility With Check Point Devices.