Support-Portal
keyboard_arrow_right keyboard_arrow_left
Auf dieser Seite können Sie ein Remote Ethernet Device (RED) in einer entfernten Niederlassung konfigurieren.
1. Stellen Sie sicher, dass RED aktiviert ist. Dies kann auf der Seite Konfigurieren > Systemdienste > RED gemacht werden.
2. Gehen Sie zu Konfigurieren > Netzwerk, klicken Sie auf Schnittstelle hinzufügen rechts oben und wählen Sie RED hinzufügen aus der Auswahlliste aus.
3. Geben Sie die Details für RED-Einstellungen ein.
Zweigname
Geben Sie den Namen des externen Standorts an, an welchem das RED eingerichtet werden soll.
Typ
Wählen Sie die RED-Appliance aus der Auswahlliste aus.
RED 10
RED 15
RED 15w
RED 50
Firewall RED-Server
Firewall RED-Client
Firewall Legacy-RED-Server
Firewall Legacy-RED-Client
* Die RED-Appliance Firewall Legacy-RED-Server und Legacy-Firewall RED-Client können Sophos XG Firewall mit Sophos UTM über eine RED Site2Site-Verbindung verbinden. Weitere Informationen finden Sie unter RED Site-to-Site zwischen Sophos XG Firewall und Sophos UTM.
RED-ID (nicht für Typ Firewall RED-Server, Firewall Legacy-RED-Server, Firewall RED-Client und Legacy-Firewall RED-Client)
Geben Sie die RED-ID ein.
Die RED-ID ist eine Zeichenfolge aus 15 Zeichen und auf dem Aufkleber auf der Unterseite der RED-Appliance sowie vorne auf dem Karton zu finden.
Tunnel-ID (nicht wenn der Typ Firewall RED-Client und Legacy-Firewall RED-Client ist)
Wählen Sie die Tunnel-ID aus der Auswahlliste aus.
Standardmäßig ist Automatisch ausgewählt. Tunnel sind fortlaufend nummeriert. Wählen Sie eine eindeutige Tunnel-ID aus und stellen Sie sicher, dass sie auf beiden Appliances dieselbe ist – RED und Sophos XG Firewall.
* Wenn der Typ Firewall Legacy-RED-Server oder Firewall Legacy-RED-Server ist, stellen Sie sicher, dass die Tunnel-ID auf der Appliance verfügbar ist, die verbunden werden soll.
Entsperrcode
Geben Sie den Entsperrcode ein. (Füllen Sie dieses Feld nicht aus, wenn RED zum ersten Mal eingesetzt werden soll.)
Der Entsperrcode ist eine 8-stellige Zeichenfolge, die generiert wird, wenn ein RED zu einer Sophos XG Firewall hinzugefügt wird. Wenn das RED schon einmal eingerichtet wurde, müssen Sie hier den Entsperrcode eingeben. Der Entsperrcode wird während der Bereitstellung einer RED-Appliance generiert und an die E-Mail-Adresse gesendet, die Sie bei der Aktivierung des RED angegeben haben. Diese Sicherheitsfunktion stellt sicher, dass die RED-Appliance nicht entfernt und woanders installiert werden kann.
Zur manuellen Bereitstellung über einen USB-Stick und für automatische Bereitstellung über den Provisioning Service (siehe Bereitstellung der Appliance) werden zwei separate Entsperrcodes generiert. Wenn Sie die Bereitstellungsmethode einer RED-Appliance ändern, stellen Sie sicher, dass Sie den korrekten Entsperrcode verwenden. Bei der manuellen Bereitstellung geben Sie den Entsperrcode der vorherigen manuellen Bereitstellung an. Bei der automatischen Bereitstellung geben Sie den Entsperrcode der vorherigen automatischen Bereitstellung an.
Firewall-IP/Hostname (nicht wenn der Typ Firewall RED-Server und Firewall Lecacy-RED-Server ist)
Geben Sie den Hostname von Sophos XG Firewall ein.
Der Hostname muss ein öffentlich auflösbarer DNS-Name oder die IP-Adresse von Sophos XG Firewall sein. Das RED verwendet den Namen oder die IP-Adresse, um sich erneut mit Sophos XG Firewall zu verbinden.
Zweiter Firewall-IP/Hostname (nicht verfügbar wenn für den Client-Typ RED 10 ausgewählt ist)
Legen Sie den Hostnamen der zweiten Sophos XG Firewall fest.
Zweiten Firewall-IP/Hostname verwenden für (nicht verfügbar wenn für den Client-Typ RED 10 ausgewählt ist)
Wählen Sie aus den folgenden Optionen:
Failover: Stellt sicher, dass der sekundäre Sophos XG Firewall übernimmt, wenn der primäre Sophos XG Firewall fehl schlägt. Der sekundäre Host wird übernehmen, ohne dass die Verbindung getrennt wird.
Lastverteilung: Verteilt den Datenverkehr gleichmäßig zwischen dem primären und sekundären Sophos XG Firewall.
Bereitstellungsdatei (nur wenn der Typ Firewall RED-Client oder Legacy-Firewall-RED-Client ist)
Um die Konfigurationsdaten der entfernten Client-Appliance zur Verfügung zu stellen. Laden Sie die Bereitstellungsdatei mithilfe der Schaltfläche Durchsuchen hoch und übertragen Sie die Datei an die entfernte Appliance.
Beschreibung
Geben Sie eine Beschreibung der RED-Schnittstelle ein.
Bereitstellung der Appliance
Wählen Sie die Bereitstellungsmethode:
Automatisch über Provisionsing Service
Manuell über USB-Stick
* Wenn Sie die manuelle Bereitstellung wählen, ist es äußerst wichtig, dass Sie den Entsperrcode aufbewahren, der per E-Mail versendet wird. Wenn Sie den Entsperrcode verlieren, können Sie die RED-Appliance mit keiner weiteren Sophos XG Firewall verbinden und Sie müssen den Sophos Support kontaktieren.
Sophos XG Firewall stellt die Konfigurationsdaten des RED automatisch über den RED Provisioning Service von Sophos zur Verfügung. In diesem Fall erhält die RED-Appliance ihre Konfiguration über das Internet. Wenn Ihr RED über keine Internetverbindung verfügt, können Sie die Konfiguration manuell über einen USB-Stick durchführen. Wenn Sie eine RED-Appliance manuell installieren, müssen Sie sicherstellen, dass Sophos XG Firewall als NTP-Server agiert. Aktivieren Sie NTP für Sophos XG Firewall unter System > Verwaltung > Zeit und lassen Sie das gewünschte Netzwerk oder die IP-Adresse des RED zur Verbindungserstellung zu.
4. Geben Sie die Daten für die Uplink-Einstellungen ein.
Uplink-Verbindung
Wählen Sie den Verbindungstyp für Uplink:
DHCP: Das RED bezieht eine IP-Adresse von einem DHCP-Server.
Statisch: Geben Sie eine IP-Adresse, die entsprechende Netzmaske, ein Gateway und eine DNS-Server-IP-Adresse ein.
Zweite Uplink-Verbindung (nur verfügbar wenn für den Client-Typ RED 50 ausgewählt ist)
Wählen Sie den Verbindungstyp für Uplink:
DHCP: Das RED bezieht eine IP-Adresse von einem DHCP-Server.
Statisch: Geben Sie eine IP-Adresse, eine entsprechende Netzmaske, ein Gateway und eine DNS-Server-IP-Adresse ein.
Zweiter Uplink-Modus (nur wenn für den Client-Typ RED 50 ausgewählt ist)
Wählen Sie einen Uplink-Modus für den zweiten Host.
Failover
Lastverteilung
3G/UMTS Failover (nicht verfügbar wenn als Betriebsmodus Transparent/Getrennt ausgewählt ist)
Wählen Sie die Option um die 3G/UMTS-Failover-Funktion zu aktivieren. Deaktivieren Sie das Auswahlkästchen, um die Funktion zu deaktivieren.
* Stecken Sie einen 3G/UMTS USB-Stick in den USB-Port des RED. Im Falle eines Ausfalls der WAN-Schnittstelle kann dieser Stick als Internet-Uplink-Failover dienen. Die erforderlichen Einstellungen finden Sie im Datenblatt Ihres Internetanbieters.
Mobilfunknetz: Wählen Sie den mobilen Netzwerktyp aus der Auswahlliste aus.
GSM
CDMA
Benutzername/Kennwort (nur wenn CDMA ausgewählt ist): Geben Sie, sofern erforderlich, einen Benutzernamen und ein Kennwort für das Mobilfunknetz ein.
PIN (nur wenn GSM ausgewählt ist): Geben Sie die PIN der SIM-Karte ein, falls eine PIN konfiguriert ist.
* Wenn Sie eine falsche PIN festlegen, kann die Verbindung über 3G/UMTS im Falle eines Ausfalls der WAN-Schnittstelle nicht aufgebaut werden. Stattdessen ist das Auswahlkästchen für 3G/UMTS Failover der RED-Appliance automatisch deaktiviert. Somit wird die falsche PIN nur ein Mal verwendet. Wenn die WAN-Schnittstelle wieder funktioniert, zeigt die RED-Appliance eine Warnung: Es wurde eine falsche PIN für den 3G/UMTS-Failover-Uplink eingegeben. Bitte ändern Sie Ihre Anmeldedaten. Wenn Sie das Dialogfeld RED bearbeiten öffnen, erscheint eine Nachricht, dass die 3G/UMTS-Failover-Funktion automatisch deaktiviert wurde. Geben Sie die richtige PIN ein und markieren Sie das Auswahlkästchen. Nach drei Verbindungsversuchen mit einer falschen PIN ist die SIM-Karte gesperrt. Sie kann nicht über die RED-Appliance oder Sophos XG Firewall entsperrt werden und Sie müssen den Sophos Support kontaktieren.
APN (nur wenn GSM ausgewählt ist): Geben Sie den Namen des Zugangspunkts von Ihrem Dienstanbieter an.
Einwahlkennung: Wenn Ihr Anbieter eine andere Wählzeichenfolge verwendet, geben Sie diese hier ein.
Standard für GSM: *99#
Standard für CDMA: #777
5. Legen Sie die Details für RED-Netzwerk-Einstellungen fest.
RED-Betriebsmodus
Wählen Sie dies, um festzulegen, wie das entfernte Netzwerk in Ihr lokales Netzwerk integriert werden soll:
Standard/Vereint: Der gesamte entfernte Netzwerkverkehr wird über Sophos XG Firewall geroutet, das als DHCP-Server fungiert und auch als Standardgateway. Sophos XG Firewall hat die vollständige Kontrolle über den Netzwerkdatenverkehr des entfernten Netzwerks. Es kann dem Datenverkehr zwischen den lokalen und entfernten LANs Firewallregeln zuweisen und den Internetverkehr und Anwendungen des entfernten Netzwerks filtern.
* VLAN-Verkehr über diesen Modus verarbeiten, wenn VLAN hinter RED eingerichtet ist.
Standard/Getrennt: Nur Verkehr, der lokale Netzwerke auswählt, wird über Sophos XG Firewall geroutet. Wählen Sie die lokalen Netzwerke aus der Auswahlliste in Getrenntes Netzwerk oder legen Sie neue Netzwerke an, auf die RED zugreifen kann. Sophos XG Firewall kontrolliert den Verkehr zu diesen Netzwerken von entfernten Netzwerken. Zusätzlich fungiert sie als DHCP-Server und als Standard-Gateway. Der gesamte weitere entfernte Netzwerkverkehr wird direkt durch die lokale Internetverbindung gesendet.
* VLAN-getaggte Frames können in diesem Betriebsmodus nicht verarbeitet werden. Um hinter Ihrer RED-Appliance ein VLAN zu verwenden, wählen Sie den Standard/Vereint-Modus.
Transparent/Getrennt (nicht verfügbar wenn 3G/UMTS Failover ausgewählt ist): Sophos XG Firewall kontrolliert weder Netzwerkverkehr des entfernten Netzwerks, noch fungiert sie als DHCP-Server oder als Standardgateway. Es bezieht eine IP-Adresse des entfernten Netzwerks vom DHCP-Server um Teil des Netzwerks zu werden. Sie können den Zugriff zum lokalen Netzwerk für entfernte Clients erlauben. Definieren Sie getrennte Netzwerke, auf die vom entfernten Netzwerk aus zugegriffen werden kann. Zusätzlich können Sie eine oder mehrere verteilte Domänen für den Zugriff definieren. Wenn Ihre lokalen Domänen nicht öffentlich zugänglich sind, geben Sie einen Getrennten DNS-Server an, der Anfragen von den entfernten Clients entgegen nimmt.
* VLAN-getaggte Frames können in diesem Betriebsmodus nicht verarbeitet werden. Um hinter Ihrer RED-Appliance ein VLAN zu verwenden, wählen Sie stattdessen den Standard/Vereint-Modus.
RED-IP (nicht wenn Transparent/Getrennt aktiviert ist)
Geben Sie die IP-Adresse der RED-Appliance ein.
RED-Netzmaske (nicht wenn Transparent/Getrennt aktiviert ist)
Wählen Sie die Netzmaske aus der Auswahlliste.
Zone
Wählen Sie die Zone aus der Auswahlliste:
LAN
DMZ
VPN
WLAN
DHCP konfigurieren
Aktivieren, um für das RED einen DHCP-Bereich zu konfigurieren.
RED-DHCP-Bereich (nur verfügbar, wenn DHCP konfigurieren ausgewählt ist)
Geben Sie den DHCP-Bereich an, den das RED verwenden darf.
Getrennter DNS-Server (nur verfügbar wenn Transparent/Getrennt aktiviert ist)
Wenn Ihre lokalen Domänen nicht öffentlich zugänglich sind, müssen Sie einen verteilten DNS-Server festlegen, der von entfernten Clients abgefragt werden kann.
Getrenntes Netzwerk (nicht wenn Standard/Vereint aktiviert ist)
Wählen Sie getrennte Netzwerke aus der Auswahlliste oder fügen Sie mehr Netzwerke hinzu.
* Datenverkehr, der im Feld Getrenntes Netzwerk gelistet ist, wird zu Ihrer Sophos XG Firewall umgeleitet. Der verbleibende Datenverkehr wird direkt ins Internet geroutet.
Um den Datenverkehr von der Niederlassung in das Intranet des Hauptsitzes auf Viren zu prüfen, leiten Sie ihn durch Sophos XG Firewall. Oder verwenden Sie Sophos XG Firewall als HTTP-Proxy.
Getrennte Domänen (nicht wenn Transparent/Getrennt aktiviert ist)
Fügen Sie eine oder mehrere getrennte Domänen hinzu.
* Da Sophos XG Firewall nur ein Client des entfernten Netzwerks ist, ist es möglich, den Datenverkehr zu getrennten Netzwerken zu routen, so wie es mit anderen Modi gemacht wird. Daher fängt die RED-Appliance den Datenverkehr ab: Datenverkehr, der an ein im Feld Getrenntes Netzwerk aufgeführtes Netzwerk oder an eine im Feld Getrennte Domäne aufgeführte Domäne gesendet wird, wird an die Sophos XG Firewall-Schnittstelle weitergeleitet. Dies wird erreicht, indem die MAC-Adresse des Standardgateways in den betreffenden Datenpaketen durch die MAC-Adresse von Sophos XG Firewall ersetzt wird.
Beispiel: Ein Partner oder ein Dienstleister benötigt Zugriff auf Ihr Intranet oder einen bestimmten Server in Ihrem lokalen Netzwerk. Durch die Verwendung einer RED-Appliance bleibt das Netzwerk Ihres Partners komplett unabhängig von Ihrem Netzwerk, aber er kann auf einen festgelegten Teil Ihres Netzwerks zu bestimmten Zwecken zugreifen, so als wäre er über LAN verbunden.
MAC-Filtertyp
Um die MAC-Adressen, die sich mit der RED-Appliance verbinden dürfen, zu begrenzen, nutzen Sie die Blacklist oder Whitelist.
Whitelist Nur MAC-Adressen, die in der Liste der MAC-Adressen gelistet sind, sind zugelassen
Blacklist Nur MAC-Adressen, die in der Liste der MAC-Adressen gelistet sind, sind nicht zugelassen.
MAC-Adresse: Liste der MAC-Adressen, die dazu verwendet wird, den Zugang zur RED-Appliance zuzulassen oder einzuschränken. MAC-Adresslisten können auf der Seite System > Hosts und Dienste > MAC-Host erstellt werden.
* Die MAC-Filterung ist nur mit RED rev. 2 oder höher möglich. Für RED 10 sind maximal 200 MAC-Adressen erlaubt, während die Liste für RED 50 bis zu 400 MAC-Adressen enthalten kann.
Tunnelkomprimierung
Wählen Sie die Option, um den gesamten Datenverkehr, der durch den RED-Tunnel gesendet wird, zu komprimieren. Durch Datenkomprimierung kann sich der Durchsatz durch die RED-Appliance, wenn sie in Regionen mit sehr langsamer Internetverbindung wie 1-2 Mbit/s eingesetzt wird, erhöhen. Die Leistungserhöhung hängt von dem Komprimierungspotenzial der Daten ab (z.B. können Daten, die bereits komprimiert sind, wie HTTPS oder SSH, nicht weiter komprimiert werden). Unter gewissen Umständen kann durch die Aktivierung der Datenkomprimierung der Durchsatz durch die RED-Appliance allerdings auch reduziert werden. Wenn dies der Fall ist, deaktivieren Sie die Datenkomprimierung.
* Die Tunnelkomprimierung ist für RED 10 rev.1 nicht verfügbar.
6. Geben Sie die Details für Switch-Einstellungen an (nur, wenn der Client-Typ RED 50 ist).
Switchport-Modus
RED 50 bietet vier LAN-Ports die entweder als einfache Switches oder für die intelligente VLAN-Nutzung konfiguriert werden können. Wenn es auf Switch gestellt ist, wird der gesamte Datenverkehr an alle Ports gesendet. Wenn es auf VLAN gestellt ist, kann der Datenverkehr anhand des VLAN-Tags des Ethernet-Frames gefiltert werden, was das Tunneln von mehr als einem Netzwerk in den RED-Tunnel zulässt.
Wählen Sie den Switchport-Modus für die Switch-Einstellungen.
Switch: RED 50 verwendet standardmäßig den Switch.
VLAN: Wählen Sie den/die LAN-Port(s) und geben Sie die VLAN ID(s) an.
Wenn Sie die VLAN-Switch-Portkonfiguration verwenden, können Sie jeden LAN-Port separat konfigurieren. Folgende Optionen stehen für jeden LAN-Port zur Verfügung:
Ohne Tags (Hybrid-Port): Ethernet-Frames mit den im Feld LAN VID(s) unten angegebenen VLAN-IDs werden an diesen Port gesendet. Die Frames werden ohne Tags gesendet. Daher müssen die Endgeräte VLAN nicht unbedingt unterstützen. Für diesen Port ist nur eine einzige VLAN-ID zulässig.
Ohne Tags, mit Tags verwerfen (Access-Port): Ethernet-Frames mit den im Feld LAN VID(s) unten angegebenen VLAN-IDs werden nicht an diesen Port gesendet. Die Frames werden ohne Tags gesendet. Daher müssen die Endgeräte VLAN nicht unbedingt unterstützen.
Mit Tags (Trunk-Port): Ethernet-Frames mit den im Feld LAN VID(s) unten angegebenen VLAN-IDs werden an diesen Port gesendet. Die Frames werden mit Tags gesendet. Daher müssen die Endgeräte VLAN unterstützen. Frames ohne VLAN-IDs werden nicht an diesen Port gesendet. Für diesen Port sind bis zu 64 verschiedene, durch Komma getrennte VLAN-IDs zulässig.
Deaktiviert: Dieser Port ist geschlossen. Keine Frames mit den oder ohne die im Feld LAN VID(s) angegebenen VLAN-IDs werden an diesen Port gesendet.
7. Klicken Sie auf Speichern.
* Wenn die Meldung „Registrierung über RED-Dienst ist fehlgeschlagen. Vergewissern Sie sich, dass diese Appliance eine Verbindung zum Internet über Port 3400 aufbauen kann.“ erscheint, ist ein Netzwerkproblem aufgetreten. Prüfen Sie, ob Sie red.astaro.com über Port 3400 (mit dem Konsolenbefehl telnet red.astaro.com 3400) erreichen können. Wenn dies der Fall ist, wurde der Fehler vermutlich aufgrund hoher Netzwerklast ausgelöst. Versuchen Sie später noch einmal, sich zu verbinden.
 

Mit der Nutzung dieser Website erklären Sie sich damit einverstanden, dass wir Cookies verwenden. Weitere Informationen finden Sie in unseren Datenschutzvereinbarungen