TroutTrout
All docs

Konfiguration von Overlay-Routen

Richten Sie Routen ein, damit der Datenverkehr durch Access Gate fließt, ohne Ihr bestehendes Netzwerk zu ändern.

2 min read · Last updated 2026-05-02

Overlay-Routen konfigurieren

Access Gate verwendet Routing, um Overlay-Datenverkehr durch das Gerät zu leiten, während das bestehende Netzwerk (Underlay) unverändert bleibt. Dazu sind einige wenige explizite Routen auf dem Router sowie eine Gateway-Konfiguration auf Access Gate erforderlich.

Routen auf dem Router konfigurieren

Fügen Sie Routen hinzu, damit Overlay-Datenverkehr an Access Gate gesendet wird:

# Route overlay network through Access Gate
ip route add 100.64.0.0/16 via <access-gate-ip> # Overlay network
ip route add 100.65.0.6/29 via <access-gate-ip> # Access Gate interface

Diese Routen stellen sicher, dass sämtlicher Datenverkehr, der für Overlay-IPs bestimmt ist, an Access Gate weitergeleitet wird.

Overlay-Interface auf Access Gate konfigurieren

Nehmen Sie in der Access Gate-Benutzeroberfläche am Overlay-Port folgende Einstellungen vor:

  • IP-Adresse: 100.65.0.6/29
  • Gateway: 100.65.0.1

Damit kann Access Gate proxierten Datenverkehr über den vorhandenen Router zurück in das Underlay-Netzwerk senden.

Resultierender Datenverkehrsfluss

Mit diesen Routen besteht jede geschützte Sitzung aus zwei Abschnitten – einem im Overlay und einem im Underlay – und Access Gate übersetzt zwischen beiden. Ein Abschnitt verbleibt stets im bestehenden Netzwerk, wodurch Access Gate Assets schützen kann, ohne deren IP-Adressen zu ändern.

Angenommen, ein Client mit der Underlay-Adresse 192.168.10.50 möchte ein geschütztes HMI erreichen, dessen Underlay-IP 192.168.30.20 ist. Access Gate stellt dieses HMI unter der Overlay-Adresse 100.64.1.20 bereit.

  1. Eingehend vom Client. Der Client sendet ein Paket mit source 192.168.10.50 und destination 100.64.1.20. Der Router trifft auf die Route 100.64.0.0/16 und leitet das Paket an Access Gate weiter.
  2. Policy + NAT auf Access Gate. Access Gate authentifiziert die Sitzung, wendet die Richtlinie an und öffnet eine neue Verbindung zum HMI im Underlay. Das weitergeleitete Paket hat source 100.65.0.6 (die eigene Underlay-IP von Access Gate, ein NAT) und destination 192.168.30.20. Das HMI sieht die Overlay-Adresse zu keinem Zeitpunkt.
  3. Ausgehend vom HMI. Das HMI antwortet an 100.65.0.6. Access Gate ordnet die Antwort der ursprünglichen Overlay-Sitzung zu und sendet sie mit source 100.64.1.20 und destination 192.168.10.50 an den Client zurück.

Da der geräteseitige Abschnitt stets im Underlay verbleibt, sind weder VLAN-Änderungen noch IP-Neuzuweisungen erforderlich. Access Gate ist das einzige Gerät im Netzwerk, das vom Overlay wissen muss.

Previous
NTP konfigurieren