Access Gate bietet umfangreiche Zugriffskontrollfunktionen für Infrastruktur-Assets. Dazu sind keine aufwendige Neuverkabelung oder Neuvergabe von Adressen erforderlich, stattdessen wird ein Overlay-Netzwerk vor dem bestehenden Netzwerk erstellt. Wie sich dies in das Gesamtdeployment einfügt, erfahren Sie im Architektur-Überblick.
Diese Anleitung richtet sich an Netzwerkadministratoren, die Access Gate mit einem bestehenden Netzwerk verbinden. Die Router-Beispiele unten verwenden Mikrotik RouterOS; bei anderen Anbietern weicht die Syntax ab.
Schritt 1: Overlay-Bereich auswählen
Der Overlay-Bereich ist ein Adressbereich, der für durch Access Gate geschützte Assets reserviert ist. Jeder Underlay-Adresse (der realen Adresse) eines Assets entspricht eine passende Overlay-Adresse.
Die Standardkonfiguration in Access Gate verwendet den Overlay-Bereich 100.64.0.0/16 (er gehört zum reservierten CGNAT-Bereich und kollidiert in der Regel nicht mit vorhandenen IP-Bereichen).
Ein Overlay-Bereich ist eine bidirektionale 1:1-Zuordnung („binat") über den entsprechenden Underlay-Bereich: Jede Overlay-Adresse entspricht genau einer Underlay-Adresse und umgekehrt. Bei Bedarf können mehrere Overlay-Bereiche angegeben werden, um mehrere Underlay-Bereiche abzudecken.
Overlay-Bereiche werden in der Access Gate-Benutzeroberfläche definiert:
Virtuelle Netzwerkbereiche
In diesem Beispiel werden zwei Overlay-Netzwerke über zwei verschiedene Bereiche definiert:
- von
100.64.0.0/22nach172.31.112.0/22(ein VLAN am aktuellen Standort) - von
100.64.4.0/22nach100.127.252.0/22(ein gesichertes WLAN-Netzwerk)
Jeder Underlay-Bereich wird seinem eigenen, nicht überlappenden Overlay-Block zugeordnet. Damit die Binats funktionieren, müssen die Netzmaskengrößen übereinstimmen, und Overlay- und Underlay-Bereich dürfen sich nicht überschneiden.
Schritt 2: Interconnect-Netzwerk erstellen
Das Interconnect-Netzwerk ist ein kleines Netzwerk (empfohlen wird ein /29-Präfix), das ausschließlich Edge-Router und Access Gates enthalten sollte.
Standardmäßig empfehlen wir das Netzwerk 100.65.0.0/29 (ebenfalls Teil des CGNAT-Bereichs), da es nicht mit dem Standard-Overlay kollidiert.
Dieses Netzwerk muss auf Ihrem Edge-Router konfiguriert werden. Das folgende Beispiel verwendet VLAN 100 (verwenden Sie das VLAN, das zu Ihrem Trunk zu Access Gate passt):
/interface/vlan/add name=vlan-aginterco vlan-id=100
/ip/address/add address=100.65.0.1/29 interface=vlan-aginterco
Zurück auf der Einstellungsseite in Access Gate wird die Gateway-Adresse als „Secure Twin Interface" konfiguriert:
Nach Auswahl des Port-Typs können die Werte eingetragen werden:
Mit einem ICMP-Ping-Request lässt sich anschließend prüfen, ob das Gateway erreichbar ist.
Schritt 3: Overlay-Bereich über Access Gate routen
Der gesamte Overlay-Bereich ist nun durch Access Gate geschützt, und der Router kann den gesamten an das Overlay gerichteten Datenverkehr dorthin weiterleiten. Sobald das Interconnect wie im vorherigen Schritt konfiguriert ist, wird im Router eine einzige Route eingetragen (der nächste Hop ist das Secure-Twin-Interface von Access Gate, 100.65.0.5). Beispiel für die Fortsetzung der Konfiguration desselben Routers:
/ip/route
add comment="overlay range via Access Gate" dst-address=100.64.0.0/16 gateway=100.65.0.5
Weitere Details finden Sie unter Overlay-Routen konfigurieren.
Es ist oft einfacher, eine einzelne Route für den gesamten CGNAT-Bereich einzutragen und Access Gate die verschiedenen Teilbereiche und Routen für alle verwalteten VNets verwalten zu lassen. Falls der CGNAT-Bereich bereits intern genutzt wird, können Routen für kleinere Bereiche in den Router eingetragen werden.
Schritt 4: Split-DNS einrichten
Access Gate stellt für alle im Inventar registrierten Assets einen dynamischen Namensauflösungsdienst bereit, ohne weitere Konfiguration.
Für lokale Netzwerke gibt es zwei Möglichkeiten:
- Den vorhandenen DNS-Server für Split-DNS konfigurieren
- Access Gate als Split-DNS-Anbieter konfigurieren
Da die erste Option stark vom jeweiligen Anbieter abhängt, wird hier die zweite beschrieben. Die vollständige Referenz finden Sie unter Access Gate DNS konfigurieren.
Konfigurieren Sie auf der Einstellungsseite den vorgelagerten Resolver, an den Access Gate weiterleitet (Ihren vorhandenen internen DNS oder behalten Sie den standardmäßigen, datenschutzfreundlichen öffentlichen Quad9-Resolver bei).
Auf dem Secure-Twin-Interface von Access Gate läuft standardmäßig ein DNS-Server (100.65.0.6 in dieser Anleitung). Bestätigen Sie dies, indem Sie einen Asset-Namen in der Form <asset-ip>.<your-zone> auflösen:
dig @100.65.0.6 10.0.0.10.blacklab.tr-sec.net
Eine Antwort im Overlay-Bereich 100.64.0.0/16 (hier 100.64.0.10) bestätigt, dass der DNS korrekt funktioniert. Die DHCP-Server-Konfiguration (in der Regel auf dem Router) wird nun entsprechend aktualisiert:
/ip/dhcp-server/network
add address=10.0.0.0/16 dns-server=100.65.0.6 gateway=10.0.0.1
Zusammenfassung
Wir haben ein Overlay-Netzwerk über dem vorhandenen Underlay erstellt, das Interconnect und den Secure Twin Port am Edge-Router konfiguriert, den Overlay-Bereich über Access Gate geroutet und Split-DNS eingerichtet. Setzen Sie dies ein, wenn Sie einer produktiven Infrastruktur Zugriffskontrolle hinzufügen müssen, ohne neu zu verkabeln, Adressen neu zu vergeben oder die bereits laufenden Assets zu unterbrechen.