Drei unserer Kindergärten haben einen eigenen Internetzugang und sind von dort über eine VPN Verbindung mit dem grossen Schulnetzwerk verbunden.

Neu binden wir diese nicht mehr mit einem IPSec Tunnel ein, sondern mit einer zu unserer Firewall passenden RED.

Um eine neue RED in Betrieb zu nehmen, wechselt man bei der UTM auf “RED Management” und dann auf die Registerkarte “[Server] Deployment Helper”. Hier muss man nur ein paar Angaben machen. Durch einen Klick auf “Deploy RED” werden Interface, DHCP Server, etc. automatisch eingerichtet. Man kann diese danach noch manuell anpassen. Alternativ kann man auch direkt von Anfang an alles manuell einrichten.

Mit der Deployment Methode “Standard/Unified” erreicht man, dass der gesamte Verkehr über die Firewall abgewickelt wird. Also wie wenn das ganze Kindergartennetzwerk über ein Ethernetkabel an der Firewall eingesteckt wäre.

Unter Interfaces findet man danach ein neues Interface (wie bei den eingebauten Netzwerkanschlüssen).

Ausserdem wird das Netzwerk bei den erlaubten Netzwerken für DNS von der UTM eingetragen.

Auch der DHCP Server für das Netzwerk wurde automatisch erstellt. Standardmässig für Adressen von 128 bis 254. Diese musste ich anpassen, da ich sonst einen Konflikt mit dem Kopierer im Kindergarten bekommen hätte.

Damit das neue Netzwerk auch ins Internet kommt, muss man unter “NAT” –> “Masquerading” noch eine neue Regel hinzufügen.

Unter “Firewall” muss man auch noch eine Regel für die Internetprotokolle erstellen.

Falls der Zugang ins Internet über den Proxy und damit über den Contentfilter läuft, muss man unter “Web Filtering” die entsprechenden Kindergartennetzwerke noch hinzufügen.

Ausserdem muss noch eine Firewallregel zum internen Netzwerk eingerichtet werden, damit die Computer von den Kindergärten auch auf die Server im internen Netzwerk kommen.

Wenn man nun die RED am gewünschten Standort einsteckt, bekommt sie über DHCP ihre Netzwerkeinstellungen und verbindet sich mit einem Cloud-Server von Sophos. Die UTM hat bei der Konfiguration der RED Einstellungen ein Config-file auf diesen Cloud-Server geladen, das die RED beim ersten Kontakt nun erhält und installiert. Danach verbindet sich die RED direkt mit der UTM. Dafür wird der Port 3400 benötigt.

Spezialfall SAI Anschluss

Da wir an den Standorten für die Kindergärten weiterhin einen SAI Anschluss der Swisscom einsetzen, gibt es ein paar Besonderheiten. Zum einen ist das die vorgeschaltete Firewall der Swisscom. Im Kanton St. Gallen ist aber der Port 3400 bereits offen, allenfalls hat schon jemand anders dessen Öffnung beim Kanton beantragt. Das zweite Problem ist aber, dass es hinter dem Router der Swisscom kein DHCP gibt. So kann sich also die RED nicht automatisch mit dem Cloud-Server verbinden, um die Konfiguration zu erhalten. Man muss die Erstkonfiguration an einem Ort mit DHCP vornehmen. Da ich ja die bestehenden Zyxel Firewalls ersetze, kann man diese noch für die Erstkonfiguration verwenden, bevor man sie entfernt.

Um die RED an einem Ort zu betreiben, der wie die SAI Anschlüsse nicht über DHCP verfügt, muss man unter “RED Management” –> “[Server] Client Management” die gewünschte RED auswählen und über einen Klick auf “Edit” bearbeiten. Hier kann man dann den “Uplink mode” auf “Static Address” setzen und die erforderlichen Einträge vornehmen.