Am Beispiel eines Netzwerkdruckers zeigen wir Schritt f\u00fcr Schritt, wie Sie diese Funktion optimal einrichten, um auch bei aktivem IKEv2 VPN-Tunnel (Full-Tunnel) sicher und effizient im Home-Office zu arbeiten.<\/p>\n
<\/p>\n
Was macht die Home Zone?<\/h2>\n
Die Hauptaufgabe der Home Zone ist die automatische Anpassung der Firewall-Regeln auf dem Endger\u00e4t des Benutzers, sobald dieser sich im Heimnetzwerk befindet und eine VPN-Verbindung zum Firmennetzwerk hergestellt hat. Dadurch wird ein sicherer und zugleich flexibler Zugriff auf lokale Netzwerkressourcen erm\u00f6glicht.<\/p>\n
Hauptmerkmale der NCP Home Zone:<\/p>\n
- \n
- Lokaler Zugriff:<\/strong> Sie erm\u00f6glicht es dem Benutzer, trotz bestehender VPN-Verbindung weiterhin auf lokale Ger\u00e4te im Heimnetzwerk zuzugreifen, wie zum Beispiel einem Netzwerkdrucker oder einen Netzwerk-Scanner. Ohne diese Funktion w\u00fcrde der gesamte Datenverkehr in der Regel \u00fcber den VPN-Tunnel zum Firmennetz geleitet, wodurch der lokale Zugriff blockiert w\u00e4re.<\/li>\n
- Sichere Kommunikation:<\/strong> Der gesamte Internetverkehr und die Kommunikation mit dem Firmennetzwerk wird weiterhin sicher und verschl\u00fcsselt durch den VPN-Tunnel geleitet.<\/li>\n
- User-Kontext:<\/strong> Die Home Zone muss jeder VPN-User spezifisch definieren. Der Administrator steuert mit der Firewall, was innerhalb der Home Zone erlaubt ist.<\/li>\n<\/ul>\n
Kurz gesagt, die Home Zone bietet einen optimalen Kompromiss zwischen strenger Sicherheit und Benutzerfreundlichkeit f\u00fcr Mitarbeiter im Home-Office.<\/p>\n
Hinweis:<\/u> Sollten Sie nicht die Firewall des WatchGuard IPSEC VPN Client verwenden und dennoch den lokalen Traffic am 0-Route Tunnel vorbeileiten wollen, springen Sie direkt zu >> Punkt 3.5<\/u><\/a> und deaktivieren Sie die Funktion \u201eAuch lokale Netze im Tunnel weiterleiten\u201c.<\/p>\n
Home Zone Firewall-Ausnahmen einrichten<\/h2>\n
1. Ziel<\/h3>\n
Der Zugriff auf lokale Netzwerkdrucker im Home-Office soll auch bei aktivem IKEv2 VPN-Tunnel (Full-Tunnel) gew\u00e4hrleistet sein, jedoch sollen die nachfolgend beschriebenen Security-Mechanismen weiterhin gelten:<\/p>\n
IKEv2-Anbindung inkl. VPN-Enforcement f\u00fcr unsichere Netzwerke. Der NCP-Client soll in \u00f6ffentlichen Netzen das Notebook komplett abschotten. Eine Internetkommunikation darf erst nach VPN-Einwahl m\u00f6glich sein. Zus\u00e4tzlich wird durch Start-Before-Logon sichergestellt, dass der sichere Tunnel bereits vor der Windowsanmeldung ge\u00f6ffnet wird (hilfreich f\u00fcr Logon-Skripte, Gruppenrichtlinien (GPOs), \u2026).<\/p>\n
2. Testumgebung<\/h3>\n
- \n
- WatchGuard Firebox T45 (Firmware 12.11.4 -> min. 12.11.1 ben\u00f6tigt)<\/li>\n
- WatchGuard IPSec Mobile VPN Client for Windows (Version 15.19)<\/li>\n
- Windows 11 Professional 24H2<\/li>\n
- HP LaserJet Pro MFP M283fdw<\/li>\n<\/ul>\n
3. Umsetzung<\/h3>\n
- \n
- Zun\u00e4chst muss der jeweilige Netzwerkdrucker im Home-Office via IP-Adresse angesprochen werden. WSD-Ports werden hier also nicht unterst\u00fctzt:
\n![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2025\/11\/howto-home-zone-firewall-ausnahmen1.png\")
<\/li>\n - Im WatchGuard Mobile VPN unter \u201eKonfiguration\u201c -> \u201eFirewall…\u201c -> \u201eOptionen\u201c setzen wir einen Haken bei \u201eAktiviere Home Zone\u201c:
\n![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2025\/11\/howto-home-zone-firewall-ausnahmen2.png\")
\u00a0 \u00a0![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2025\/11\/howto-home-zone-firewall-ausnahmen3.png\")
<\/li>\n - In den Grundeinstellungen (Firewall-Einstellungen) f\u00fcgen wir die vordefinierte Firewall Regel \u201eHome Zone\u201c hinzu und setzen einen Haken bei der Zone \u201eHome Zone\u201c. Die FW-Regel \u201eHome Zone\u201c kann nat\u00fcrlich weiter eingeschr\u00e4nkt werden:
\n![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2025\/11\/howto-home-zone-firewall-ausnahmen4.png\")
<\/li>\n - Zus\u00e4tzlich setzen wir einen Haken bei den von mir vorhandenen Firewall-Regeln ebenfalls f\u00fcr die Zone \u201eHome Zone\u201c und speichern das Ganze mit dem Button \u201eOK\u201c ab.
\n![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2025\/11\/howto-home-zone-firewall-ausnahmen5.png\")
\n![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2025\/11\/howto-home-zone-firewall-ausnahmen6.png\")
\nDie Policies sollten nach Ihren Bed\u00fcrfnissen erstellt und getestet sein. In meinem Fall ist au\u00dferhalb des VPNs oder eines \u201eTrusted\u201c Networks jeglicher Traffic gesperrt (kein Surfen, Mail, \u2026). F\u00fcr Anwendungen wie WatchGuard EPDR empfehle ich Ausnahmen.<\/li>\n<\/p>\n
- In den Profil-Einstellungen vom WatchGuard Mobile VPN Client unter \u201eSplit Tunneling\u201c entfernen wir den Haken bei \u201eAuch lokale Netze im Tunnel weiterleiten\u201c und best\u00e4tigen dies mit dem Button \u201eOK\u201c.
\n![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2025\/11\/howto-home-zone-firewall-ausnahmen7.png\")
\u00a0 \u00a0![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2025\/11\/howto-home-zone-firewall-ausnahmen8.png\")
![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2025\/11\/howto-home-zone-firewall-ausnahmen9.png\")
<\/li>\n - Im jeweiligen Home Office muss einmalig bei jedem Mitarbeiter die Home Zone wie folgt gesetzt werden (VPN darf nicht aktiv sein!). Mit dem Setzen der Home Zone wird das Regelwerk f\u00fcr Home Zone angewendet und die Hardware MAC-Adresse des Default Gateways des aktiven Netzwerk-Adapters in der Konfiguration des VPN-Clients gespeichert. Sind mehrere Netzwerk-Schnittstellen mit jeweils einem Default-Gateway aktiv, so wird die Default-Route zum Speichern der Hardware MAC-Adresse ber\u00fccksichtigt, die die kleinste Metric aufweist:
\n![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2025\/11\/howto-home-zone-firewall-ausnahmen10.png\")
\nEine aktive Home Zone wird im WatchGuard Mobile VPN Client als Haus-Symbol hinter dem Schutzschild der aktiven Endpoint Firewall dargestellt:
\n![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2025\/11\/howto-home-zone-firewall-ausnahmen11.png\")
<\/li>\n - Zum Schluss bitte das jeweilige Ger\u00e4t neu starten. Nach erfolgreicher VPN-Einwahl kann ab sofort der jeweilige Mitarbeiter auch mit aktivem IKEv2 VPN-Tunnel (Full-Tunnel) auf seinen Netzwerkdrucker (LAN \/ Home Office) zugreifen bzw. drucken. Verl\u00e4sst der Mitarbeiter wieder sein Home Office greifen automatisch die vom Administrator festgelegten Firewall-Regeln. Die Home Zone wird auch bei aktiver VPN-Verbindung durch das Haus-Symbol im Client visualisiert:
\n![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2025\/11\/howto-home-zone-firewall-ausnahmen12.png\")
\u00a0 \u00a0![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2025\/11\/howto-home-zone-firewall-ausnahmen13.png\")
<\/li>\n<\/ol>\n4. Tipps<\/h3>\n
- \n
- Alternativ k\u00f6nnen Sie auch einen Drucker direkt am jeweiligen Ger\u00e4t via USB anschlie\u00dfen. Vorteil: Hierbei ist die oben genannte Konfiguration der Home Zone nicht<\/u> notwendig.<\/li>\n
- Zum Troubleshooting der NCP-Firewall \/ Home Zone k\u00f6nnen Sie wie folgt die Protokollierung aktivieren:
\n![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2025\/11\/howto-home-zone-firewall-ausnahmen14.png\")
\u00a0 \u00a0![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2025\/11\/howto-home-zone-firewall-ausnahmen15.png\")
\nBei einer Default Installation des WatchGuard Mobile VPN Clients finden Sie die Firewall Logs (fw*.logs) im Pfad \u201cC:\\ProgramData\\WatchGuard\\Mobile VPN\\log_system\u201d.<\/li>\n- Damit die Firewall-Einstellungen, Profile etc. nicht bspw. durch den Mitarbeiter angepasst werden k\u00f6nnen, empfehlen wir die Konfigurationssperre im WatchGuard Mobile VPN Client einzusetzen. Die Konfigurationssperre wird in der Hilfe des WatchGuard Mobile VPN Clients beschrieben.<\/li>\n<\/ul>\n
Weiterf\u00fchrende Links<\/h3>\n
- \n
- Im WatchGuard Mobile VPN Client (Hilfe -> Hilfe)<\/li>\n
- WatchGuard IPSec Mobile VPN Client \u2013 Desktop Firewall aktivieren<\/a> (Help Center)<\/li>\n
- Informationen \u00fcber den IPSec Mobile Client by NCP<\/a> (Help Center)<\/li>\n
- HOWTO: WatchGuard IPSec Mobile VPN Client by NCP \u2013 Jetzt auch mit IKEv2 Support<\/a><\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"
Im modernen Home-Office ist der sichere und zugleich komfortable Zugriff auf Unternehmensressourcen ein entscheidender Faktor f\u00fcr effizientes Arbeiten. Doch genau hier entsteht oft ein Zielkonflikt: W\u00e4hrend der VPN-Tunnel eine gesch\u00fctzte Verbindung zum Firmennetzwerk herstellt, wird dadurch h\u00e4ufig der Zugriff auf lokale Ger\u00e4te \u2013 wie Drucker oder NAS-Systeme \u2013 blockiert. Der Premium IPSec VPN-Client von WatchGuard (by NCP) wurde bereits im Artikel >> HOWTO: WatchGuard IPSec … Weiterlesen HOWTO: Home Zone Firewall-Ausnahmen im WatchGuard IPSEC VPN Client (NCP) am Beispiel eines Netzwerkdruckers<\/span>
- Informationen \u00fcber den IPSec Mobile Client by NCP<\/a> (Help Center)<\/li>\n
- Zum Troubleshooting der NCP-Firewall \/ Home Zone k\u00f6nnen Sie wie folgt die Protokollierung aktivieren:
- Alternativ k\u00f6nnen Sie auch einen Drucker direkt am jeweiligen Ger\u00e4t via USB anschlie\u00dfen. Vorteil: Hierbei ist die oben genannte Konfiguration der Home Zone nicht<\/u> notwendig.<\/li>\n
- Zun\u00e4chst muss der jeweilige Netzwerkdrucker im Home-Office via IP-Adresse angesprochen werden. WSD-Ports werden hier also nicht unterst\u00fctzt:
- Sichere Kommunikation:<\/strong> Der gesamte Internetverkehr und die Kommunikation mit dem Firmennetzwerk wird weiterhin sicher und verschl\u00fcsselt durch den VPN-Tunnel geleitet.<\/li>\n