IP Sec VPN mit Masquerading

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
SIT
Beiträge: 6
Registriert: Mi 19.08.2015, 17:22

IP Sec VPN mit Masquerading

Beitrag von SIT »

Hallo,

ich stehe vor einem kleinen Verständnisproblem.
Es soll eine VPN Verbindung (Ipsec) von einer UTM V11 zu einem Rechnerzentrum aufgebaut werden. Hierbei gibt es drei Netze.
Netz 1: Eigenes internes Netzwerk (192.168.x.x/24)
Netz 2: VPN Transportnetzwerk bei der VPN Einwahl (10.172.x.x/29) wird vom Rechnerzentrum bereitgestellt (kann nicht von mir administriert werden)
Netz 3: Zielnetzwerk im Rechnerzentrum zu Serverfarm (10.192.x.x/24) (kann nicht von mir administriert werden)

Die reine VPN Verbindung steht bzw. kann aufgebaut werden.
Mein Problem ist das Masquerading, ich muss die Konfiguration so anpassen das Netz 1 mit einer IP aus Netz 2 auf Netz 3 zugreift. Mann könnte natürlich auch ein N:N Nat einsetzen, finde ich aber sehr zeitaufwendig und meines Wissens ist die UTM dazu auch noch nicht in der Lage.

Welche Regeln und Netzwerkobjekte müsste ich für das Masquerading anlegen?

Franz
Beiträge: 387
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Beitrag von Franz »

Vielleicht hilft der folgende Beitrag weiter:
http://support.securepoint.de/viewtopic.php?f=29&t=6038

Benutzeravatar
Christian E.
Securepoint
Beiträge: 238
Registriert: Do 05.07.2012, 16:19
Wohnort: Lüneburg

Beitrag von Christian E. »

Hallo,

seit der 11.5 ist Netmap möglich:

http://wiki.securepoint.de/index.php/Netmap_11.5

vorher war die Vorgehensweise wie folgt:


Legen Sie eine IP mit der geNATtet werden soll auf das interne Interface,
z.B. 192.168.1.1/24

In Phase zwei übermitteln Sie dann dieses Netz über IP

IPSec:

Phase II:
lokales Netz 192.168.1.0/24
remote Netz 10.0.10.0/24

Legen Sie Netzwerkobjekte an

Objekte:
fw-internal-NAT - IP: 192.168.1.1/24 - Zone: firewall-internal
vpn-ipsec - IP: 10.0.10.0/24 - Zone: vpn-ipsec
ipsec-netzwerk - IP: 192.168.1.0/24 - Zone: vpn-ipsec

Portfilter:

internal-network -> vpn-ipsec -> any
NAT: HideNAT Schnittstelle: fw-internal-NAT

internal-network -> ipsec-netzwerk -> any
NAT: HIDENAT EXCLUDE - Schnittstelle: external-interface


Gruß

SIT
Beiträge: 6
Registriert: Mi 19.08.2015, 17:22

Beitrag von SIT »

Vielen Dank für die zwei Antworten.
@Franz : Diesen Beitrag hatte ich mir schon einmal angesehen, konnte aber keine Umsetzung auf meine Problematik entwickeln.
@Christian: Vielen Dank für die ausführliche Antwort! Hab aber noch ne kurze Frage. Sollte der erste Punkt (Legen Sie eine IP mit der geNATtet werden soll auf das interne Interface,
z.B. 192.168.1.1/24) über Netzwerkkonfiguration auf das interne Interface, welches auch für das interne Netz genutzt wird, erfolgen? So würden dort zwei Netze, sprich die interne IP aus Netz 1 und die IP aus dem Transportnetz (Netz 2) auf dem gleichen physikalischen Interface liegen (eth1). Ist das richtig?

Benutzeravatar
Christian E.
Securepoint
Beiträge: 238
Registriert: Do 05.07.2012, 16:19
Wohnort: Lüneburg

Beitrag von Christian E. »

Hallo,

ja, das ist korrekt, die IP, mit der geNATtet werden soll, legen Sie zusätzlich auf das interne Interface.

Gruß

Franz
Beiträge: 387
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Beitrag von Franz »

@SIT: Ja, hatte zu spät gesehen, dass die Seite des Transportnetzwerks im Rechenzentrum NICHT administriert werden kann.

Die Anleitung von Christian E. ist dann auch gleich in meine "UTM-Trickkiste" gewandert.

SIT
Beiträge: 6
Registriert: Mi 19.08.2015, 17:22

Beitrag von SIT »

So, es ist jetzt alles so konfiguriert wie beschrieben. Leider kann ich die Server im Netz 3 nicht per ping erreichen.
Ein traceroute von einem PC aus Netz 1 fragt als erstes die IP- Adresse der UTM aus Netz 2 und wird dann über die Default Route weiter ins Internet geleitet statt in den VPN Tunnel.
Fehlt hier noch ein Routingeintrag in der Routingtabelle oder greift eine Regel nicht?
Vielen Dank für eure Unterstützung im Voraus.

Franz
Beiträge: 387
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Beitrag von Franz »

Wenn die UTM zwischen Netz 1 und Netz 2 die Pakete, die für Netz 3 bestimmt sind, über seine Default Route ins Internet weiterleitet, fehlt dieser UTM vermutlich der Routingeintrag zum Netz 3. Die Anleitung von Christian E. beinhaltet auch nur den Weg bis zum NAT im Transfernetz.

SIT
Beiträge: 6
Registriert: Mi 19.08.2015, 17:22

Beitrag von SIT »

Es wäre schön zu wissen an welcher stelle ich dies einzutragen habe. Wie und wo trage ich die Route über das Netz 2 in das Netz 3 ein. Bekannt sind mir nur Netz 1 ( eigenes Netz),
Netz 2 (Transportnetz, 6 frei verwendbare IPs, eine davon besitzt die UTM) und Netz 3 (Servernetz des Rechnerzentrum).
Vielen Dank für weitere Hilfestellungen!

Franz
Beiträge: 387
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Beitrag von Franz »

Auf der UTM unter "Netzwerk / Netzwerkkonfiguration / Routing" eine neue Route hinzufügen. Als Zielnetzwerk 10.192.x.0 /24 eintragen. Gateway-IP auswählen und dort die IP aus dem Transportnetzwerk eingetragen, die dem Router zugeordnet ist, der Netz 2 und Netz 3 verbindet (das muss eine der 6 IP-Adressen sein).

Gruß

Franz

SIT
Beiträge: 6
Registriert: Mi 19.08.2015, 17:22

Beitrag von SIT »

So hätte ich das auch gedacht, geht aber nicht, da ja keine weiteren Daten aus dem Netz 2 vorliegen (weitere Gateways oder Router). Über die Hardware eines andern deutschen Herstellers konnte diese Umsetzung realisiert werden. Allerdings konnte ich angeben das das Ziel Netz 3 über das VPN erreichbar ist. Noch eine Idee?

Franz
Beiträge: 387
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Beitrag von Franz »

Das ist der Zeitpunkt, wo ich rate, die Hotline zu kontaktieren. Manchmal dauert ein Rückruf etwas, aber das dürfte der einfachste Weg sein, die Sache zu lösen. Andernfalls müssten hier mehr Details offengelegt werden.

Gruß

Franz

Franz
Beiträge: 387
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Beitrag von Franz »

Die Empfehlung von gestern, den Support telefonisch auf die Sache anzusprechen, kann ich nur wiederholen.

Wenn das Problem gelöst wurde, würde ich mich über Rückmeldung freuen!

Ich hab gestern in virtueller Umgebung kurz ein ähnliches Scenario durchgespielt. Dabei sind mir im Vorfeld paar Besonderheiten aufgefallen, die ich bei Gelegenheit genauer betrachten will.

Beispielsweise erfolgte die Übernahme von Änderungen an den "Impliziten Regeln" nicht unmittelbar, und wenn ich statt der "Impliziten Regeln" der Anleitung in der Wiki folgend die Regeln von Hand erstellt hatte, funktionierte der Tunnel nicht erwartungsgemäß. Für den Test habe ich UTM 11.5.4 verwendet.

Gruß

Franz

SIT
Beiträge: 6
Registriert: Mi 19.08.2015, 17:22

Beitrag von SIT »

Habe heute mit dem Support ausgiebig telefoniert.
Es war schon alles soweit richtig, nur die Abarbeitung des Portfilters musste geändert werden. Die erstellten Regeln mussten über die Default Route - Regel. Die Implizierten Regeln sollten deaktiviert sein und die zweite Portfilterregel (HideNat Exclude) wurde nicht benötigt.
Ein großes Dankeschön an alle Beteiligten und das Support Team!

visitorsam
Beiträge: 2
Registriert: Fr 06.07.2018, 18:10

Beitrag von visitorsam »

Genau das gleiche Problem habe ich auch, die IP Kreise bekommen mir auch sehr bekannt vor. hast du es mit NETMAP gelöst oder der Tickkiste,

ich verzweifel bald hier. Schln wäre es wenn du ein Paar Screenshots hast.

Antworten