ipsec Site to Site

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
jkreuzer
Beiträge: 8
Registriert: Sa 09.03.2013, 19:26

ipsec Site to Site

Beitrag von jkreuzer »

Hallo zusammen,

ich habe zwischen zwei UTMs eine IPsec S2S Verbindung eingerichtet, die auch läuft. Wie kann ich den Zugriff auf die jeweiligen Netze einschränken, irgendwie geht jetzt alles durch?

Danke und Grüße
Jörg

Bjoern
Securepoint
Beiträge: 685
Registriert: Mi 03.07.2013, 10:06

Beitrag von Bjoern »

Hallo,

in der V11 haben wir die impliziten Regeln. Diese Verknüpfen beide Seiten mit any. Wenn Sie dies nicht wollen müssen Sie diese impliziten Regeln deaktivieren. Firewall => Implizite Regeln => IPSEC bei Accept den Haken entfernen. Kein NAT für IPSec Verbindungen schreibt das HNE im Regelwerk. Denken Sie daran das Sie auch Netzwerkobjekt mit der richtigen Zone anlegen müssen.

Gruß Björn

jkreuzer
Beiträge: 8
Registriert: Sa 09.03.2013, 19:26

Beitrag von jkreuzer »

Hallo Björn,

so, jetzt geht erstmal nichts mehr durch den Tunnel.

Die Netzwerkobjekte müssen doch in der Zone vpn-ipsec angelegt werden?

Danke und Gruß
Jörg

Bjoern
Securepoint
Beiträge: 685
Registriert: Mi 03.07.2013, 10:06

Beitrag von Bjoern »

Hallo,

ja das Zielsubnetz muss die Zone vpn-ipsec bekommen. Wichtig ist natürlich auch das man in der Regel auch HNE auf das WAN Interface für den Zugriff von intern in das Zielnetz hinterlegt.
Kurz: internal network => ipsec network => dienst => HNE => eternal interface
Soll auch das ipsec network auf das internal network zugreifen muss die Regel anders herum angelegt werden. Ein NAT sollte nicht notwendig sein.

Gruß Björn

Antworten