Hallo zusammen,
ich habe zwischen zwei UTMs eine IPsec S2S Verbindung eingerichtet, die auch läuft. Wie kann ich den Zugriff auf die jeweiligen Netze einschränken, irgendwie geht jetzt alles durch?
Danke und Grüße
Jörg
ipsec Site to Site
Moderator: Securepoint
Hallo,
in der V11 haben wir die impliziten Regeln. Diese Verknüpfen beide Seiten mit any. Wenn Sie dies nicht wollen müssen Sie diese impliziten Regeln deaktivieren. Firewall => Implizite Regeln => IPSEC bei Accept den Haken entfernen. Kein NAT für IPSec Verbindungen schreibt das HNE im Regelwerk. Denken Sie daran das Sie auch Netzwerkobjekt mit der richtigen Zone anlegen müssen.
Gruß Björn
in der V11 haben wir die impliziten Regeln. Diese Verknüpfen beide Seiten mit any. Wenn Sie dies nicht wollen müssen Sie diese impliziten Regeln deaktivieren. Firewall => Implizite Regeln => IPSEC bei Accept den Haken entfernen. Kein NAT für IPSec Verbindungen schreibt das HNE im Regelwerk. Denken Sie daran das Sie auch Netzwerkobjekt mit der richtigen Zone anlegen müssen.
Gruß Björn
Hallo,
ja das Zielsubnetz muss die Zone vpn-ipsec bekommen. Wichtig ist natürlich auch das man in der Regel auch HNE auf das WAN Interface für den Zugriff von intern in das Zielnetz hinterlegt.
Kurz: internal network => ipsec network => dienst => HNE => eternal interface
Soll auch das ipsec network auf das internal network zugreifen muss die Regel anders herum angelegt werden. Ein NAT sollte nicht notwendig sein.
Gruß Björn
ja das Zielsubnetz muss die Zone vpn-ipsec bekommen. Wichtig ist natürlich auch das man in der Regel auch HNE auf das WAN Interface für den Zugriff von intern in das Zielnetz hinterlegt.
Kurz: internal network => ipsec network => dienst => HNE => eternal interface
Soll auch das ipsec network auf das internal network zugreifen muss die Regel anders herum angelegt werden. Ein NAT sollte nicht notwendig sein.
Gruß Björn