Hallo,
wie immer, wenn ich mich melde, habe ich einen Knoten im Kopf bzw sehe den Wald vor lauter Bäumen nicht. Vielleicht kann mich jemand in die richtige Richtung stoßen oder hinweisen, was ich ggf. übersehen habe.
Sachstand: es existiert zwischen 2 V11 eine IPSec S2S Verbindung, die auch läuft. An Standort 1 (S1) wählen sich Roadwarrior (RW) ein und können auch auf das dortige interne Netzwerk zugreifen. Ich bzw. der Kunde möchte nun, dass er sich auf Standort S1 einwählt, aber eben auf das netz in S2 zugreifen kann.
Die Konfiguration sieht wie folgt aus:
S1: 192.168.1.0/24
RW: 192.168.172.0/24
S2: 192.168.222.0/24
In den jeweiligen EInstellungen des S2S IPSec habe ich das RW Netz mit in die Auflistung unter Phase2/Subnetze aufgenommen (Lokales Netz / Remote Netz)
Ziel: RW <> S1 <> S2
Als Regel hierzu hatte ich gedacht (was aber nicht funktioniert)
auf S1
Quelle RW, Ziel S2, any, HNE internal interface
auf S2
Quelle internal-network, Ziel RW, any, HNE internal interface
Wo ist mein Denkfehler? Hat jemand ggf eine Spur?
Danke und Gruß,
Micha
IPSec Site2Site + OpenVPN Roadwarrior
Moderator: Securepoint
Auf der UTM S1 muss die Phase 2 der IPSec-Verbindung zwischen S1 und S2 so aussehen:
Auf der UTM S2 muss das ganze dann umgekehrt erfolgen:
Welche Art der Roadwarrior-Verbindung wird verwendet? Davon ist es abhängig, wie weiter konfiguriert werden muss.
Code: Alles auswählen
Lokal | Remote
------------------+-----------------
192.168.1.0/24 | 192.168.222.0/24
192.168.172.0/24 | 192.168.222.0/24
Code: Alles auswählen
Lokal | Remote
------------------+-----------------
192.168.222.0/24 | 192.168.1.0/24
192.168.222.0/24 | 192.168.172.0/24
In dem Fall müssen Sie auf S1 die Roadwarrior-Verbindung editieren und im Feld "Subnetze übermitteln" das Netz von S2 zusätzlich übergeben. Wenn Sie dann die impliziten IPSec-Regeln beide (!) aktiviert haben (Firewall -> Implizite Regeln -> IPSec), sollte das von Seiten der UTM alles funktionieren.
Wenn nicht, haben Sie hoffentlich eine gültige Lizenz, sodass Sie hier anrufen können oder Erfahrung, wie Sie die Pakete mittels tcpdump verfolgen.
Wenn nicht, haben Sie hoffentlich eine gültige Lizenz, sodass Sie hier anrufen können oder Erfahrung, wie Sie die Pakete mittels tcpdump verfolgen.
Hallo Erik,
vielen Dank. Ich habe das umgesetzt, die IPSec Verbindung zur Laufzeit neu geladen, den Roadwarrior sich einwählen lassen und es funktioniert. rein theoretisch könnte ich ja dann die VPN Regeln für das IPSec und für die Roadwarrior auf S1 und S2 entfernen dank der impliziten Regel (kein NAT für IPSec Verbindungen), verstehe ich das richtig?
Und ja - Lizenzen sind ausreichend vorhanden
vielen Dank. Ich habe das umgesetzt, die IPSec Verbindung zur Laufzeit neu geladen, den Roadwarrior sich einwählen lassen und es funktioniert. rein theoretisch könnte ich ja dann die VPN Regeln für das IPSec und für die Roadwarrior auf S1 und S2 entfernen dank der impliziten Regel (kein NAT für IPSec Verbindungen), verstehe ich das richtig?
Und ja - Lizenzen sind ausreichend vorhanden