Kompletten Traffic über IPSEC routen

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
Disquom
Beiträge: 5
Registriert: Di 15.09.2020, 11:05

Kompletten Traffic über IPSEC routen

Beitrag von Disquom »

Guten Tag,

wir möchten gerne das der komplette Traffic (Internet und interner Netzwerkzugriff) über den IPSec Tunnel läuft. Tunnel steht soweit, interner Zugriff auf die Netze klappt auch. Nur das der Internet-Traffic über den IPSEC-Tunnel läuft, das bekomme ich nicht hin.

Was muss ich noch umstellen?

Vielen Dank für die Hilfe schon mal im voraus.

Gruß Daniel

Benutzeravatar
Mario
Securepoint
Beiträge: 935
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

Zielnetz muesste 0.0.0.0/0 und/ oder ::/0 lauten. Quelle waere das entsprechende interne Netz.

Ausnahmen im transparenten Proxy nicht vergessen...
Mit freundlichen Grüßen

Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de

Disquom
Beiträge: 5
Registriert: Di 15.09.2020, 11:05

Beitrag von Disquom »

ich möchte das Side A mit dem kompletten Internet-Traffic über SIDE B ins Netz geht.

Benutzeravatar
Mario
Securepoint
Beiträge: 935
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

Ja?

Wie gesagt > Quelle > Zielnetz
Mit freundlichen Grüßen

Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de

joser19330
Beiträge: 45
Registriert: Do 26.03.2020, 15:08

Beitrag von joser19330 »

Hast du bei Site A in der Phase 2 Config Remote Network 0.0.0.0/0 ansonsten greift die Default route nach eth0

jensditt
Beiträge: 3
Registriert: Mo 04.04.2022, 22:44

Beitrag von jensditt »

Ich möchte das Thema gerne auch noch mal aufgreifen.
Auf der Site A habe ich in der Phase 2 nun das Remote Netzwerk 0.0.0.0/0 angegeben. Im Transparenten Proxy habe ich HTTP INCLUDE internal-networks SITE B angegeben.
Ab dem Moment, wo ich den VPN Tunnel gespeichert habe, bin ich nicht mehr auf die Securepoint von Site A gekommen. Der Zugriff auf z.B. ein NAS auf Site A hat noch funktioniert. Internet ging allerdings auch nicht.
Wo könnte ich noch einen Fehler haben? Noch besser wäre es, wenn nur bestimmte Geräte über den VPN Tunnel geroutet werden könnten. Also z.B. die Handys im WLAN des Kunden können ja über den lokalen Internetanschluss raus gehen und bestimmte Arbeitsplätze können den VPN Tunnel nutzen.

Benutzeravatar
Mario
Securepoint
Beiträge: 935
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

Der Proxy hat keine Ahnung wo es da hin geht. (Default Route/ Das SA greift fuer ihn nicht, da die Quelle das External Interface ist) Der ist ein eigener Dienst. Ich denke nicht, das es gut ist, lokal ueber den Proxy zu gehen, wenn Sie in den Tunnel wollen. Wenn durch den Proxy, dann auf Seite B, wo sie ja dann Internetzugriff bereit stellen.
Mit freundlichen Grüßen

Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de

jensditt
Beiträge: 3
Registriert: Mo 04.04.2022, 22:44

Beitrag von jensditt »

Danke für die Antwort, aber ich dachte im Proxy müssten wir dann eine Ausnahme erstellen, so wie ich das der ersten Antwort entnommen habe... Wenn nicht, wie kann ich das korrekterweise abbilden?

Der Client hat die private IP 192.168.1.1 (Öffentlich 1.1.1.1) und muss über den IPsec Tunnel (IP Netz 192.168.2.0/24 Öffentliche IP 2.2.2.2) ins Internet gelangen. Der nächste Schritt wäre dann: wenn der Client im Netzwerk 2.2.2.2 ist, wie kommt er auf einen weiteren IPsec verbundenen Standort mit dem IP Netz 192.168.3.0/24 mit der Public IP 3.3.3.3 (die ist ja eigentlich unwichtig).

Benutzeravatar
Mario
Securepoint
Beiträge: 935
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

Wenn Sie Internet ueber den Tunnel bereit stellen wollen, alle Include Regeln aus dem Proxy entfernen und den Transparenten Modus dann abschalten. Denn Exclude Regeln kann man hier nur sehr begrenzt schreiben, da das Ziel 0.0.0.0/0 ist, also alles. Der transparente Proxy interessiert sich nicht fuer Zonen.
Mit freundlichen Grüßen

Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de

jensditt
Beiträge: 3
Registriert: Mo 04.04.2022, 22:44

Beitrag von jensditt »

Und kann ich das auch nur für bestimmte Clients einstellen? Also quasi 3 Windows PCs (von mir aus kriegen die auch eine feste IP Adresse - oder Mac Adresse wäre noch einheitlicher).

Benutzeravatar
Mario
Securepoint
Beiträge: 935
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

Das geht. Das sollte dann so als SA im Tunnel konfiguriert werden. Im Transparenten Proxy kann man dann die Clients Richtung Internet exkludieren.

Aus meiner Sicht ist das die schickere Methode.
Mit freundlichen Grüßen

Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de

Antworten