Guten Tag,
wir möchten gerne das der komplette Traffic (Internet und interner Netzwerkzugriff) über den IPSec Tunnel läuft. Tunnel steht soweit, interner Zugriff auf die Netze klappt auch. Nur das der Internet-Traffic über den IPSEC-Tunnel läuft, das bekomme ich nicht hin.
Was muss ich noch umstellen?
Vielen Dank für die Hilfe schon mal im voraus.
Gruß Daniel
Kompletten Traffic über IPSEC routen
Moderator: Securepoint
Zielnetz muesste 0.0.0.0/0 und/ oder ::/0 lauten. Quelle waere das entsprechende interne Netz.
Ausnahmen im transparenten Proxy nicht vergessen...
Ausnahmen im transparenten Proxy nicht vergessen...
Mit freundlichen Grüßen
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de
Ja?
Wie gesagt > Quelle > Zielnetz
Wie gesagt > Quelle > Zielnetz
Mit freundlichen Grüßen
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de
-
- Beiträge: 45
- Registriert: Do 26.03.2020, 15:08
Hast du bei Site A in der Phase 2 Config Remote Network 0.0.0.0/0 ansonsten greift die Default route nach eth0
Ich möchte das Thema gerne auch noch mal aufgreifen.
Auf der Site A habe ich in der Phase 2 nun das Remote Netzwerk 0.0.0.0/0 angegeben. Im Transparenten Proxy habe ich HTTP INCLUDE internal-networks SITE B angegeben.
Ab dem Moment, wo ich den VPN Tunnel gespeichert habe, bin ich nicht mehr auf die Securepoint von Site A gekommen. Der Zugriff auf z.B. ein NAS auf Site A hat noch funktioniert. Internet ging allerdings auch nicht.
Wo könnte ich noch einen Fehler haben? Noch besser wäre es, wenn nur bestimmte Geräte über den VPN Tunnel geroutet werden könnten. Also z.B. die Handys im WLAN des Kunden können ja über den lokalen Internetanschluss raus gehen und bestimmte Arbeitsplätze können den VPN Tunnel nutzen.
Auf der Site A habe ich in der Phase 2 nun das Remote Netzwerk 0.0.0.0/0 angegeben. Im Transparenten Proxy habe ich HTTP INCLUDE internal-networks SITE B angegeben.
Ab dem Moment, wo ich den VPN Tunnel gespeichert habe, bin ich nicht mehr auf die Securepoint von Site A gekommen. Der Zugriff auf z.B. ein NAS auf Site A hat noch funktioniert. Internet ging allerdings auch nicht.
Wo könnte ich noch einen Fehler haben? Noch besser wäre es, wenn nur bestimmte Geräte über den VPN Tunnel geroutet werden könnten. Also z.B. die Handys im WLAN des Kunden können ja über den lokalen Internetanschluss raus gehen und bestimmte Arbeitsplätze können den VPN Tunnel nutzen.
Der Proxy hat keine Ahnung wo es da hin geht. (Default Route/ Das SA greift fuer ihn nicht, da die Quelle das External Interface ist) Der ist ein eigener Dienst. Ich denke nicht, das es gut ist, lokal ueber den Proxy zu gehen, wenn Sie in den Tunnel wollen. Wenn durch den Proxy, dann auf Seite B, wo sie ja dann Internetzugriff bereit stellen.
Mit freundlichen Grüßen
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de
Danke für die Antwort, aber ich dachte im Proxy müssten wir dann eine Ausnahme erstellen, so wie ich das der ersten Antwort entnommen habe... Wenn nicht, wie kann ich das korrekterweise abbilden?
Der Client hat die private IP 192.168.1.1 (Öffentlich 1.1.1.1) und muss über den IPsec Tunnel (IP Netz 192.168.2.0/24 Öffentliche IP 2.2.2.2) ins Internet gelangen. Der nächste Schritt wäre dann: wenn der Client im Netzwerk 2.2.2.2 ist, wie kommt er auf einen weiteren IPsec verbundenen Standort mit dem IP Netz 192.168.3.0/24 mit der Public IP 3.3.3.3 (die ist ja eigentlich unwichtig).
Der Client hat die private IP 192.168.1.1 (Öffentlich 1.1.1.1) und muss über den IPsec Tunnel (IP Netz 192.168.2.0/24 Öffentliche IP 2.2.2.2) ins Internet gelangen. Der nächste Schritt wäre dann: wenn der Client im Netzwerk 2.2.2.2 ist, wie kommt er auf einen weiteren IPsec verbundenen Standort mit dem IP Netz 192.168.3.0/24 mit der Public IP 3.3.3.3 (die ist ja eigentlich unwichtig).
Wenn Sie Internet ueber den Tunnel bereit stellen wollen, alle Include Regeln aus dem Proxy entfernen und den Transparenten Modus dann abschalten. Denn Exclude Regeln kann man hier nur sehr begrenzt schreiben, da das Ziel 0.0.0.0/0 ist, also alles. Der transparente Proxy interessiert sich nicht fuer Zonen.
Mit freundlichen Grüßen
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de
Das geht. Das sollte dann so als SA im Tunnel konfiguriert werden. Im Transparenten Proxy kann man dann die Clients Richtung Internet exkludieren.
Aus meiner Sicht ist das die schickere Methode.
Aus meiner Sicht ist das die schickere Methode.
Mit freundlichen Grüßen
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de