NAT zwischen VLAN und s2s-VPN

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
rose
Beiträge: 2
Registriert: Do 11.08.2022, 13:59

NAT zwischen VLAN und s2s-VPN

Beitrag von rose »

Hallo,

ich verzweifle so langsam an der Einrichtung der Regeln für einen bestimmten Fall. Hardware ist eine RC200 mit aktueller Firmware.

Es sind diverse VLANs eingerichtet sowie ein SiteToSite-VPN, welches eines der VLANs (A) mit einem externem Netz koppelt. Das funktioniert alles soweit einwandfrei.

Nun möchte ich allerdings ermöglichen, dass auch ein weiteres VLAN (B) das s2s-VPN verwenden kann. Eine Änderung des VPN-Tunnels kommt dafür nicht in Frage, genauso wie die Zusammenlegung zweier VLANs. In meinen Augen sollte das sehr einfach möglich sein, indem man VLAN B per NAT mit VLAN A koppelt. Dadurch kämen die Clients aus VLAN B aus Sicht der VPN-Gegenstelle aus dem richtigen Subnetz. Nur scheitere ich bisher an der korekten Umsetzung. Ich habe schon ziemlich viele Dinge ausprobiert, und gefühlt das halbe Wiki durchgelesen, allerdings bisher ohne Erfolg.

Was für Regeln müssen für so einen Fall angelegt werden? Falls noch weitere Infos erforderlich sind bitte ich um entsprechende Rückfragen.

Benutzeravatar
Mario
Securepoint
Beiträge: 935
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

VLAN-B >> TUN-NET | HIDENAT VLAN-A interface
Mit freundlichen Grüßen

Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de

rose
Beiträge: 2
Registriert: Do 11.08.2022, 13:59

Beitrag von rose »

Diese Regel habe ich tatsächlich bereits in vielen unterschiedlichen Varianten ausprobiert, bisher jedoch ohne Erfolg. Trotzdem danke für die kurze Antwort, das zeigt mir, dass ich nicht auf einem falschen Weg war.

Ich vermute daher, der Fehler liegt in einem kleinen Detail. Hier sind noch einige Details zu den eventuell relevanten anderen Regeln, die (außer für diesen Einsatzzweck) gut funktionieren:

VLAN-A >> TUN-NET | HIDENAT_EXCLUDE external interface
VLAN-A + VLAN-B >> Internet | HIDENAT external interface

Update:
Vor dem Abschicken habe ich bereits einen Haufen weiterer Tests gemacht und vermutlich die Ursache gefunden. Die möchte ich natürlich anderen, die ein ähnliches Problem haben, nicht vorenthalten.
Wir setzen Loadbalancing ein, wodurch der ausgehende Verkehr zwei verschiedene Routen nehmen kann. Das s2s-VPN ist eigentlich davor angesiedelt, es ist ja sozusagen die dritte Route nach außen. In VLAN A klappt das auch ohne irgendwelche zusätzlichen Regeln. Bei einer wie von Mario vorgeschlagenen Regel griff das aber (aus mir unerfindlichen Gründen) nicht, wodurch der VPN-Tunnel nicht richtig verwendet wurde. Die Lösung war daher folgende Regel:

VLAN-B >> TUN-NET | HIDENAT VLAN-A interface | Roule Routing eth0
(eth0 ist dabei das Interface, über welches auch die s2s-Verbindung ihren Tunnel aufbaut - nicht die s2s-Verbindung selbst.)

Finde ich nicht ganz logisch, aber erste Tests sehen vielversprechend aus. :)

Benutzeravatar
Mario
Securepoint
Beiträge: 935
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

Bitte kein Rule Routing. Da reicht eine Zielroute aus.

Und das macht schon Sinn, da die Zone fuer den IPSEC-Tunnel auf dem einen bestimmten externen Interface liegt. Dort sollten die Pakete dann auch hin
Mit freundlichen Grüßen

Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de

Antworten