VPN S2S IPSec Problem

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
FireFox
Beiträge: 12
Registriert: Di 07.04.2015, 11:08

VPN S2S IPSec Problem

Beitrag von FireFox »

Hallo,

vielleicht habe ich etwas in der Hektik übersehen: ein Testaufbau für einen unkonventionellen Datentransfer zwischen 2 Server in jeweiligem Subnet. Ich möchte sicherstellen, dass bis auf eine Route an einer Stelle an der Konfiguration beider Server nichts verändert werden muss. Ich möchte erreichen, dass ich von Netz A auf Netz B zugreifen kann - ebenso auch umgekehrt. Ziel ist es, auf die Schnelle (da ich die Server physisch einmal am gleichen Standort haben werde) eine Menge Daten zwischen ihnen kopieren zu können (ohne dass das langsame Internet im Weg ist).

Netz A:

IP: 192.168.1.0 / 24
IP SP B: 192.168.1.188

Netz B:

IP: 192.168.222.0 / 24
IP SP B: 192.168.222.254

Das Netz dazwischen (aka "Internet") hat folgende Konfiguration

192.168.250.0/24

Ich habe gemäß wiki.securepoint.de/index.php/IPSec_Site_to_Site_v11 die jeweiligen Securepoints konfiguriert (wobei die Anleitung meiner Meinung nach den einen oder anderen kleinen Fehler hat - speziell bei folgender Grafik wiki.securepoint.de/index.php/Datei:Phase2_subnetze.png ).

So sieht die Konfiguration der SPs aus:

SP A:
eth0
IP: 192.168.1.188
MASK: 255.255.255.0

eth1
IP: 192.168.250.1
MASK: 255.255.255.0
GW: keins

SP B:
eth0
IP: 192.168.222.254
MASK: 255.255.255.0

eth1
IP: 192.168.250.222
MASK: 255.255.255.0
GW: keins

Ich habe jeweils folgende Regeln definiert:

Regeln SP A:
internet -> external interface -> ipsec, kein NAT usw
internal network -> ipsec-gegenseite2 -> any, als HNE auf external interface

ipsec-gegenseite2: Zone: vpn_ipsec, IP: 192.168.222.0/24

Regeln SP B:
internet -> external interface -> ipsec, kein NAT usw
internal network -> ipsec-gegenseite1 -> any, als HNE auf external interface

ipsec-gegenseite1: Zone: vpn_ipsec, IP: 192.168.1.0/24

Der VPN-Tunnel wird aufgebaut zwischen beiden, aber es läuft kein Traffic darüber und ich kann zB. im entfernten Netz keinen Ping auf einen Server/Rechner durchführen. Die impliziten Regeln sind ebenfalls alle aktiv. Habe ich, wie eingangs vermutet, etwas übersehen? Für Hinweise zur Behebung des Problems wäre ich sehr dankbar.

Gruß,
Micha

vscc
Beiträge: 24
Registriert: Mi 14.08.2013, 15:23

Beitrag von vscc »

Warum 2 SPs mit IPSec?
Meiner Meinung würde eine SP mit beiden Netzen reichen.

Stimmen die Routen auf den Windows Servern???
Viele Grüße aus Dortmund

Volker Schablinski
cc Computer Studio GmbH

FireFox
Beiträge: 12
Registriert: Di 07.04.2015, 11:08

Beitrag von FireFox »

vscc hat geschrieben:Warum 2 SPs mit IPSec?
Meiner Meinung würde eine SP mit beiden Netzen reichen.

Stimmen die Routen auf den Windows Servern???
die Server selbst sind noch nicht aktiv. Aktuell steht jeweils eine Maschine in einem der Netze. Konfiguration der IP-Adresse analog der jeweiligen SP, lediglich als GW ist die IP der jeweiligen SP eingetragen. Routing nach außen funktioniert soweit.

Vielleicht denke ich für den Fall zu kompliziert - ich wollte die Netze letztendlich simulieren und bin deshalb auf 2 SPs geschwenkgt. Wie würde dies mit einer SP realisiert werden können? Speziell die Routing-Regeln müssten dann ja erstellt werden.

FireFox
Beiträge: 12
Registriert: Di 07.04.2015, 11:08

Beitrag von FireFox »

Wozu einfach, wenn es auch schwer ginge!

Dank
vscc hat geschrieben:Meiner Meinung würde eine SP mit beiden Netzen reichen.
habe ich das, was ich eigentlich erreichen wollte mittels einer einzigen SP realisiert. Weitaus einfacher und stressfreier.
Lediglich beide Netze (internal network sowie dmz) an die Netzwerk-Bedürfnisse angepasst und dann 2 Regeln erstellt:

dmz -> internal network -> any (NAT = aus)
internal network -> dmz -> any (NAT = aus)

Zugriff von A nach B und umgekehrt somit möglich ... was aber das eigentliche Problem, worüber ich letztendlich stolperte (Routing), nicht löst. Dafür wird es aber sicherlich noch einmal Gelegenheit geben. An dieser Stelle noch einmal Danke :)

Benutzeravatar
Erik
Securepoint
Beiträge: 1480
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

Ein Problem bei der Verwendung von Ihrem IPSec-Konstrukt ist auf jeden Fall, dass die beiden Appliances kein Default-GW haben. Somit "weiß" das Gerät nämlich nicht wohin mit dem Traffic, der für das IPSec-Netz bestimmt ist. Setzen Sie bitte einmal das Default-GW der beiden Maschinen auf die jeweils gegenüberliegende IP.

Antworten