Hallo,
vielleicht habe ich etwas in der Hektik übersehen: ein Testaufbau für einen unkonventionellen Datentransfer zwischen 2 Server in jeweiligem Subnet. Ich möchte sicherstellen, dass bis auf eine Route an einer Stelle an der Konfiguration beider Server nichts verändert werden muss. Ich möchte erreichen, dass ich von Netz A auf Netz B zugreifen kann - ebenso auch umgekehrt. Ziel ist es, auf die Schnelle (da ich die Server physisch einmal am gleichen Standort haben werde) eine Menge Daten zwischen ihnen kopieren zu können (ohne dass das langsame Internet im Weg ist).
Netz A:
IP: 192.168.1.0 / 24
IP SP B: 192.168.1.188
Netz B:
IP: 192.168.222.0 / 24
IP SP B: 192.168.222.254
Das Netz dazwischen (aka "Internet") hat folgende Konfiguration
192.168.250.0/24
Ich habe gemäß wiki.securepoint.de/index.php/IPSec_Site_to_Site_v11 die jeweiligen Securepoints konfiguriert (wobei die Anleitung meiner Meinung nach den einen oder anderen kleinen Fehler hat - speziell bei folgender Grafik wiki.securepoint.de/index.php/Datei:Phase2_subnetze.png ).
So sieht die Konfiguration der SPs aus:
SP A:
eth0
IP: 192.168.1.188
MASK: 255.255.255.0
eth1
IP: 192.168.250.1
MASK: 255.255.255.0
GW: keins
SP B:
eth0
IP: 192.168.222.254
MASK: 255.255.255.0
eth1
IP: 192.168.250.222
MASK: 255.255.255.0
GW: keins
Ich habe jeweils folgende Regeln definiert:
Regeln SP A:
internet -> external interface -> ipsec, kein NAT usw
internal network -> ipsec-gegenseite2 -> any, als HNE auf external interface
ipsec-gegenseite2: Zone: vpn_ipsec, IP: 192.168.222.0/24
Regeln SP B:
internet -> external interface -> ipsec, kein NAT usw
internal network -> ipsec-gegenseite1 -> any, als HNE auf external interface
ipsec-gegenseite1: Zone: vpn_ipsec, IP: 192.168.1.0/24
Der VPN-Tunnel wird aufgebaut zwischen beiden, aber es läuft kein Traffic darüber und ich kann zB. im entfernten Netz keinen Ping auf einen Server/Rechner durchführen. Die impliziten Regeln sind ebenfalls alle aktiv. Habe ich, wie eingangs vermutet, etwas übersehen? Für Hinweise zur Behebung des Problems wäre ich sehr dankbar.
Gruß,
Micha
VPN S2S IPSec Problem
Moderator: Securepoint
die Server selbst sind noch nicht aktiv. Aktuell steht jeweils eine Maschine in einem der Netze. Konfiguration der IP-Adresse analog der jeweiligen SP, lediglich als GW ist die IP der jeweiligen SP eingetragen. Routing nach außen funktioniert soweit.vscc hat geschrieben:Warum 2 SPs mit IPSec?
Meiner Meinung würde eine SP mit beiden Netzen reichen.
Stimmen die Routen auf den Windows Servern???
Vielleicht denke ich für den Fall zu kompliziert - ich wollte die Netze letztendlich simulieren und bin deshalb auf 2 SPs geschwenkgt. Wie würde dies mit einer SP realisiert werden können? Speziell die Routing-Regeln müssten dann ja erstellt werden.
Wozu einfach, wenn es auch schwer ginge!
Dank
Lediglich beide Netze (internal network sowie dmz) an die Netzwerk-Bedürfnisse angepasst und dann 2 Regeln erstellt:
dmz -> internal network -> any (NAT = aus)
internal network -> dmz -> any (NAT = aus)
Zugriff von A nach B und umgekehrt somit möglich ... was aber das eigentliche Problem, worüber ich letztendlich stolperte (Routing), nicht löst. Dafür wird es aber sicherlich noch einmal Gelegenheit geben. An dieser Stelle noch einmal Danke
Dank
habe ich das, was ich eigentlich erreichen wollte mittels einer einzigen SP realisiert. Weitaus einfacher und stressfreier.vscc hat geschrieben:Meiner Meinung würde eine SP mit beiden Netzen reichen.
Lediglich beide Netze (internal network sowie dmz) an die Netzwerk-Bedürfnisse angepasst und dann 2 Regeln erstellt:
dmz -> internal network -> any (NAT = aus)
internal network -> dmz -> any (NAT = aus)
Zugriff von A nach B und umgekehrt somit möglich ... was aber das eigentliche Problem, worüber ich letztendlich stolperte (Routing), nicht löst. Dafür wird es aber sicherlich noch einmal Gelegenheit geben. An dieser Stelle noch einmal Danke
Ein Problem bei der Verwendung von Ihrem IPSec-Konstrukt ist auf jeden Fall, dass die beiden Appliances kein Default-GW haben. Somit "weiß" das Gerät nämlich nicht wohin mit dem Traffic, der für das IPSec-Netz bestimmt ist. Setzen Sie bitte einmal das Default-GW der beiden Maschinen auf die jeweils gegenüberliegende IP.