Seite 1 von 1

SSL-VPN: Neuer Server für jedes S2S VPN?

Verfasst: Mi 10.02.2016, 14:27
von jens.manke
Hallo zusammen,

muss für jede site-to-site SSL-VPN Verbindung ein eigener Server auf der Securepoint eingerichtet werden mit eigenem Zertifikat usw. oder kann ein Server und z.B. tun0 für mehrere site-to-site SSL-VPN Verbindungen genutzt werden?

Re: SSL-VPN: Neuer Server für jedes S2S VPN?

Verfasst: Mi 10.02.2016, 14:34
von David
Ein Server kann durchaus für mehrere SSL-VPN Verbindungen genutzt werden.
Die Clients müssen nur eigene Zertifikate haben, da die Zuordnung der Sites darüber realisiert wird

Re: SSL-VPN: Neuer Server für jedes S2S VPN?

Verfasst: Mo 22.05.2017, 13:49
von KuehleisIT
… da dran scheitere ich auch grad: einzeln krieg ich es bisher immer hin, aber jetzt wollte ich einen weiteren Client anbinden.
Gibts da eine Anleitung, wie das auszusehen hat?

Re: SSL-VPN: Neuer Server für jedes S2S VPN?

Verfasst: Mo 22.05.2017, 16:49
von kennethj
Hallo,

woran scheitert es denn? Verbindet sich der Client nicht zum Server oder gehen keine Daten durch Tunnel?
Anleitung in Kurz:
Serverseite:
-neues Zertifikat für den Client generieren
- Remote Client Profil in den OpenVPN Einstellungen hinterlegen+
- Das remote  Client Profil dem Server zuweisen (Server Editieren -> Remote Client Profil -> Profil Auswählen -> + Klicken -> Speichern) (Das wird nämlich gerne vergessen ;))
- Routing und Portfilter setzen

Client:
- CA und Client Zertifikat importieren
- Neue Site to Site Verbindung (als Client) anlegen 
- Routing und Portfilter einrichten

=> Läuft

Gruß

Ps: Ab 11.7.x ist das ganze sogar noch ein ticken einfacher

Re: SSL-VPN: Neuer Server für jedes S2S VPN?

Verfasst: Fr 12.07.2019, 11:43
von mdm
Hallo,

das ganze ist doch nicht so einfach.

Folgende Situation:

Securepoint R300 Netz 192.168.0.0/24
2 SSL VPN GW Netz 192.168.1.0/24
2 Client IP: 192.168.1.1 und 192.168.1.2
Das interne Netz soll auf das Netz hinter den VPN Clients zugreifen.

Die erste Verbindung steht und es werden auch Daten übertragen.
Die zweite Verbindung wird auch aufgebaut aber es laufen dann nur noch über diese Verbindung die Daten bei der ersten Verbindung gehen dann keine Daten mehr darüber.

Beide VPN GW haben das gleiche Netz mit jeweils einem Client dahinter.
Wenn sich die zweite VPN Verbindung aufgebaut hat will das interne Netz nur noch über das 2 GW den Client erreichen.
Was muss ich einstellen damit das interne Netz den 1 Client über das GW der 1 Verbindung erreicht und der 2 Client über GW der 2 Verbindung.

Re: SSL-VPN: Neuer Server für jedes S2S VPN?

Verfasst: Fr 12.07.2019, 11:49
von kennethj
Hallo,

einmal für mich:
- eine RC300 mit dem Netz 192.168.0.0/24
- Transfernetzwerk für das SSL VPN ist 192.168.1.0/24
zwei VPN Gateways die sich per SSL VPN mit der RC300 verbinden und diese beide haben das gleiche Subnetz intern? (192.168.X.0/24)

Hab ich das richtig verstanden?

Gruß

Re: SSL-VPN: Neuer Server für jedes S2S VPN?

Verfasst: Fr 12.07.2019, 12:17
von mdm
Hallo,
das Transfernetz ist 192.168.254.0/24
Die VPN GW haben einmal 192.168.254.2 und 192.168.254.3, die R300 hat die 192.168.254.1.

Das Subnetz hinter den VPN GW hat die 192.168.1.0/24 und der Client einmal die 192.168.1.100 und die 192.168.1.200.
Die VPN GW verbinden sich über SSL VPN zur R300.
Bild
Bild

Re: SSL-VPN: Neuer Server für jedes S2S VPN?

Verfasst: Fr 12.07.2019, 12:38
von kennethj
Hallo,

das kann so ohne weiteres nicht funktionieren. Sie haben ja jetzt weil mal das gleiche Ziel Subntz über zwei verschiedene Gateways. Die RC300 (und jeder andere Router auch) weiß jetzt gar nicht wann er wo was wie hinschicken soll.

Mögliche Lösungen:
1. Sie ändern bei einem Standort das lokale Subnetz
2. Sie arbeiten mit einem 1:1 NAT (NETMAP)
3. Sie setzen im SSL VPN keine Route für das 192.168.1.0/24 Netzwerk, sondern für jeden Client den Sie erreichen wollen eine eigene Route (klappt nicht wenn Sie zweimal den Client mit .100 am Ende habe)

Gruß

Re: SSL-VPN: Neuer Server für jedes S2S VPN?

Verfasst: Fr 12.07.2019, 12:46
von HaPe
Also 2 VPNs mit dem selben Netz dahinter geht wenn dann imho nur mit Netmap oder man routet nicht das komplette Netz sondern tatsächlich nur jeweils ein Teilnetz (und wenn das Teilnetz eine einzige IP (1.100 bzw. 1.200) ist).
Ansonsten kann ja die 3. Securepoint nicht wissen, ob das Datenpaket nun in Tunnel 1 oder Tunnel 2 gehört, wenn am anderen Ende sowohl von Tunnel 1 und Tunnel 2 jeweils 192.168.1.0/24 ist... (Das fängt auch schon bei Verbindungen vom entfernten Netz an, da die Antwortpakete darauf möglicherweise auch schon im falschen Tunnel landen).

Ich würde hier zuerst versuchen beim VPN nicht mit /24 zu arbeiten sondern im worst case (sollte es pro Netz tatsächlich nur jeweils ein Client sein) mit /32 als Teilnetz. Das in den Routen noch entsprechend eingetragen sollte dan probemlos funktionieren (zumindest für die beiden Clients).

Oder man stellt eines der beiden Netze um von 192.168.1.x auf 192.168.2.x - dann ist wieder alles eindeutig.

Netmap würde ich wirklich nur in absoluten Ausnahmefällen machen, weil da muss man dann gelinde gesagt "um´s Eck" denken, was z.B. Fehlersuche sicher nicht vereinfacht...

Edit: Gibt´s mal was, wo ich auch weiterhelfen könnte und dann bin ich zu langsam :))

Zum VPN-Server: Eigentlich könnte man alles über einen Server machen oder pro VPN einen Server haben - sollte beides funktionieren (schöner und einfacher ist natürlich nur ein Server).
Unterschiedliche Server braucht man eigentlich nur, wenn z.B. die Verschlüsselung eine andere sein soll oder ggf. TCP statt UDP notwendig ist weil Fremdgeräte ins Spiel kommen...)
Wo man definitiv mehrere Server braucht ist wenn einmal Roadwarrior angebunden werden sollen und einmal S2S - das sind 2 Paar Schuhe.
Traffic kann man aber sowohl von einem Roadwarrior zu einem S2S-VPN als auch umgekehrt oder von einem S2S in ein weiteres S2S routen lassen.

Re: SSL-VPN: Neuer Server für jedes S2S VPN?

Verfasst: Fr 12.07.2019, 16:39
von mdm
Hallo,
ich danke euch beiden für die schnelle Hilfe.

Es läuft jetz so wie ich es benötige.
Folgende Einstellungen habe ich jetzt geändert:
- Routing der einzelnen IP's nicht das ganze Netz (so wie Ihr gesagt habt)
- SSL Verbindung: nur die einzelnen IP's, nicht das komplette Netz mit übergeben

Danke