Entfernte netze durch IPSEC routen

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
goorooj
Beiträge: 3
Registriert: Do 16.02.2017, 15:04

Entfernte netze durch IPSEC routen

Beitrag von goorooj »

hi,

wie route ich entfernte netze durch mehrere ipsec tunnel? wir haben einen haupststandort und 5 weitere standorte über die ganze welt verteilt. alle sind mit securepoints ausgestattet.
die standorte haben jeweils einen ipsec-tunnel zum hauptstandort.
bis jetzt wurden einzelne routen immer über group policies auf die rechner verteilt weil es noch nie jemand fertiggebracht hat nur mit den securepoints von einem kleinen standort zu einem anderen über den hauptstandort zu routen...
das kommt jetzt aber an die grenzen weil aussendienstler die sich über VPN z.B. an der chinesischen firewall verbinden einfach nicht mehr nach deutschland weiterkommen...
also: standort 1 hat z.b. 192.168.1.0, zentrale hat 10.10.10.0 und standort 2 hat 172.16.0.0 als netz.
alle firewalls sind aktuell so konfiguriert dass 0.0.0.0 direkt am standort ins internet geht und 10.10.10.0 über ipsec läuft, mittels eintrag in phase 2

Bjoern
Securepoint
Beiträge: 685
Registriert: Mi 03.07.2013, 10:06

Beitrag von Bjoern »

Hallo,

Sie müssen an allen Außenstandorten alle anderen Subnetze als Remote Subnetz eintragen. Auf der Hauptfirewall dann dementsprechend diese als Lokale Netze mit angeben.
Wenn Sie über Regeln den Zugriff gewähren muss natürlich auch die Regel dazu angelegt werden.

Gruß Björn

goorooj
Beiträge: 3
Registriert: Do 16.02.2017, 15:04

Beitrag von goorooj »

wie kann ich die entfernten netze auf der hauptfirewall als lokale netze angeben? also, soweit ich das verstanden habe: aussenposten 192.168.1.0 in china möchte über 10.10.10.0 ( hauptstandort deutschland ) nach 172.16.0.0 ( indien ). 

dann muss ich in china ja sowieso das 10.10.10.0 in die phase2 des ipsec-tunnels zum hauptstandort eintragen, zusätzlich noch das indische 172.16.0.0 netz wo ich ja über den hauptstandort hin will.

wie soll ich jetzt auf der firewall das indische und chinesische netz als lokales netz eintragen wenn die hauptfirewall ja ihre tunnels nach dort aufbauen muss? irgendwie kapiere ich die logik jetzt nicht.

goorooj
Beiträge: 3
Registriert: Do 16.02.2017, 15:04

Beitrag von goorooj »

ich habe jetzt in phase 2 des ipsec tunnels auf einer firewall in china das indische netz mit angegeben, trotzdem zeigt mir ein traceroute dass der ping sofort in china ins internet geht statt durch den tunnel.

Benutzeravatar
David
Securepoint
Beiträge: 444
Registriert: Di 09.02.2016, 14:01

Beitrag von David »

Hallo goorooj,
der Sachverhalt scheint mir etwas komplexer.
Bitte melden Sie sich doch mal bei uns im Support, dann ordnen wir gemeinsam dem chinesischen & indischen Netz ein paar Zahlen zu und schauen uns das Problem gerne gemeinsam an.
Mit freundlichen Grüßen

David Gundermann
Head of Mobile Security
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Bleckeder Landstraße 28
D-21337 Lüneburg
http://www.securepoint.de

Marc_Blucha
Beiträge: 1
Registriert: Sa 15.12.2018, 11:11

Beitrag von Marc_Blucha »

Hallo, 
gibt es zu diesem Problem eine Lösung? Ich habe das selbe Problem, möchte eine zweites entferntes Netz über eine IPsec VPN routen. Leider werden die Einträge in der VPN unter Phase 2 oder auch manuell erstellte Routen ignoriert. Die Daten werden weiterhin über die Default Route ins "Internet" gesendet. Das erste entfernte Netz funktioniert über die VPN ohne Probleme.

Bjoern
Securepoint
Beiträge: 685
Registriert: Mi 03.07.2013, 10:06

Beitrag von Bjoern »

Hallo,

es müsste so aussehen bei der Konfiguration von:
standort 1 hat z.b. 192.168.1.0, zentrale hat 10.10.10.0 und standort 2 hat 172.16.0.0 als netz.


Standort 1
lokales Netz 192.168.1.0/x --> Remote Netz 10.10.10.0/x
lokales Netz 192.168.1.0/x --> Remote Netz 172.16.0.0/x

Zentrale
lokales Netz 10.10.10.0/x --> Remote Netz 192.168.1.0/x
lokales Netz 172.16.0.0/x --> Remote Netz 192.168.1.0/x


Standort 2
lokales Netz 172.16.0.0/x --> Remote Netz 192.168.1.0/x
lokales Netz 172.16.0.0/x --> Remote Netz 10.10.10.0/x

Zentrale
lokales Netz 10.10.10.0/x --> Remote Netz 172.16.0.0/x
lokales Netz 192.168.1.0/x --> Remote Netz 172.16.0.0/x

mwarner
Beiträge: 1
Registriert: Di 24.11.2020, 18:05

Beitrag von mwarner »

Hallo,  

ich habe in etwa das gleiche Problem, allerdings mit IKEv2:

Standort 1 besitzt ein Netz: 10.11.0.0/24                Standort 2 zwei Netze: 192.168.33.0/24 und  192.168.233.0/24



Routing PH2 Standort 1:                                         Routing PH2 Standort 2

Lokales Netz      Remote                                        Lokales Netz                Remote                         
10.11.0.0/24     192.168.33.0/24                           192.168.233.0/24        10.11.0.0/24
10.11.0.0/24     192.168.233.0/24                         192.168.33.0/24          10.11.0.0/24

Ich hoffe ihr könnt mir dabei helfen.
Grüße

Antworten