2 UTMs im selben Zielnetz aber verschiedene Roadwarrior Netze

MarcusM · Beitrag von **MarcusM** » Fr 14.07.2017, 14:25

Hallo,
ich habe bei einem Kunden schon seit längerem eine Sceurpoint UTM als Gateway ins Internet. Läuft wunderbar

Nun kam eine zweite UTM als reines VPN Gateway für bestimmte Geräte innerhalb des Netzes zu bestimmten VPN Gegenstellen. Läuft ebenfalls alles wie gewollt

Da beide UTMs einen eigenen Internetanschluss besitzen, habe ich ja nun 2 Einwahlmöglichkeiten. Ich habe auf beiden UTMs verschiedene Roadwarriornetze konfiguriert und kann die VPN Verbindungen auch jeweils Problemlos aufbauen. Allerdings komme ich dann immer nur auf die entsprechende UTM auf der ich mich eingewählt habe.

Beispiel:
Internet-UTM: 192.168.192.1
Roadwarrior Zugang: 192.168.193.0/24 --> Kein Zugriff auf VPN-UTM
Portfilter: VPN-Roadwarrior --> internal-network (eth1) --> any

VPN-UTM: 192.168.192.2
Roadwarrior Zugang: 192.168.194.0/24 --> Kein Zugriff auf Internet-UTM
Portfilter: VPN-Roadwarrior --> internal-network (eth1) --> any

Stecke ich vor Ort im Netz komme ich problemlos an beide UTMs. Testweise habe ich auch mal im Portfilter die Regel VPN-Roadwarrior --> VPN-UTM --> any angelegt, hat aber auch nichts gebracht.
Die Roadwarrior Netze sind in beiden UTMs unter Netzwerk\Servereinstellungen\Administration eingetragen. (Also jeweils 192.168.193.0/24 und 192.168.194.0/24)

Jemand eine Idee?

Vielen Dank!

NETworks-IT · Beitrag von **NETworks-IT** » Mo 17.07.2017, 09:55

Wie sind die Adminfreigaben auf den UTMs konfiguriert. Wer darf jeweils von wo drauf? Ich gehe mal davon aus das interne Netz, aber welche Quell IP noch?

MarcusM · Beitrag von **MarcusM** » Mo 17.07.2017, 13:17

Die Roadwarrior Netze sind beide auf beiden UTMs eingetragen. Ich denke es ist ein Routingproblem.
Ich kann ja auch nur Geräte erreichen die als Gateway die jeweilige UTM eingetragen haben auf der ich mich eingewählt habe.
Die Frage ist wahrscheinlich, wie muss die Route lauten die ich auf den UTMs eintragen muss, damit die UTMs wissen wo sie die Pakete abgeben sollen.

kennethj · Beitrag von **kennethj** » Di 18.07.2017, 08:53

Hallo,

könnte es sein, dass Sie das Routing auf den beiden Maschinen vergessen haben?

Neben Regel + Administrative freigabe benötigen beide Maschinen eine Route (Gateway: Die andere Maschine, Zielnetz: Das Roadwarrior Netz der anderen Maschine).
Ansonsten wird das Packet einfach per default Route ins Internet geroutet und verpufft dort.

Gruß

MarcusM · Beitrag von **MarcusM** » Fr 21.07.2017, 10:27

Hallo,
und vielen Dank! Ich habe mir das schon Gedacht, war mir aber nicht ganz sicher wie die Route einzutragen ist. Jetzt erscheint es vollkommen logisch.
In eine Richtung funktioniert es schon mal, aus der anderen noch nicht (Habe natürlich auf beiden UTMs die jeweilige andere UTM/Roadwarrior Netz eingetragen). Den Fehler finde ich aber noch!