Routing durch SSL VPN S2S an externen Router

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
MB1982
Beiträge: 20
Registriert: Fr 05.07.2019, 17:04

Routing durch SSL VPN S2S an externen Router

Beitrag von MB1982 »

Hallo zusammen,

aktuell verzweifel ich ein bischen am Routing mit Securepoint. Mit dem Support habe ich schon telefoniert, aber irgendwie reden wir immer aneinander vorbei, bzw. die Auskunft ist, es wäre doch so einfach.

Folgende Situation:

Standort A 10.62.12.0/24
verbunden per Site to Site SSL VPN mit
Standort B 10.62.44.0/24

Transfernetz ist 192.168.199.0/24
Für die Road Warrior Verbindung gibt es noch ein Transfernetz 192.168.200.0/24 sofern das relavant ist.
Firewallregeln sind entsprechend auf die jeweilige Gegenseite und Dienst any gesetzt. Soweit funktioniert der Zugriff über VPN auch problemlos.

Am Standort A steht zusätzlich ein Router(KoCoBox) 10.62.12.8 der eine VPN Verbindung zur KV aufbaut. Zielnetz bei der KV ist 188.144.0.0/16
Der Zugriff auf diesen Adressbereich klappt am Standort A ebenfalls problemlos, da gleiches Netz.
Nun haben wir das Problem, dass am Standort B die Server stehen und damit die Anwendungen dort auf die KoCoBox zugreifen müssen(KV Abrechnung, Export usw)

Wo muss ich nun die Route am Standort B setzen? In der Netzwerkkonfiguration unter Routing(auf das Gateway 10.62.12.8 )oder wird das 188.144.0.0 Netz mit im SSL S2S Tunnel eingetragen?
Was muss an der Firewall eingestellt werden?

Jemand eine vergleichbare Umgebung schon gehabt? Ich habe bei einem anderen Kunden ebenfalls einen weiteren Router außer der Securepoint, hier bestand auch ein asyncrones Routing. Nach entsprechender Firewallregel geht aber alles. Hier kommt allerdings zusätzlich noch der VPN Tunnel dazu.

Verzweifelte Grüße,

Marc

PS: Unter IPSEC lief alles schon einmal, musste aber dann auf Rat von SP auf SSL umgestellt werden, weil der VPN Tunnel oft nicht automatisch aufgebaut wurde nach Abbrüchen.

stefan.burrey

Beitrag von stefan.burrey »

Route in Standort B mit Zielnetz hinter KoCoBox auf Tun-Interface (vermutlich tun0) setzen, Netzwerkobjekt VPN Netz (Zone des SSLVPN) anlegen, ggf. Hin- & Rückweg.
Nun muss noch der SSLVPN Server (in Standort A) als Clientnetzwerk zusätzlich das Netz hinter KoCoBox „pushen“. In Standort A zusätzlich eine Portregel vom SSLVPN Netz Standort B in das Netz hinter KoCoBox, fertig ;-)

Svenja
Beiträge: 85
Registriert: Mo 16.04.2018, 12:00

Beitrag von Svenja »

Moin!

Ggf. muss an Standort A noch ein HideNAT angelegt werden, da die KoCoBox ja das Netz an Standort B nicht kennt. Bitte auch einmal die Routing-Einträge in der SSL-VPN Konfiguration überprüfen, damit die richtigen Routen beim Verbindungsaufbau auch übertragen werden.

Grüße
Svenja

MB1982
Beiträge: 20
Registriert: Fr 05.07.2019, 17:04

Beitrag von MB1982 »

Vielen Dank erst einmal ihr beide für die Hinweise. Mittlerweile ist irgendwie alles strubbelig. Es war ganz am Anfang alles konfiguriert, damals aber noch über IPSEC. Dann gab es diverse Probleme mit dem LTE Backup(private IPs und NAT), sich nicht wieder aufbauenden VPN Verbindungen usw. Daraufhin sagte man mir bei Securepoint, IPSEC ist alles nicht so toll bei uns, nehmen sie SSL. Gesagt getan, seit dem läuft auch das VPN stabil. Die Regeln habe ich eigentlich alle angepasst, trotzdem scheint in den Firewall Regeln noch etwas nicht zu stimmen.

Das Routing für das KV Netz 188.144.0.0/16 in Standort B habe ich gesetzt(es war TUN1, TUN0 ist der RW). Das KV Netz habe ich am Standort B(dort läuft der S2S SSL Server ebenfalls mit bei den Client Netzen eingetragen. Soweit alles noch logisch und ich erreiche auch die KoCoBox unter 10.62.12.9 am Standort A. Nur weiter komme ich nicht. Standort A kann problemlos auf die Webseiten der KV zugreifen, am Server Standort B kommt ein Timeout, ein tracert bricht nach der 10.62.12.9 ab.

Was müsste denn nun genau in die Firewalls? Irgendwie stehe ich da jedes Mal auf dem Schlauch und das trotz Securepoint Schulung. Mache ich nun ein HideNAT oder ein ExcludeHideNAT(in Standort A muss er ja eigentlich kein NAT machen)? Oder muss ich das HideNAT mit Quelle SSL Netz und Ziel KV Netz anlegen?
Das ist echt kompliziert oder ich bin zu doof ;-) Gibt es keine (Spezial)Schulung nur zu dem Thema, mit dem Rest und Diensten kommt man ja klar.

Ich finde die SP Firewalls ja super was den Mailfilter, Webfilter(naja SSL Interception ist auch so ein Ding),SSL VPN Client usw. angeht aber beim Routing da könnte ich jedes Mal Kot**n.

stefan.burrey

Beitrag von stefan.burrey »

Wie Svenja und ich schon anmerkten, muss das hinter der KoCoBox erreichbare Netz noch als zusätzliches Clientnetzwerk von Standort A im SSL VPN eingetragen werden.

MB1982
Beiträge: 20
Registriert: Fr 05.07.2019, 17:04

Beitrag von MB1982 »

Habe ich ja gemacht. Standort B ist der SSL Server und dort steht für den Standort A das Netz 10.62.12.0/24 und das Netz 188.144.0.0/16 drin. Wenn ich ein tracert mache auf das KV Netz geht er auch über das VPN und fragt die Kocobox. Danach geht es aber nicht weiter, ich denke die Firewall blockt da noch irgendwas.

Svenja
Beiträge: 85
Registriert: Mo 16.04.2018, 12:00

Beitrag von Svenja »

Ist denn im Log ein Paket, dass geblockt wird, zu sehen?
Hast du das HideNAT am Standort A (HideNAT-Objekt das Interface Richtung KoCoBox) eingetragen?

MB1982
Beiträge: 20
Registriert: Fr 05.07.2019, 17:04

Beitrag von MB1982 »

Hallo Svenja,
ich könnte dich knutschen ;-) Ich war schon kurz davor zu sagen, alles weg und wieder Lancom Router hin und Securepoint nur als Webfilter im Bypass(klappt übrigens bei einer anderen Klinik perfekt).

Im Log hatte ich schon geguckt, dort habe ich dann gesehen, dass meine Anfragen vom Standort B zumindest bei A ankommen. Routing passte also.

ACCEPT: in rule 26 10.62.44.10  tun0  eth1  188.144.7.178Echo Request (Ping)

Also habe ich mal deinen Vorschlag mit dem HideNAT versucht. Meine Regel 26 um HideNAT auf internal-interface ergänzt und schwubs geht es.
Man braucht also eine Regel mit der Quelle Netz Standort B, Ziel KV-Netz und ein HideNAT auf internal-interface(ETH1, da die KoCoBox ja im LAN hängt).
Grüße,
Marc

Benutzeravatar
David
Securepoint
Beiträge: 444
Registriert: Di 09.02.2016, 14:01

Beitrag von David »

Falls du das Problem, mit guter Analyse, nochmal nachlesen magst: asynchrones routing
Mit freundlichen Grüßen

David Gundermann
Head of Mobile Security
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Bleckeder Landstraße 28
D-21337 Lüneburg
http://www.securepoint.de

Antworten