SSL S2S und S2C

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
jb311090
Beiträge: 19
Registriert: Fr 06.12.2019, 17:11

SSL S2S und S2C

Beitrag von jb311090 »

Guten Abend,

ich habe ein Anliegen und benötige Rat zur Lösung. 
Habe eine RC200 dort ist folgendes eingerichtet:
 SSL VPN für Clients
SSL Site to Site

Jetzt möchte ich gerne, dass die Clients welche sich auf die RC200 einwählen auch in das Netz von der Site to Site Verbindung kommen bzw. nur dort hin. Hat jemand einen Tipp?

Benutzeravatar
Mario
Securepoint
Beiträge: 935
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

Die Netze entsprechend im VPN-Tunnel freigeben. Also im RW-Tunnel das Clientnetz des S2S-Tunnel als Servernetz freigeben. Passende Portfilteregeln nicht vergessen!
Mit freundlichen Grüßen

Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de

Figo
Beiträge: 37
Registriert: Mo 23.03.2020, 17:14

Beitrag von Figo »

Moin,

ich möchte mich der Frage einmal anschließen.
Derzeit sieht es bei uns folgendermaßen aus:

Standort A (Client) ist per S2S SSLVPN mit Standort B (Server) verbunden.
Am Standort A erfolgt die Einwahl per Roadwarrior, dabei soll dieser dann auch auf das Netz von Standort B zugreifen.
Dazu habe ich beim RW bereits das Netz von Standort B freigegeben.
Dazu gab es die passende Regel zwischen den Netzen des RW und Standort B.

Ein anschließender Ping ging nicht durch, Standort B gibt die Meldung "MULTI: bad source address from client [192.168.XXX.XXX] packet dropped" aus.
Nach einigen Stunden der Fehlersuche und des Probierens habe ich dann bei Securepoint angerufen.
Beim Rückruf haben wir dann die Regel angepasst und die Verbindung wird jetzt zum internen Interface "genatet" und damit gehts soweit. (vielen Dank an den Supportmitarbeiter!)

Allerdings wurde im Gespräch auch gleich erwähnt, das es damit unter bestimmten Szenarien zu Schwierigkeiten kommen kann.
Daher ist meine Frage, wie ich das ohne NAT umsetzen kann.

Hat jemand dazu eine Idee?

Danke

Benutzeravatar
Mario
Securepoint
Beiträge: 935
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

Auch beim Tunnel Richtung Remotenetz muss das Roadwarriornetz als Servernetz angegeben sein.

Also Roadwarrior:

Servernetz: Lokales Netz? + Netz hinter dem anderem Tunnel

"Anderer Tunnel":

Servernetz: Lokales Netz <> RW-Tunnelnetz
Servernetz: Lokales Netz <> Clientnetz


Aktuell haben Sie wohl nur im RW-Netz das Remotenetz des anderen Tunnels angegeben. So kommt man mit NAT hin, aber eben nicht ohne. Wenn der andere Tunnel das RW-Netz auch konfiguriert hat, sollte es keine Multi Bad Source-Address Meldungen fuer diesen Tunnel mehr geben.
Mit freundlichen Grüßen

Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de

Figo
Beiträge: 37
Registriert: Mo 23.03.2020, 17:14

Beitrag von Figo »

Mario hat geschrieben:...
"Anderer Tunnel":

Servernetz: Lokales Netz <> RW-Tunnelnetz
Servernetz: Lokales Netz <> Clientnetz
...
Hallo,
vielen Dank für Ihre schnelle Antwort.

Soweit ist mir das theoretisch klar, leider kann ich praktisch der oberigen Ausführen nicht folgen.
Mir erschließt sich nicht, was ich wo einzustellen habe.

Könnten Sie dies umformulieren?

Danke

Benutzeravatar
Mario
Securepoint
Beiträge: 935
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

Sie haben zwei Tunnel. Einmal den Roadwarrior, dann den S2S-Tunnel zu dem Remotenetz.

Beim Roadwarrior-Tunnel haben Sie das Remotenetz des S2S-Tunnels angegeben. Somit versuchen die Clients, dieses Netz ueber den RW-Tunnel zu erreichen. Da aber beim S2S-Tunnel das RW-Tunnelnetz nicht angegeben ist, scheitert das ohne die Verwendung von NAT. Also muss beim S2S-Tunnel auch das RW-Tunnelnetz freigegeben werden.
Mit freundlichen Grüßen

Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de

Antworten