Client Zugriff auf entferntes S2S

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
Handwerker
Beiträge: 5
Registriert: Mo 11.05.2020, 13:19

Client Zugriff auf entferntes S2S

Beitrag von Handwerker »

Liebe Community,

Vorab: Ich hoffe dass man irgendetwas mit diesem Titel anfangen kann.
Ich habe einige virtuelle Umgebungen mit Secure Point Firewalls davor. Aktuell hat jeder aus dem Team zu jeder Firewall einen eigenen VPN und springt immer wieder hin und her.
Dem habe ich den Kampf angesagt.

Mein Plan:
In einer Firewall (FW#1) einen Zugang zu allen Firewalls ermöglichen.

Mein Aufbau

Arbeitsplatz: Roadwarrior SSL VPN -> FW#1: (192.168.142.0/24) <- SSL VPN Site2Site (Transfer-Net: 10.0.0.0/24) -> FW#2 (192.168.143.0/24) -> MS-Server#1 (192.168.143.66)
FW#1: Ist mit S2S Client an FW#2 angebunden
FW#2: Hostet den SSL VPN als Server

Mein Ziel: 
Arbeitsplatz ------> MS-Server#1

Jetzt steht zwar die Verbindung zwischen den Firewalls und in den Portfiltern habe ich auch eingestellt, dass die Netze mit einander sprechen dürfen. Ich konnte auch erfolgreich von FW#2 den MS-Server#1 anpingen.
Aber wie sorge ich jetzt am sinnvollsten dafür, dass ich mit dem Arbeitsplatz auf den MS-Server#1 komme? 

Ich freue mich auf Eure Antworten.

Bjoern
Securepoint
Beiträge: 685
Registriert: Mi 03.07.2013, 10:06

Beitrag von Bjoern »

Hallo,

als erstes müssen Sie dem Roadwarrior Server die neuen Netze mit übermitteln. Danach sollten Sie bei den Site-to-Site Tunnel dieses Roadwarrior Netz als lokales Netz mit eintragen und auf der anderen Seite dies als Remotenetz. Nun brauchen Sie noch Regeln dafür das Sie aus dem Roadwarrior Netz in den Site-to-Site Tunnel dürfen und vom diesem Roadwarrior Netz ins interne Netz.

Gruß

Björn

Handwerker
Beiträge: 5
Registriert: Mo 11.05.2020, 13:19

Beitrag von Handwerker »

Hallo Björn,

vielen Dank für die Antwort.

Ich habe also in den RW-VPN das Transfernetzwerk 10.0.0.0/24 hinterlegt.
Im S2S-Server von FW#2 habe ich das Netzwerk vom RW-VPN als Client-Netzwerk hinterlegt (192.168.11.0/24)
Meine Portfilter in beiden FW sagen: Jeder darf mit jedem sprechen

Aber im S2S-Client auf FW#1 kann ich keine weiteren Netzwerke eintragen - nur Hosts

Von meinem RW-VPN kann ich aber einfach nicht den MS-Server#1 anpingen.

Was fehlt? Eine Route, ein Netzwerk-Objekt?

Ich freue mich auf Ihre Antwort. Vielen Dank im Voraus!

Bjoern
Securepoint
Beiträge: 685
Registriert: Mi 03.07.2013, 10:06

Beitrag von Bjoern »

Hallo,

im SSL-VPN Roadwarrior Server muss das Ziel Netz eingetragen werden und nicht das Transfernetz. Sie wollen ja das echte Ziel erreichen und nicht das Transfernetz.
Dann müssen Sie nur im Site-to-Site-Server das Netz des Roadwarriors mit als lokales Netz angeben. Auf der Serverseite legen Sie dann die Regeln an das Sie aus dem Roadwarrior-Network in das Zielnetz greifen dürfen.

Auf der Client Seite brauchen Sie dann ein Netzwerkobjekt mit dem Roadwarriornetz 10.0.0.0/24 als VPN Netzwerk anlegen das sich auf die Zone des Site-to-Site Netzes beziehen. Nun die Regel schreiben das dieses Netzwerk in das lokale Netz zugreifen dürfen. Denken Sie bitte daran das es anfragen von fremden Subnetzen sind. Nicht das die Firewall etc. diese Pakete verwerfen oder die Pakete nicht an die Securepoint zurück geroutet werden.

Gruß Björn

Handwerker
Beiträge: 5
Registriert: Mo 11.05.2020, 13:19

Beitrag von Handwerker »

Hallo Björn,

mein Log in meiner FW#1 gibt mir ein ACCEPT zurück - was meine Motivation anhebt.
Aber ich komme trotzdem weder auf den MS-Server noch an die FW#2

Ich habe im S2S-Server das RW-Netz (192.168.11.0/24) in die Client-Gegenstelle als Servernetz, Clientsnetz und beides abwechseln eingetragen. Zusätzlich zum Clientnetz 192.168.142.0/24

In den Portfiltern habe ich Objekte für das Transfer-Netz, das RW-Netz in eine Gruppe eingetragen.
Die Gruppe hat ALLOW ANY für Interne-Netzwerke
Und Interne-Netzwerke hat ALLOW ANY auf die Gruppe

Der Log zeigt den Zugriff gar nicht an...

Beste Grüße

Edit:
Solange mein RW zur FW#1 aktiv ist, kann ich nicht auf andere Firewalls zugreifen, die im Netzwerk 192.168.143.0/24 liegen. Das könnte eine wertvolle Info sein?

Handwerker
Beiträge: 5
Registriert: Mo 11.05.2020, 13:19

Beitrag von Handwerker »

Ok. ich habe mich noch mal in die Doku vertieft: https://wiki.securepoint.de/UTM/VPN/SSL_VPN-S2S
Von Server zu Server, von Firewall zu Firewall, von Server zu Firewall - alles kein Problem.

Aber:
Ich schaffe es einfach nicht vom RW über die erste Firewall zur zweiten... Ich habe mir echt einen abgebrochen und komme einfach nciht weiter.

Bjoern
Securepoint
Beiträge: 685
Registriert: Mi 03.07.2013, 10:06

Beitrag von Bjoern »

Hallo,

wenn Sie Reseller sind können Sie sich auch per Ticket an uns wenden dann können wir es durchgehen.
Im SSL-VPN Roadwarrior muss das Ziel Netz mit angegeben werden. Danach einmal den Dienst neustarten damit auch der Dienst diese Information hat.
Dann müssen Sie die Regel schreiben. Roadwarrior-network => S2S-netzwerk => Dienst => Hidenat => internal-interface.
Danach sollten Sie durch den Tunnel kommen. 

Gruß Björn

Handwerker
Beiträge: 5
Registriert: Mo 11.05.2020, 13:19

Beitrag von Handwerker »

Björn! 
Sie fantastischer Mann,
genau diese Regel brauchte ich. Auf den Hidenat wäre ich nicht gekommen.
Vielen lieben Dank.
Dieser Beitrag kann als erfolgreich gelöst geschlossen werden.

Antworten