Guten Tag,
wir haben zwei Standorte, beiden sind mit ein SSL-VPN verbunden.
StandortA 192.168.1.0/24 RoadWorrior VPN 192.168.251.0/24 TUN 192.168.250.2
StandortB 192.168.88.0/24 TUN 192.168.250.4
Die frage ist, wenn ich als Client VPN von Zuhause an StandortA eingewählt bin, wie kann ich dann per RDP auf den StandortB zugreifen?
welche Regel soll ich hier einrichten. Ich habe mehrere Varianten ausprobiert aber ohne Erfolg.
Beste Grüße
Gerald
SSL-VPN RDP
Moderator: Securepoint
Hallo Gerald!
Das kommt jetzt ein bisschen darauf an, ob der Standort B das Netzwerk 192.168.251.0/24 kennt (z.B. über die gepuschten Netze im SSL-VPN S2S oder durch eine manuell eingetragene Route).
Wenn ja: dann RW-Netz -> Standort-B-Netz -> gewünschter Port (ggf. noch die Rückrichtung, wenn auch von Standort B initiiert werden soll)
und am Standort B RW-Netz (Zone des SSL-VPN-S2S-Tunnels) -> Standort-B-Netz -> gewünschter Port
Wenn der Standort B das RW-Netz nicht kennt, dann RW-Netz -> Standort-B-Netz -> gewünschter Port -> HideNAT an Standort-A-Interface (192.168.1.x)
Am Standort B braucht es dann keine weiteren Regeln, da für die UTM hier die Pakete ja aus dem 192.168.1er Netz kommen.
Grüße
Svenja
Das kommt jetzt ein bisschen darauf an, ob der Standort B das Netzwerk 192.168.251.0/24 kennt (z.B. über die gepuschten Netze im SSL-VPN S2S oder durch eine manuell eingetragene Route).
Wenn ja: dann RW-Netz -> Standort-B-Netz -> gewünschter Port (ggf. noch die Rückrichtung, wenn auch von Standort B initiiert werden soll)
und am Standort B RW-Netz (Zone des SSL-VPN-S2S-Tunnels) -> Standort-B-Netz -> gewünschter Port
Wenn der Standort B das RW-Netz nicht kennt, dann RW-Netz -> Standort-B-Netz -> gewünschter Port -> HideNAT an Standort-A-Interface (192.168.1.x)
Am Standort B braucht es dann keine weiteren Regeln, da für die UTM hier die Pakete ja aus dem 192.168.1er Netz kommen.
Grüße
Svenja
-
- Beiträge: 22
- Registriert: Di 08.05.2018, 12:17
Hallo Svenja,
vielen Dank für deine Antwort.
Ich habe schon probiert aber Leider funktioniert nicht.
Standort-A:
Standort-A mit Standort-B können komunizieren (RDP, ping, andere Port, etc...)
RW-Netz -> Standort-B-Netz -> Port -> Standort-A-Interface (HideNAT)
Kannst du mir bitte erklären?
Danke im Voraus
Beste Grüße
Gerald
vielen Dank für deine Antwort.
Ich habe schon probiert aber Leider funktioniert nicht.
Standort-A:
Standort-A mit Standort-B können komunizieren (RDP, ping, andere Port, etc...)
RW-Netz -> Standort-B-Netz -> Port -> Standort-A-Interface (HideNAT)
Kannst du mir bitte erklären?
Danke im Voraus
Beste Grüße
Gerald
Hallo Gerald!
Wenn dein Standort B das Netzerk 192.168.251.0/24 nicht kennt, also keine Route zu diesem Netzwerk hat, dann wird die UTM an Standort B die Pakete auf dem "Rückweg" nicht durch den VPN-Tunnel schicken. Darum sollst du hier dann das HideNAT in der Regel setzen, damit der Standort B nur Pakete mit Quell-IP aus dem Netz von Standort A bekommt.
Grüße
Svenja
Wenn dein Standort B das Netzerk 192.168.251.0/24 nicht kennt, also keine Route zu diesem Netzwerk hat, dann wird die UTM an Standort B die Pakete auf dem "Rückweg" nicht durch den VPN-Tunnel schicken. Darum sollst du hier dann das HideNAT in der Regel setzen, damit der Standort B nur Pakete mit Quell-IP aus dem Netz von Standort A bekommt.
Grüße
Svenja
-
- Beiträge: 22
- Registriert: Di 08.05.2018, 12:17
Hallo Svenja,
Vielen Dank für deine Antwort.
Also schon gemacht Standort-A regel:
RW-Standort-A(192.168.251.0/24) -> Standort-B-Netz -> Standort-A-Intern-Netz(192.168.1.0/24) HideNAT
Leider geht nicht.
Am Standort-B brauche ich keine anderen Regeln.
Beste Grüße
Gerald
Vielen Dank für deine Antwort.
Also schon gemacht Standort-A regel:
RW-Standort-A(192.168.251.0/24) -> Standort-B-Netz -> Standort-A-Intern-Netz(192.168.1.0/24) HideNAT
Leider geht nicht.
Am Standort-B brauche ich keine anderen Regeln.
Beste Grüße
Gerald
Hallo Gerald!
Dann hast du die Regel noch nicht korrekt angelegt, denn offensichtlich greift dein HideNAT nicht. Am Standort B sollten keine Pakete mit der Quelle 192.168.251.0/24 auftauchen.
Die Regel muss lauten:
Quelle: 192.168.251.0/24, Zone vpn-openvpn-RW
Ziel: 192.168.88.0/24, Zone vpn-openvpn-S2S
Port: gewünschter Port
NAT-Typ: HideNAT
NAT-Objekt: internal-interface
Grüße
Svenja
Dann hast du die Regel noch nicht korrekt angelegt, denn offensichtlich greift dein HideNAT nicht. Am Standort B sollten keine Pakete mit der Quelle 192.168.251.0/24 auftauchen.
Die Regel muss lauten:
Quelle: 192.168.251.0/24, Zone vpn-openvpn-RW
Ziel: 192.168.88.0/24, Zone vpn-openvpn-S2S
Port: gewünschter Port
NAT-Typ: HideNAT
NAT-Objekt: internal-interface
Grüße
Svenja
-
- Beiträge: 22
- Registriert: Di 08.05.2018, 12:17
Hallo Svenja,
Vielen Dank für deine Antwort.
Genauso habe ich gemacht aber Leider funktioniert nicht.
Beste Grüße
Gerald
Vielen Dank für deine Antwort.
Genauso habe ich gemacht aber Leider funktioniert nicht.
Beste Grüße
Gerald
-
- Beiträge: 22
- Registriert: Di 08.05.2018, 12:17
Hallo Svenja,
am Standort-B ist ein opn-vpn-client mit der gleichen IP-Adress:
Standort-A (TUN2) RW 192.168.251.1/24
Standort-B (TUN1) opne-vpn-client 192.168.251.1/24 ---> Standort-D
Vielleicht ist das Problem!
Beste Grüße
Gerald
am Standort-B ist ein opn-vpn-client mit der gleichen IP-Adress:
Standort-A (TUN2) RW 192.168.251.1/24
Standort-B (TUN1) opne-vpn-client 192.168.251.1/24 ---> Standort-D
Vielleicht ist das Problem!
Beste Grüße
Gerald
Hallo Gerald!
Wenn du das HideNAT einrichtest, dann kommen die Pakete aus dem RW-VPN von Standort A an Standort B mit der Quell IP des internen Netzes von Standort A an....
Nein, das ist nicht das Problem
Bitte kontrolliere noch einmal deine Regeln an Standort A
Grüße
Svenja
Wenn du das HideNAT einrichtest, dann kommen die Pakete aus dem RW-VPN von Standort A an Standort B mit der Quell IP des internen Netzes von Standort A an....
Nein, das ist nicht das Problem
Bitte kontrolliere noch einmal deine Regeln an Standort A
Grüße
Svenja