SSL-VPN RDP

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
Gerald Stefan
Beiträge: 22
Registriert: Di 08.05.2018, 12:17

SSL-VPN RDP

Beitrag von Gerald Stefan »

Guten Tag,


wir haben zwei Standorte, beiden sind mit ein SSL-VPN verbunden.
 
StandortA  192.168.1.0/24     RoadWorrior VPN 192.168.251.0/24    TUN 192.168.250.2

StandortB  192.168.88.0/24                                                                 TUN 192.168.250.4
 
Die frage ist, wenn ich als Client VPN von Zuhause an StandortA eingewählt bin, wie kann ich dann per RDP auf den StandortB zugreifen?
 
welche Regel soll ich hier einrichten. Ich habe mehrere Varianten ausprobiert aber ohne Erfolg.



Beste Grüße
Gerald

Svenja
Beiträge: 85
Registriert: Mo 16.04.2018, 12:00

Beitrag von Svenja »

Hallo Gerald!

Das kommt jetzt ein bisschen darauf an, ob der Standort B das Netzwerk 192.168.251.0/24 kennt (z.B. über die gepuschten Netze im SSL-VPN S2S oder durch eine manuell eingetragene Route).

Wenn ja: dann RW-Netz -> Standort-B-Netz -> gewünschter Port (ggf. noch die Rückrichtung, wenn auch von Standort B initiiert werden soll) 
und am Standort B RW-Netz (Zone des SSL-VPN-S2S-Tunnels) -> Standort-B-Netz -> gewünschter Port

Wenn der Standort B das RW-Netz nicht kennt, dann RW-Netz -> Standort-B-Netz -> gewünschter Port -> HideNAT an Standort-A-Interface (192.168.1.x)
Am Standort B braucht es dann keine weiteren Regeln, da für die UTM hier die Pakete ja aus dem 192.168.1er Netz kommen.

Grüße
Svenja

Gerald Stefan
Beiträge: 22
Registriert: Di 08.05.2018, 12:17

Beitrag von Gerald Stefan »

Hallo Svenja,

vielen Dank für deine Antwort.
Ich habe schon probiert aber Leider funktioniert nicht.
Standort-A:

Standort-A mit Standort-B können komunizieren (RDP, ping, andere Port, etc...)

RW-Netz -> Standort-B-Netz -> Port -> Standort-A-Interface (HideNAT)

Kannst du mir bitte erklären?


Danke im Voraus


Beste Grüße
Gerald

Svenja
Beiträge: 85
Registriert: Mo 16.04.2018, 12:00

Beitrag von Svenja »

Hallo Gerald!

Wenn dein Standort B das Netzerk 192.168.251.0/24 nicht kennt, also keine Route zu diesem Netzwerk hat, dann wird die UTM an Standort B die Pakete auf dem "Rückweg" nicht durch den VPN-Tunnel schicken. Darum sollst du hier dann das HideNAT in der Regel setzen, damit der Standort B nur Pakete mit Quell-IP aus dem Netz von Standort A bekommt.

Grüße
Svenja

Gerald Stefan
Beiträge: 22
Registriert: Di 08.05.2018, 12:17

Beitrag von Gerald Stefan »

Hallo Svenja,

Vielen Dank für deine Antwort.

Also schon gemacht Standort-A regel:

RW-Standort-A(192.168.251.0/24) -> Standort-B-Netz -> Standort-A-Intern-Netz(192.168.1.0/24) HideNAT

Leider geht nicht.

Am Standort-B brauche ich keine anderen Regeln.

Beste Grüße
Gerald

Svenja
Beiträge: 85
Registriert: Mo 16.04.2018, 12:00

Beitrag von Svenja »

Hallo Gerald!

Dann hast du die Regel noch nicht korrekt angelegt, denn offensichtlich greift dein HideNAT nicht. Am Standort B sollten keine Pakete mit der Quelle 192.168.251.0/24 auftauchen.

Die Regel muss lauten:
Quelle: 192.168.251.0/24, Zone vpn-openvpn-RW
Ziel: 192.168.88.0/24, Zone vpn-openvpn-S2S
Port: gewünschter Port
NAT-Typ: HideNAT
NAT-Objekt: internal-interface

Grüße
Svenja

Gerald Stefan
Beiträge: 22
Registriert: Di 08.05.2018, 12:17

Beitrag von Gerald Stefan »

Hallo Svenja,

Vielen Dank für deine Antwort.

Genauso habe ich gemacht aber Leider funktioniert nicht.

Beste Grüße
Gerald

Gerald Stefan
Beiträge: 22
Registriert: Di 08.05.2018, 12:17

Beitrag von Gerald Stefan »

Hallo Svenja,

am Standort-B ist ein opn-vpn-client mit der gleichen IP-Adress:

Standort-A (TUN2) RW 192.168.251.1/24
Standort-B (TUN1) opne-vpn-client 192.168.251.1/24  ---> Standort-D

Vielleicht ist das Problem!

Beste Grüße
Gerald

Svenja
Beiträge: 85
Registriert: Mo 16.04.2018, 12:00

Beitrag von Svenja »

Hallo Gerald!

Wenn du das HideNAT einrichtest, dann kommen die Pakete aus dem RW-VPN von Standort A an Standort B mit der Quell IP des internen Netzes von Standort A an....
Nein, das ist nicht das Problem

Bitte kontrolliere noch einmal deine Regeln an Standort A

Grüße
Svenja

Antworten