SSL-VPN: Neuer Server für jedes S2S VPN?

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
jens.manke
Beiträge: 25
Registriert: Mi 03.02.2016, 23:13

SSL-VPN: Neuer Server für jedes S2S VPN?

Beitrag von jens.manke »

Hallo zusammen,

muss für jede site-to-site SSL-VPN Verbindung ein eigener Server auf der Securepoint eingerichtet werden mit eigenem Zertifikat usw. oder kann ein Server und z.B. tun0 für mehrere site-to-site SSL-VPN Verbindungen genutzt werden?

Benutzeravatar
David
Securepoint
Beiträge: 444
Registriert: Di 09.02.2016, 14:01

Beitrag von David »

Ein Server kann durchaus für mehrere SSL-VPN Verbindungen genutzt werden.
Die Clients müssen nur eigene Zertifikate haben, da die Zuordnung der Sites darüber realisiert wird
Mit freundlichen Grüßen

David Gundermann
Head of Mobile Security
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Bleckeder Landstraße 28
D-21337 Lüneburg
http://www.securepoint.de

Benutzeravatar
KuehleisIT
Beiträge: 86
Registriert: Mi 21.03.2007, 22:47
Wohnort: Weißenburg i. Bay.
Kontaktdaten:

Beitrag von KuehleisIT »

… da dran scheitere ich auch grad: einzeln krieg ich es bisher immer hin, aber jetzt wollte ich einen weiteren Client anbinden.
Gibts da eine Anleitung, wie das auszusehen hat?

kennethj
Beiträge: 408
Registriert: Di 25.04.2017, 10:17
Wohnort: Lüneburg
Kontaktdaten:

Beitrag von kennethj »

Hallo,

woran scheitert es denn? Verbindet sich der Client nicht zum Server oder gehen keine Daten durch Tunnel?
Anleitung in Kurz:
Serverseite:
-neues Zertifikat für den Client generieren
- Remote Client Profil in den OpenVPN Einstellungen hinterlegen+
- Das remote  Client Profil dem Server zuweisen (Server Editieren -> Remote Client Profil -> Profil Auswählen -> + Klicken -> Speichern) (Das wird nämlich gerne vergessen ;))
- Routing und Portfilter setzen

Client:
- CA und Client Zertifikat importieren
- Neue Site to Site Verbindung (als Client) anlegen 
- Routing und Portfilter einrichten

=> Läuft

Gruß

Ps: Ab 11.7.x ist das ganze sogar noch ein ticken einfacher

mdm
Beiträge: 6
Registriert: Fr 12.07.2019, 11:31

Beitrag von mdm »

Hallo,

das ganze ist doch nicht so einfach.

Folgende Situation:

Securepoint R300 Netz 192.168.0.0/24
2 SSL VPN GW Netz 192.168.1.0/24
2 Client IP: 192.168.1.1 und 192.168.1.2
Das interne Netz soll auf das Netz hinter den VPN Clients zugreifen.

Die erste Verbindung steht und es werden auch Daten übertragen.
Die zweite Verbindung wird auch aufgebaut aber es laufen dann nur noch über diese Verbindung die Daten bei der ersten Verbindung gehen dann keine Daten mehr darüber.

Beide VPN GW haben das gleiche Netz mit jeweils einem Client dahinter.
Wenn sich die zweite VPN Verbindung aufgebaut hat will das interne Netz nur noch über das 2 GW den Client erreichen.
Was muss ich einstellen damit das interne Netz den 1 Client über das GW der 1 Verbindung erreicht und der 2 Client über GW der 2 Verbindung.

kennethj
Beiträge: 408
Registriert: Di 25.04.2017, 10:17
Wohnort: Lüneburg
Kontaktdaten:

Beitrag von kennethj »

Hallo,

einmal für mich:
- eine RC300 mit dem Netz 192.168.0.0/24
- Transfernetzwerk für das SSL VPN ist 192.168.1.0/24
zwei VPN Gateways die sich per SSL VPN mit der RC300 verbinden und diese beide haben das gleiche Subnetz intern? (192.168.X.0/24)

Hab ich das richtig verstanden?

Gruß

mdm
Beiträge: 6
Registriert: Fr 12.07.2019, 11:31

Beitrag von mdm »

Hallo,
das Transfernetz ist 192.168.254.0/24
Die VPN GW haben einmal 192.168.254.2 und 192.168.254.3, die R300 hat die 192.168.254.1.

Das Subnetz hinter den VPN GW hat die 192.168.1.0/24 und der Client einmal die 192.168.1.100 und die 192.168.1.200.
Die VPN GW verbinden sich über SSL VPN zur R300.
Bild
Bild

kennethj
Beiträge: 408
Registriert: Di 25.04.2017, 10:17
Wohnort: Lüneburg
Kontaktdaten:

Beitrag von kennethj »

Hallo,

das kann so ohne weiteres nicht funktionieren. Sie haben ja jetzt weil mal das gleiche Ziel Subntz über zwei verschiedene Gateways. Die RC300 (und jeder andere Router auch) weiß jetzt gar nicht wann er wo was wie hinschicken soll.

Mögliche Lösungen:
1. Sie ändern bei einem Standort das lokale Subnetz
2. Sie arbeiten mit einem 1:1 NAT (NETMAP)
3. Sie setzen im SSL VPN keine Route für das 192.168.1.0/24 Netzwerk, sondern für jeden Client den Sie erreichen wollen eine eigene Route (klappt nicht wenn Sie zweimal den Client mit .100 am Ende habe)

Gruß

HaPe
Beiträge: 56
Registriert: Di 09.05.2017, 22:40

Beitrag von HaPe »

Also 2 VPNs mit dem selben Netz dahinter geht wenn dann imho nur mit Netmap oder man routet nicht das komplette Netz sondern tatsächlich nur jeweils ein Teilnetz (und wenn das Teilnetz eine einzige IP (1.100 bzw. 1.200) ist).
Ansonsten kann ja die 3. Securepoint nicht wissen, ob das Datenpaket nun in Tunnel 1 oder Tunnel 2 gehört, wenn am anderen Ende sowohl von Tunnel 1 und Tunnel 2 jeweils 192.168.1.0/24 ist... (Das fängt auch schon bei Verbindungen vom entfernten Netz an, da die Antwortpakete darauf möglicherweise auch schon im falschen Tunnel landen).

Ich würde hier zuerst versuchen beim VPN nicht mit /24 zu arbeiten sondern im worst case (sollte es pro Netz tatsächlich nur jeweils ein Client sein) mit /32 als Teilnetz. Das in den Routen noch entsprechend eingetragen sollte dan probemlos funktionieren (zumindest für die beiden Clients).

Oder man stellt eines der beiden Netze um von 192.168.1.x auf 192.168.2.x - dann ist wieder alles eindeutig.

Netmap würde ich wirklich nur in absoluten Ausnahmefällen machen, weil da muss man dann gelinde gesagt "um´s Eck" denken, was z.B. Fehlersuche sicher nicht vereinfacht...

Edit: Gibt´s mal was, wo ich auch weiterhelfen könnte und dann bin ich zu langsam :))

Zum VPN-Server: Eigentlich könnte man alles über einen Server machen oder pro VPN einen Server haben - sollte beides funktionieren (schöner und einfacher ist natürlich nur ein Server).
Unterschiedliche Server braucht man eigentlich nur, wenn z.B. die Verschlüsselung eine andere sein soll oder ggf. TCP statt UDP notwendig ist weil Fremdgeräte ins Spiel kommen...)
Wo man definitiv mehrere Server braucht ist wenn einmal Roadwarrior angebunden werden sollen und einmal S2S - das sind 2 Paar Schuhe.
Traffic kann man aber sowohl von einem Roadwarrior zu einem S2S-VPN als auch umgekehrt oder von einem S2S in ein weiteres S2S routen lassen.

mdm
Beiträge: 6
Registriert: Fr 12.07.2019, 11:31

Beitrag von mdm »

Hallo,
ich danke euch beiden für die schnelle Hilfe.

Es läuft jetz so wie ich es benötige.
Folgende Einstellungen habe ich jetzt geändert:
- Routing der einzelnen IP's nicht das ganze Netz (so wie Ihr gesagt habt)
- SSL Verbindung: nur die einzelnen IP's, nicht das komplette Netz mit übergeben

Danke

Antworten