Über Site-2-Site-VPN in weiteres entferntes Netz

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
Jens Fuhrmann
Beiträge: 118
Registriert: Fr 01.02.2013, 17:37
Wohnort: Chemnitz
Kontaktdaten:

Über Site-2-Site-VPN in weiteres entferntes Netz

Beitrag von Jens Fuhrmann »

Hallo! Ich kämpfe gerade mit folgender Konstellation:

Ausgangssituation:
- UTM 11.8.4 (RC400 im Cluster)
- Standardgateway ist ein Cisco
- MPLS-Strecke zu öffentlicher IP, die jedoch nur über diese MPLS-Strecke erreichbar ist
- SSL-VPN-Client, der zur öffentlichen IP soll, die über MPLS am Standardgateway hängt

Zusammengefasst mit Beispiels-IPs:
UTM: 192.168.127.254 (internal)
Cisco: 192.168.127.1, 192.168.100.9
MPLS: 192.168.100.10
Ziel-IP über MPLS (Fantasie): 80.265.123.30
SSL-VPN: 192.168.234.0/24

Wie baue ich die Portfilterregeln und Routen, dass ich aus dem SSL-VPN-Netz zur öffentlichen, jedoch nur über die MPLS-Strecke erreichbaren IP komme? Lege ich die IP ins internal-Netz der UTM, kriege ich in meiner Konfiguration schon mal keine Portfilterfehler. Ich habe also den Dem S2S-Client die Route zur über MPLS erreichbaren IP schon einbauen können, aber dann geht es von dort aus nicht richtig weiter... evtl. auch ein Problem des Rückwegs?

Benutzeravatar
Christian E.
Securepoint
Beiträge: 238
Registriert: Do 05.07.2012, 16:19
Wohnort: Lüneburg

Beitrag von Christian E. »

Hallo,

an welcher Schnittstelle ist das MPLS Netz angeschlossen und welche Zonen liegen auf der Schnittstelle?
Im SSL VPN Roadwarrior Server übermitteln Sie die öffentliche 80.265.123.30 als lokales Netz.

Die Portfilterregel würde wie folgt aussehen:

 SSL-Netz -> 80.265.123.30 (Zone: die Zone auf der MPLS Schnittstelle) -> Dienst/any
HideNAT: MPLS-interface

Beste Grüße
Christian

Jens Fuhrmann
Beiträge: 118
Registriert: Fr 01.02.2013, 17:37
Wohnort: Chemnitz
Kontaktdaten:

Beitrag von Jens Fuhrmann »

Das Problem ist, dass das MPLS-Netz an keiner Schnittstelle angeschlossen ist, sondern am Standardgateway (Cisco).

Benutzeravatar
Christian E.
Securepoint
Beiträge: 238
Registriert: Do 05.07.2012, 16:19
Wohnort: Lüneburg

Beitrag von Christian E. »

Die öffentliche Ziel IP ist aber nur über die MPLS Gegenstelle erreichbar?
Dann bräuchten Sie eine Route:

Quelle: / - Gateway: IP von der MPLS Gegenstelle - Ziel: 80.265.123.30

Die Zone wäre dann external, weil sich die IP der MPLS Gegenstelle der Route hinter eth0 befindet.

Beste Grüße
Christian

Jens Fuhrmann
Beiträge: 118
Registriert: Fr 01.02.2013, 17:37
Wohnort: Chemnitz
Kontaktdaten:

Beitrag von Jens Fuhrmann »

Das MPLS-Gateway ist nur vom Standardgateway aus erreichbar (Subnetz bestehen aus genau zwei IP-Adressen, 1x für Standardgateway von Cisco, 1x für MPLS-Gateway), daher kann das nicht funktionieren. Ich müsste das Standardgateway als Route auf dem SSL-VPN-Client hinterlegen können... oder so?!

Benutzeravatar
Christian E.
Securepoint
Beiträge: 238
Registriert: Do 05.07.2012, 16:19
Wohnort: Lüneburg

Beitrag von Christian E. »

Dann können Sie die Route streichen und die Firewall schickt die Anfrage vom SSL Client per default an ihr Standardgateway. 
Die Route müsste dann anschließend auf dem Standardgateway angelegt und mit der 192.168.100.9 geNATet werden.
Die Zone für die Portfilterregel bleibt weiterhin external.

Beste Grüße
Christian

Jens Fuhrmann
Beiträge: 118
Registriert: Fr 01.02.2013, 17:37
Wohnort: Chemnitz
Kontaktdaten:

Beitrag von Jens Fuhrmann »

Vielen Dank, ich teste es!

Jens Fuhrmann
Beiträge: 118
Registriert: Fr 01.02.2013, 17:37
Wohnort: Chemnitz
Kontaktdaten:

Beitrag von Jens Fuhrmann »

Es sieht so aus: Die Anfrage an die externe IP geht durch den Tunnel, danach geht sie aber aus dem Tunnel nach eth0, was aber in diesem Fall ja falsch ist, diese spezielle IP soll ja nicht nach eth0 raus gehen, sondern an eth3 bleiben und zum Cisco gehen. Ich habe Routen gesetzt, die auf das Standardgateway verweisen, aber die werden scheinbar ignoriert.

[edit]
Ich habe die Route mit Source=VPN-Netz gebaut, dann bleibt alles auf eth3, aber es gibt einen Drop...
[/edit]
Zuletzt geändert von Jens Fuhrmann am Di 23.07.2019, 16:41, insgesamt 1-mal geändert.

Benutzeravatar
Christian E.
Securepoint
Beiträge: 238
Registriert: Do 05.07.2012, 16:19
Wohnort: Lüneburg

Beitrag von Christian E. »

Am besten melden Sie sich einmal über die Hotline damit der Aufbau deutlich und wir es uns anschauen können.

Antworten