Hallo! Ich kämpfe gerade mit folgender Konstellation:
Ausgangssituation:
- UTM 11.8.4 (RC400 im Cluster)
- Standardgateway ist ein Cisco
- MPLS-Strecke zu öffentlicher IP, die jedoch nur über diese MPLS-Strecke erreichbar ist
- SSL-VPN-Client, der zur öffentlichen IP soll, die über MPLS am Standardgateway hängt
Zusammengefasst mit Beispiels-IPs:
UTM: 192.168.127.254 (internal)
Cisco: 192.168.127.1, 192.168.100.9
MPLS: 192.168.100.10
Ziel-IP über MPLS (Fantasie): 80.265.123.30
SSL-VPN: 192.168.234.0/24
Wie baue ich die Portfilterregeln und Routen, dass ich aus dem SSL-VPN-Netz zur öffentlichen, jedoch nur über die MPLS-Strecke erreichbaren IP komme? Lege ich die IP ins internal-Netz der UTM, kriege ich in meiner Konfiguration schon mal keine Portfilterfehler. Ich habe also den Dem S2S-Client die Route zur über MPLS erreichbaren IP schon einbauen können, aber dann geht es von dort aus nicht richtig weiter... evtl. auch ein Problem des Rückwegs?
Über Site-2-Site-VPN in weiteres entferntes Netz
Moderator: Securepoint
-
- Beiträge: 118
- Registriert: Fr 01.02.2013, 17:37
- Wohnort: Chemnitz
- Kontaktdaten:
- Christian E.
- Securepoint
- Beiträge: 238
- Registriert: Do 05.07.2012, 16:19
- Wohnort: Lüneburg
Hallo,
an welcher Schnittstelle ist das MPLS Netz angeschlossen und welche Zonen liegen auf der Schnittstelle?
Im SSL VPN Roadwarrior Server übermitteln Sie die öffentliche 80.265.123.30 als lokales Netz.
Die Portfilterregel würde wie folgt aussehen:
SSL-Netz -> 80.265.123.30 (Zone: die Zone auf der MPLS Schnittstelle) -> Dienst/any
HideNAT: MPLS-interface
Beste Grüße
Christian
an welcher Schnittstelle ist das MPLS Netz angeschlossen und welche Zonen liegen auf der Schnittstelle?
Im SSL VPN Roadwarrior Server übermitteln Sie die öffentliche 80.265.123.30 als lokales Netz.
Die Portfilterregel würde wie folgt aussehen:
SSL-Netz -> 80.265.123.30 (Zone: die Zone auf der MPLS Schnittstelle) -> Dienst/any
HideNAT: MPLS-interface
Beste Grüße
Christian
-
- Beiträge: 118
- Registriert: Fr 01.02.2013, 17:37
- Wohnort: Chemnitz
- Kontaktdaten:
Das Problem ist, dass das MPLS-Netz an keiner Schnittstelle angeschlossen ist, sondern am Standardgateway (Cisco).
- Christian E.
- Securepoint
- Beiträge: 238
- Registriert: Do 05.07.2012, 16:19
- Wohnort: Lüneburg
Die öffentliche Ziel IP ist aber nur über die MPLS Gegenstelle erreichbar?
Dann bräuchten Sie eine Route:
Quelle: / - Gateway: IP von der MPLS Gegenstelle - Ziel: 80.265.123.30
Die Zone wäre dann external, weil sich die IP der MPLS Gegenstelle der Route hinter eth0 befindet.
Beste Grüße
Christian
Dann bräuchten Sie eine Route:
Quelle: / - Gateway: IP von der MPLS Gegenstelle - Ziel: 80.265.123.30
Die Zone wäre dann external, weil sich die IP der MPLS Gegenstelle der Route hinter eth0 befindet.
Beste Grüße
Christian
-
- Beiträge: 118
- Registriert: Fr 01.02.2013, 17:37
- Wohnort: Chemnitz
- Kontaktdaten:
Das MPLS-Gateway ist nur vom Standardgateway aus erreichbar (Subnetz bestehen aus genau zwei IP-Adressen, 1x für Standardgateway von Cisco, 1x für MPLS-Gateway), daher kann das nicht funktionieren. Ich müsste das Standardgateway als Route auf dem SSL-VPN-Client hinterlegen können... oder so?!
- Christian E.
- Securepoint
- Beiträge: 238
- Registriert: Do 05.07.2012, 16:19
- Wohnort: Lüneburg
Dann können Sie die Route streichen und die Firewall schickt die Anfrage vom SSL Client per default an ihr Standardgateway.
Die Route müsste dann anschließend auf dem Standardgateway angelegt und mit der 192.168.100.9 geNATet werden.
Die Zone für die Portfilterregel bleibt weiterhin external.
Beste Grüße
Christian
Die Route müsste dann anschließend auf dem Standardgateway angelegt und mit der 192.168.100.9 geNATet werden.
Die Zone für die Portfilterregel bleibt weiterhin external.
Beste Grüße
Christian
-
- Beiträge: 118
- Registriert: Fr 01.02.2013, 17:37
- Wohnort: Chemnitz
- Kontaktdaten:
Vielen Dank, ich teste es!
-
- Beiträge: 118
- Registriert: Fr 01.02.2013, 17:37
- Wohnort: Chemnitz
- Kontaktdaten:
Es sieht so aus: Die Anfrage an die externe IP geht durch den Tunnel, danach geht sie aber aus dem Tunnel nach eth0, was aber in diesem Fall ja falsch ist, diese spezielle IP soll ja nicht nach eth0 raus gehen, sondern an eth3 bleiben und zum Cisco gehen. Ich habe Routen gesetzt, die auf das Standardgateway verweisen, aber die werden scheinbar ignoriert.
[edit]
Ich habe die Route mit Source=VPN-Netz gebaut, dann bleibt alles auf eth3, aber es gibt einen Drop...
[/edit]
[edit]
Ich habe die Route mit Source=VPN-Netz gebaut, dann bleibt alles auf eth3, aber es gibt einen Drop...
[/edit]
Zuletzt geändert von Jens Fuhrmann am Di 23.07.2019, 16:41, insgesamt 1-mal geändert.
- Christian E.
- Securepoint
- Beiträge: 238
- Registriert: Do 05.07.2012, 16:19
- Wohnort: Lüneburg
Am besten melden Sie sich einmal über die Hotline damit der Aufbau deutlich und wir es uns anschauen können.