Hallo zusammen,
wir ein haben Problem mit unserem Site2Site-VPN, genauer gesagt mit dem Zugriff aus einem VLAN. Folgende Konstellation ist gegeben:
ETH0: WAN - Zone: external
ETH1: 10.0.0.0/16 - Zone: internal >> altes Netz
ETH2.14: 10.1.4.0/24 - Zone: vlan14 >> neues Netz (VLAN)
IPSec: Site2Site
- Lokal: 10.0.0.0/16 & 10.1.4.0/24
- Remote: 172.17.1.0/24
Die Verbindung steht und ist grün. Zugriff aus dem alten Netz funktioniert.
Implizite Regeln:
- Kein NAT für IPSec Verbindung - EIN
Routing: Nichts für das Remote-Netz hinterlegt
Paketfilter:
- es gibt keine Regeln für das alte Netz (es funktioniert einfach)
- mögliche Regeln ausprobiert, die den Zugriff vom neuen Netz (VLAN) in das Remote-Netz erlauben (Dienst: any, HN und HNE probiert)
Jetzt zum Problem:
Aus dem alten Netz komme ich ohne Probleme in das Remote-Netz. Aus dem neuen VLAN-Netz komme ich nicht in das Remote-Netz.
Ich bin für jede Idee dankbar :-)
Grüße
René
IPSec S2S und VLAN
Moderator: Securepoint
Hallo,
ich gehe davon aus das die Gegenstelle auch beide Netze hat. Wenn es ein IKEv2 Tunnel ist würde ich in der Phase 2 einmal Subnetze gruppieren deaktivieren und den Tunnel neu starten. Schauen Sie auch einmal nach ob die impliziten Regeln für IPSec aktiv sind. Vor allem kein Nat für IPSec und Accept. Wenn beide aktiv sind ist vollzugrief untereinander. Die Gegenstelle muss natürlich auch den Zugriff zulassen.
ich gehe davon aus das die Gegenstelle auch beide Netze hat. Wenn es ein IKEv2 Tunnel ist würde ich in der Phase 2 einmal Subnetze gruppieren deaktivieren und den Tunnel neu starten. Schauen Sie auch einmal nach ob die impliziten Regeln für IPSec aktiv sind. Vor allem kein Nat für IPSec und Accept. Wenn beide aktiv sind ist vollzugrief untereinander. Die Gegenstelle muss natürlich auch den Zugriff zulassen.