Hallo!
Wir haben vor, diverse Securepoint Appliances (RC-100, BlackDwarf) sternförmig zu einer Securepoint Appliance zu verbinden.
Gegeben:
Filiale1:
Netzwerk: 192.168.12.0/24
Filiale2:
Netzwerk: 192.168.200.0/24
Zentrale:
Netzwerk: 192.168.100.0/24
Beide Filialen sollen nun per IPSec-Tunnel an die Zentrale verbunden werden.
Dies ist ja sehr schön im PDF how-to_vpn_ipsec_gateway_to_gateway_psk_v10 beschrieben.
Unklar jedoch ist mir das Anlegen der Netzwerkobjekte.
a) Muss ich da in der Zentrale für jeden Tunnel ein eigenes Netzwerkobjekt anlegen?
b) Welche IP-Adresse gebe ich dem Netzwerkobjekt? Welche IP-Adresse bekommt das Netzwerkobjekt an den Filialen?
Danke im Voraus!
Frage zu multiplen IPSec-Tunneln
Moderator: Securepoint
-
Razalduria
- Beiträge: 11
- Registriert: Di 06.07.2010, 10:12
- Wohnort: Kassel
-
Razalduria
- Beiträge: 11
- Registriert: Di 06.07.2010, 10:12
- Wohnort: Kassel
Super, vielen Dank!
Hallo,
man könnte auch die Netze über das Netzwerkobjekt zusammenfassen falls Sie die
Tunnel nicht differenzieren wollen. Also zum Beispiel 192.168.0.0/16.
man könnte auch die Netze über das Netzwerkobjekt zusammenfassen falls Sie die
Tunnel nicht differenzieren wollen. Also zum Beispiel 192.168.0.0/16.
best regards
oliver hausmann
--
Securepoint GmbH
oliver hausmann
--
Securepoint GmbH
-
Razalduria
- Beiträge: 11
- Registriert: Di 06.07.2010, 10:12
- Wohnort: Kassel
Ah! Das heißt, solange ich die Filialen innerhalb des IP-Kreises 192.168.x.x halte (und jede Filiale ein eigenes, individuelles Subnetz hat) würde das ausreichen?
Prinzipiell hätte ich keinen Grund, die Tunnel individuell zu behandeln...
Heißt ich würde mit einem Netzwerkobjekt in der Zentrale-Appliance auskommen?
Prinzipiell hätte ich keinen Grund, die Tunnel individuell zu behandeln...
Heißt ich würde mit einem Netzwerkobjekt in der Zentrale-Appliance auskommen?
Korrekt. Auf den Außenstellen müssen natürlich auch entsprechende Regeln sein.
Aber prinzipiell können Sie das alles zusammenfassen. Ob es sich bei den Eingehenden
Paketen in die Zentrale auch um IPSec Traffic handelt, wird über die Zone VPN-IPSec
geprüft. Also Spoofing ist da nicht möglich.
Aber prinzipiell können Sie das alles zusammenfassen. Ob es sich bei den Eingehenden
Paketen in die Zentrale auch um IPSec Traffic handelt, wird über die Zone VPN-IPSec
geprüft. Also Spoofing ist da nicht möglich.
best regards
oliver hausmann
--
Securepoint GmbH
oliver hausmann
--
Securepoint GmbH
-
Razalduria
- Beiträge: 11
- Registriert: Di 06.07.2010, 10:12
- Wohnort: Kassel
Sprich: Die Netzwerkobjekte in den Filialen zeigen ebenso auf 192.168.0.0/16 anstatt auf 192.168.100.0/24?oliver hat geschrieben: Auf den Außenstellen müssen natürlich auch entsprechende Regeln sein.
Ich wollte nur aussagen das auf den Außenstellen auch Regeln vorhanden sein müssen da dort ja ebenfalls ein Paketfilter läuft. Ob Sie 192.168.0.0/16 für die Zentrale verwenden oder 192.168.100.0/24 ist prinizipiel egal, da ja 192.168.100.0/24 in 192.168.0.0/16 enthalten ist. Ich kann von hier aus allerdings nicht beurteilen ob
Sie dadurch Regeln freischalten, die von Ihnen nicht gewünscht sind.
Sie dadurch Regeln freischalten, die von Ihnen nicht gewünscht sind.
best regards
oliver hausmann
--
Securepoint GmbH
oliver hausmann
--
Securepoint GmbH