Site-to-Site VPN / DMZ und internes LAN
Moderator: Securepoint
-
DogInTheBox
- Beiträge: 7
- Registriert: Mo 15.03.2010, 15:06
Site-to-Site VPN / DMZ und internes LAN
Hallo. Ich habe erfolgreich zwei Standorte über ein IPSec-VPN verbunden (RC100 und Black Dwarf). An jedem Standort gibt es ein DMZ-Netzwerk und ein internes LAN. In das DMZ-Netzwerk funktioniert der Verkehr, allerdings nicht in das interne LAN dahinter. Wird eventuell eine zusätzliche Routing-Regel benötigt?
Hallo,
mir ist die Frage nicht ganz klar. Sollen die DMZs jeweils auch via VPN verbunden
werden? Wenn ja, schauen sie mal in Phase 2 der IPSec Verbindung (native ipsec).
Dort können Sie für den Tunnel weitere Netze hinterlegen die via IPSec verbunden
werden sollen. Das Routing dafür wird durch den IPSec Dienst automatisch erstellt.
mir ist die Frage nicht ganz klar. Sollen die DMZs jeweils auch via VPN verbunden
werden? Wenn ja, schauen sie mal in Phase 2 der IPSec Verbindung (native ipsec).
Dort können Sie für den Tunnel weitere Netze hinterlegen die via IPSec verbunden
werden sollen. Das Routing dafür wird durch den IPSec Dienst automatisch erstellt.
best regards
oliver hausmann
--
Securepoint GmbH
oliver hausmann
--
Securepoint GmbH
-
DogInTheBox
- Beiträge: 7
- Registriert: Mo 15.03.2010, 15:06
LAN -> Server -> DMZ -> RC100 Internet Black Dwarf <- DMZ <- Server <- LAN.
Die beiden Server an den Standorten haben jeweils eine Netzwerkkarte für DMZ und LAN. Ich möchte über die Standortverknüpfung das jeweils andere LAN erreichen können.
Die beiden Server an den Standorten haben jeweils eine Netzwerkkarte für DMZ und LAN. Ich möchte über die Standortverknüpfung das jeweils andere LAN erreichen können.
Mit LAN meinen Sie, der Server hat nicht nur eine Netzwerkverbindung in die DMZ sondern ist auch noch mit einer zweiten Nic mit einem anderen Netz verbunden?
Dieses Netz ist nicht an der Firewall direkt angeschlossen?
Der Server dient als Router?
Wenn ich das so richtig verstanden habe, dann müssen Sie auf der Firewall auch eine
entsprechende Route zu dem Netz eintragen. Ansonsten weiß die FW ja nichts von dem
Netz hinter dem Server (Router). Und dann müssen diese Netze im IPSec Phase 2 entsprechend bekannt gemacht werden. Das funktioniert natürlich nur, wenn Sie ihren
Server auch wirklich als Router konfiguriert haben (ip_forwarding aktiviert).
Dieses Netz ist nicht an der Firewall direkt angeschlossen?
Der Server dient als Router?
Wenn ich das so richtig verstanden habe, dann müssen Sie auf der Firewall auch eine
entsprechende Route zu dem Netz eintragen. Ansonsten weiß die FW ja nichts von dem
Netz hinter dem Server (Router). Und dann müssen diese Netze im IPSec Phase 2 entsprechend bekannt gemacht werden. Das funktioniert natürlich nur, wenn Sie ihren
Server auch wirklich als Router konfiguriert haben (ip_forwarding aktiviert).
best regards
oliver hausmann
--
Securepoint GmbH
oliver hausmann
--
Securepoint GmbH
-
DogInTheBox
- Beiträge: 7
- Registriert: Mo 15.03.2010, 15:06
Genau richtig.
Beide Subnetze sind in der Phase 2 eingetragen. Wie muss die entsprechende Route aussehen?
Beide Subnetze sind in der Phase 2 eingetragen. Wie muss die entsprechende Route aussehen?
Oki. Kein Source Routing, nur Destination. Nehmen wir folgendes Szenario an:
DMZ = 192.168.10.0/24
LAN = 192.168.20.0/24
Server DMZ Interface = 192.168.10.10
Firewall DMZ Interface = 192.168.10.1
Routing Eintrag Firewall:
Destination Network: Gateway:
192.168.20.0/24 -> 192.168.10.10
DMZ = 192.168.10.0/24
LAN = 192.168.20.0/24
Server DMZ Interface = 192.168.10.10
Firewall DMZ Interface = 192.168.10.1
Routing Eintrag Firewall:
Destination Network: Gateway:
192.168.20.0/24 -> 192.168.10.10
best regards
oliver hausmann
--
Securepoint GmbH
oliver hausmann
--
Securepoint GmbH