mit dem VPN-Roadwarrior in den Site-to-Site Tunnel

Andy_M · Beitrag von **Andy_M** » Fr 10.06.2011, 11:59

Hallo zusammen,

ich würde gerne folgendes realisieren: Ich habe meine RC100 so eingerichtet, dass man sich mit SSL-VPN und Zertifikaten von Zuhause aus auf die Kiste und ins interne Netz einwählen kann. Klappt soweit ohne Probleme.

Weiterhin habe ich einen Site-to-Site IPSec Tunnel von der besagten RC100 zu einer weiteren Securepoint UTM in unserem Serverraum (anderes Gebäude). Klappt auch ganz gut.

Ich komme also aus dem internen Netz problemlos rüber. Jetzt möchte ich aber, dass wenn ich mich als Roadwarrior einwähle, auch durch den Tunnel in den Serverraum rüberkomme. Das interne Netz ist die 192.168.0.0/24, das im Serverraum 192.168.10.0/24.

Ich habe einige Regeln ausprobiert, jedoch bisher ohne Erfolg. Wie könnte ich das umsetzen?

Grüße,
Andy

carsten · Beitrag von **carsten** » Fr 10.06.2011, 13:39

Ich hoffe gerade das der Roadwarrior in nem Class A oder B netz liegt z.B. 10.0.0.1

Dann den Tunnel für den Roadwarrior erweitern/anpassen

192.168.0.0/16 - 10.0.0.1

Dann eine Regel

10.0.0.1 -> 192.168.10.0/24 -> any

HideNAT

Roadwarrior
InterneIP der FW
Serverraumnetz

Andy_M · Beitrag von **Andy_M** » Fr 10.06.2011, 16:06

Das mit dem "Ich hoffe gerade ..." macht mir nervös ;-)

Das Netz, aus dem der Roadwarrior kommt ist das vordefinierte 192.168.250.x Netz für openssl-vpn. Habe ich da jetzt irgendetwas kritisches angestellt?

Beitrag von **Erik** » Fr 10.06.2011, 16:37

Öhmöhm... Bei SSLVPN ist es recht irrelevant, welche IPs die Roadwarrior haben, solange die sich nicht mit irgendeinem Netz überschneiden, auf das Sie zugreifen wollen. Kein Problem in dem Fall also.

Firewall-Regel ( = implizite Route für den Client)
SSL-VPN-Netz -> Remote-IPSec-Netz -> any -> ACCEPT

Dann gibts 2 Möglichkeiten.
a) HideNAT:
SSL-VPN-Netz -> "interne IP der Firewall" -> Remote-IPSec-Netz -> Include
Problem hierbei: in den Logs auf den Zielrechnern immer nur die interne IP der Firewall sichtbar

b) Phase 2 der IPSec-Verbindungen erweitern:
Lokales Netz: 192.168.250.0/24
Remote Netz: 192.168.10.0/24
Problem hierbei: auf der "anderen" Seite muss das openVPN-Netz in ein anderes Subnet verschoben werden.

carsten · Beitrag von **carsten** » Fr 10.06.2011, 17:24

Mein Tipp galt für ein Roadwarrior per IPSec ... daher kann das erst einmal ignoriert werden

chris · Beitrag von **chris** » Mi 02.05.2012, 14:58

Konnte das Problem inzwischen gelöst werden?
Wir stehen gerade vor demselben Problem, dass wir die Remote-IPsec-Netze von einem Roadwarrior aus nicht erreichen können.

Beitrag von **Erik** » Mi 02.05.2012, 16:41

Die Lösung des Problems steht in meinem Post