Seite 1 von 1
Frage zu multiplen IPSec-Tunneln
Verfasst: Mo 18.04.2011, 12:06
von Razalduria
Hallo!
Wir haben vor, diverse Securepoint Appliances (RC-100, BlackDwarf) sternförmig zu einer Securepoint Appliance zu verbinden.
Gegeben:
Filiale1:
Netzwerk: 192.168.12.0/24
Filiale2:
Netzwerk: 192.168.200.0/24
Zentrale:
Netzwerk: 192.168.100.0/24
Beide Filialen sollen nun per IPSec-Tunnel an die Zentrale verbunden werden.
Dies ist ja sehr schön im PDF how-to_vpn_ipsec_gateway_to_gateway_psk_v10 beschrieben.
Unklar jedoch ist mir das Anlegen der Netzwerkobjekte.
a) Muss ich da in der Zentrale für jeden Tunnel ein eigenes Netzwerkobjekt anlegen?
b) Welche IP-Adresse gebe ich dem Netzwerkobjekt? Welche IP-Adresse bekommt das Netzwerkobjekt an den Filialen?
Danke im Voraus!
Frage zu multiplen IPSec-Tunneln
Verfasst: Mo 18.04.2011, 13:17
von Pascalk
a ) Ja
b ) Zentrale: Fiale 2 IP: 192.168.200.0/24 Zone: vpn-ipsec und Fiale 1 IP: 192.168.12.0/24 Zone: vpn-ipsec
In den Fialen legen Sie das Netzwerk Objekt Zentrale: IP 192.168.100.0/24 Zone vpn-ipsec an
Frage zu multiplen IPSec-Tunneln
Verfasst: Mo 18.04.2011, 14:07
von Razalduria
Super, vielen Dank!
Frage zu multiplen IPSec-Tunneln
Verfasst: Mo 18.04.2011, 15:26
von oliver
Hallo,
man könnte auch die Netze über das Netzwerkobjekt zusammenfassen falls Sie die
Tunnel nicht differenzieren wollen. Also zum Beispiel 192.168.0.0/16.
Frage zu multiplen IPSec-Tunneln
Verfasst: Mo 18.04.2011, 18:16
von Razalduria
Ah! Das heißt, solange ich die Filialen innerhalb des IP-Kreises 192.168.x.x halte (und jede Filiale ein eigenes, individuelles Subnetz hat) würde das ausreichen?
Prinzipiell hätte ich keinen Grund, die Tunnel individuell zu behandeln...
Heißt ich würde mit einem Netzwerkobjekt in der Zentrale-Appliance auskommen?
Frage zu multiplen IPSec-Tunneln
Verfasst: Mo 18.04.2011, 18:22
von oliver
Korrekt. Auf den Außenstellen müssen natürlich auch entsprechende Regeln sein.
Aber prinzipiell können Sie das alles zusammenfassen. Ob es sich bei den Eingehenden
Paketen in die Zentrale auch um IPSec Traffic handelt, wird über die Zone VPN-IPSec
geprüft. Also Spoofing ist da nicht möglich.
Frage zu multiplen IPSec-Tunneln
Verfasst: Mo 18.04.2011, 19:12
von Razalduria
oliver hat geschrieben:
Auf den Außenstellen müssen natürlich auch entsprechende Regeln sein.
Sprich: Die Netzwerkobjekte in den Filialen zeigen ebenso auf 192.168.0.0/16 anstatt auf 192.168.100.0/24?
Frage zu multiplen IPSec-Tunneln
Verfasst: Mo 18.04.2011, 20:49
von oliver
Ich wollte nur aussagen das auf den Außenstellen auch Regeln vorhanden sein müssen da dort ja ebenfalls ein Paketfilter läuft. Ob Sie 192.168.0.0/16 für die Zentrale verwenden oder 192.168.100.0/24 ist prinizipiel egal, da ja 192.168.100.0/24 in 192.168.0.0/16 enthalten ist. Ich kann von hier aus allerdings nicht beurteilen ob
Sie dadurch Regeln freischalten, die von Ihnen nicht gewünscht sind.