Securepoint Support Forum

Securepoint Security Solutions Support Forum
https://support.securepoint.de/

mit dem VPN-Roadwarrior in den Site-to-Site Tunnel

https://support.securepoint.de/viewtopic.php?t=1403

Seite 1 von 1

mit dem VPN-Roadwarrior in den Site-to-Site Tunnel

Verfasst: Fr 10.06.2011, 11:59
von Andy_M
Hallo zusammen,

ich würde gerne folgendes realisieren: Ich habe meine RC100 so eingerichtet, dass man sich mit SSL-VPN und Zertifikaten von Zuhause aus auf die Kiste und ins interne Netz einwählen kann. Klappt soweit ohne Probleme.

Weiterhin habe ich einen Site-to-Site IPSec Tunnel von der besagten RC100 zu einer weiteren Securepoint UTM in unserem Serverraum (anderes Gebäude). Klappt auch ganz gut.

Ich komme also aus dem internen Netz problemlos rüber. Jetzt möchte ich aber, dass wenn ich mich als Roadwarrior einwähle, auch durch den Tunnel in den Serverraum rüberkomme. Das interne Netz ist die 192.168.0.0/24, das im Serverraum 192.168.10.0/24.

Ich habe einige Regeln ausprobiert, jedoch bisher ohne Erfolg. Wie könnte ich das umsetzen?

Grüße,
Andy

mit dem VPN-Roadwarrior in den Site-to-Site Tunnel

Verfasst: Fr 10.06.2011, 13:39
von carsten
Ich hoffe gerade das der Roadwarrior in nem Class A oder B netz liegt z.B. 10.0.0.1

Dann den Tunnel für den Roadwarrior erweitern/anpassen

192.168.0.0/16 - 10.0.0.1

Dann eine Regel

10.0.0.1 -> 192.168.10.0/24 -> any

HideNAT

Roadwarrior
InterneIP der FW
Serverraumnetz

mit dem VPN-Roadwarrior in den Site-to-Site Tunnel

Verfasst: Fr 10.06.2011, 16:06
von Andy_M
Das mit dem "Ich hoffe gerade ..." macht mir nervös ;-)

Das Netz, aus dem der Roadwarrior kommt ist das vordefinierte 192.168.250.x Netz für openssl-vpn. Habe ich da jetzt irgendetwas kritisches angestellt?

mit dem VPN-Roadwarrior in den Site-to-Site Tunnel

Verfasst: Fr 10.06.2011, 16:37
von Erik
Öhmöhm... Bei SSLVPN ist es recht irrelevant, welche IPs die Roadwarrior haben, solange die sich nicht mit irgendeinem Netz überschneiden, auf das Sie zugreifen wollen. Kein Problem in dem Fall also.

Firewall-Regel ( = implizite Route für den Client)
SSL-VPN-Netz -> Remote-IPSec-Netz -> any -> ACCEPT

Dann gibts 2 Möglichkeiten.
a) HideNAT:
SSL-VPN-Netz -> "interne IP der Firewall" -> Remote-IPSec-Netz -> Include
Problem hierbei: in den Logs auf den Zielrechnern immer nur die interne IP der Firewall sichtbar

b) Phase 2 der IPSec-Verbindungen erweitern:
Lokales Netz: 192.168.250.0/24
Remote Netz: 192.168.10.0/24
Problem hierbei: auf der "anderen" Seite muss das openVPN-Netz in ein anderes Subnet verschoben werden.

mit dem VPN-Roadwarrior in den Site-to-Site Tunnel

Verfasst: Fr 10.06.2011, 17:24
von carsten
Mein Tipp galt für ein Roadwarrior per IPSec ... daher kann das erst einmal ignoriert werden ;)

mit dem VPN-Roadwarrior in den Site-to-Site Tunnel

Verfasst: Mi 02.05.2012, 14:58
von chris
Konnte das Problem inzwischen gelöst werden?
Wir stehen gerade vor demselben Problem, dass wir die Remote-IPsec-Netze von einem Roadwarrior aus nicht erreichen können.

mit dem VPN-Roadwarrior in den Site-to-Site Tunnel

Verfasst: Mi 02.05.2012, 16:41
von Erik
Die Lösung des Problems steht in meinem Post
Alle Zeiten sind UTC+02:00
Seite 1 von 1

Powered by phpBB® Forum Software © phpBB Limited

Deutsche Übersetzung durch phpBB.de