Securepoint Security Solutions Support Forum

Moderator: Securepoint

 
Gerald Stefan
Themen-Autor
Beiträge: 11
Registriert: Di 08.05.2018, 12:17

SSL-VPN RDP

Mi 13.02.2019, 14:42

Guten Tag,


wir haben zwei Standorte, beiden sind mit ein SSL-VPN verbunden.
 
StandortA  192.168.1.0/24     RoadWorrior VPN 192.168.251.0/24    TUN 192.168.250.2

StandortB  192.168.88.0/24                                                                 TUN 192.168.250.4
 
Die frage ist, wenn ich als Client VPN von Zuhause an StandortA eingewählt bin, wie kann ich dann per RDP auf den StandortB zugreifen?
 
welche Regel soll ich hier einrichten. Ich habe mehrere Varianten ausprobiert aber ohne Erfolg.



Beste Grüße
Gerald
 
Svenja
Beiträge: 68
Registriert: Mo 16.04.2018, 12:00

Re: SSL-VPN RDP

Mi 13.02.2019, 15:19

Hallo Gerald!

Das kommt jetzt ein bisschen darauf an, ob der Standort B das Netzwerk 192.168.251.0/24 kennt (z.B. über die gepuschten Netze im SSL-VPN S2S oder durch eine manuell eingetragene Route).

Wenn ja: dann RW-Netz -> Standort-B-Netz -> gewünschter Port (ggf. noch die Rückrichtung, wenn auch von Standort B initiiert werden soll) 
und am Standort B RW-Netz (Zone des SSL-VPN-S2S-Tunnels) -> Standort-B-Netz -> gewünschter Port

Wenn der Standort B das RW-Netz nicht kennt, dann RW-Netz -> Standort-B-Netz -> gewünschter Port -> HideNAT an Standort-A-Interface (192.168.1.x)
Am Standort B braucht es dann keine weiteren Regeln, da für die UTM hier die Pakete ja aus dem 192.168.1er Netz kommen.

Grüße
Svenja
 
Gerald Stefan
Themen-Autor
Beiträge: 11
Registriert: Di 08.05.2018, 12:17

Re: SSL-VPN RDP

Mi 13.02.2019, 18:32

Hallo Svenja,

vielen Dank für deine Antwort.
Ich habe schon probiert aber Leider funktioniert nicht.
Standort-A:

Standort-A mit Standort-B können komunizieren (RDP, ping, andere Port, etc...)

RW-Netz -> Standort-B-Netz -> Port -> Standort-A-Interface (HideNAT)

Kannst du mir bitte erklären?


Danke im Voraus


Beste Grüße
Gerald
 
Svenja
Beiträge: 68
Registriert: Mo 16.04.2018, 12:00

Re: SSL-VPN RDP

Do 14.02.2019, 09:20

Hallo Gerald!

Wenn dein Standort B das Netzerk 192.168.251.0/24 nicht kennt, also keine Route zu diesem Netzwerk hat, dann wird die UTM an Standort B die Pakete auf dem "Rückweg" nicht durch den VPN-Tunnel schicken. Darum sollst du hier dann das HideNAT in der Regel setzen, damit der Standort B nur Pakete mit Quell-IP aus dem Netz von Standort A bekommt.

Grüße
Svenja
 
Gerald Stefan
Themen-Autor
Beiträge: 11
Registriert: Di 08.05.2018, 12:17

Re: SSL-VPN RDP

Do 14.02.2019, 09:52

Hallo Svenja,

Vielen Dank für deine Antwort.

Also schon gemacht Standort-A regel:

RW-Standort-A(192.168.251.0/24) -> Standort-B-Netz -> Standort-A-Intern-Netz(192.168.1.0/24) HideNAT

Leider geht nicht.

Am Standort-B brauche ich keine anderen Regeln.

Beste Grüße
Gerald
 
Svenja
Beiträge: 68
Registriert: Mo 16.04.2018, 12:00

Re: SSL-VPN RDP

Do 14.02.2019, 10:08

Hallo Gerald!

Dann hast du die Regel noch nicht korrekt angelegt, denn offensichtlich greift dein HideNAT nicht. Am Standort B sollten keine Pakete mit der Quelle 192.168.251.0/24 auftauchen.

Die Regel muss lauten:
Quelle: 192.168.251.0/24, Zone vpn-openvpn-RW
Ziel: 192.168.88.0/24, Zone vpn-openvpn-S2S
Port: gewünschter Port
NAT-Typ: HideNAT
NAT-Objekt: internal-interface

Grüße
Svenja
 
Gerald Stefan
Themen-Autor
Beiträge: 11
Registriert: Di 08.05.2018, 12:17

Re: SSL-VPN RDP

Do 14.02.2019, 10:24

Hallo Svenja,

Vielen Dank für deine Antwort.

Genauso habe ich gemacht aber Leider funktioniert nicht.

Beste Grüße
Gerald
 
Gerald Stefan
Themen-Autor
Beiträge: 11
Registriert: Di 08.05.2018, 12:17

Re: SSL-VPN RDP

Do 14.02.2019, 12:09

Hallo Svenja,

am Standort-B ist ein opn-vpn-client mit der gleichen IP-Adress:

Standort-A (TUN2) RW 192.168.251.1/24
Standort-B (TUN1) opne-vpn-client 192.168.251.1/24  ---> Standort-D

Vielleicht ist das Problem!

Beste Grüße
Gerald
 
Svenja
Beiträge: 68
Registriert: Mo 16.04.2018, 12:00

Re: SSL-VPN RDP

Do 14.02.2019, 12:24

Hallo Gerald!

Wenn du das HideNAT einrichtest, dann kommen die Pakete aus dem RW-VPN von Standort A an Standort B mit der Quell IP des internen Netzes von Standort A an....
Nein, das ist nicht das Problem

Bitte kontrolliere noch einmal deine Regeln an Standort A

Grüße
Svenja

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 2 Gäste