Securepoint Security Solutions Support Forum

Moderator: Securepoint

 
MB1982
Themen-Autor
Beiträge: 4
Registriert: Fr 05.07.2019, 17:04

Routing durch SSL VPN S2S an externen Router

Fr 05.07.2019, 17:32

Hallo zusammen,

aktuell verzweifel ich ein bischen am Routing mit Securepoint. Mit dem Support habe ich schon telefoniert, aber irgendwie reden wir immer aneinander vorbei, bzw. die Auskunft ist, es wäre doch so einfach.

Folgende Situation:

Standort A 10.62.12.0/24
verbunden per Site to Site SSL VPN mit
Standort B 10.62.44.0/24

Transfernetz ist 192.168.199.0/24
Für die Road Warrior Verbindung gibt es noch ein Transfernetz 192.168.200.0/24 sofern das relavant ist.
Firewallregeln sind entsprechend auf die jeweilige Gegenseite und Dienst any gesetzt. Soweit funktioniert der Zugriff über VPN auch problemlos.

Am Standort A steht zusätzlich ein Router(KoCoBox) 10.62.12.8 der eine VPN Verbindung zur KV aufbaut. Zielnetz bei der KV ist 188.144.0.0/16
Der Zugriff auf diesen Adressbereich klappt am Standort A ebenfalls problemlos, da gleiches Netz.
Nun haben wir das Problem, dass am Standort B die Server stehen und damit die Anwendungen dort auf die KoCoBox zugreifen müssen(KV Abrechnung, Export usw)

Wo muss ich nun die Route am Standort B setzen? In der Netzwerkkonfiguration unter Routing(auf das Gateway 10.62.12.8 )oder wird das 188.144.0.0 Netz mit im SSL S2S Tunnel eingetragen?
Was muss an der Firewall eingestellt werden?

Jemand eine vergleichbare Umgebung schon gehabt? Ich habe bei einem anderen Kunden ebenfalls einen weiteren Router außer der Securepoint, hier bestand auch ein asyncrones Routing. Nach entsprechender Firewallregel geht aber alles. Hier kommt allerdings zusätzlich noch der VPN Tunnel dazu.

Verzweifelte Grüße,

Marc

PS: Unter IPSEC lief alles schon einmal, musste aber dann auf Rat von SP auf SSL umgestellt werden, weil der VPN Tunnel oft nicht automatisch aufgebaut wurde nach Abbrüchen.
 
Benutzeravatar
stefan.burrey
Beiträge: 6
Registriert: Sa 12.03.2016, 11:30

Re: Routing durch SSL VPN S2S an externen Router

Fr 05.07.2019, 18:50

Route in Standort B mit Zielnetz hinter KoCoBox auf Tun-Interface (vermutlich tun0) setzen, Netzwerkobjekt VPN Netz (Zone des SSLVPN) anlegen, ggf. Hin- & Rückweg.
Nun muss noch der SSLVPN Server (in Standort A) als Clientnetzwerk zusätzlich das Netz hinter KoCoBox „pushen“. In Standort A zusätzlich eine Portregel vom SSLVPN Netz Standort B in das Netz hinter KoCoBox, fertig ;-)
 
Svenja
Beiträge: 65
Registriert: Mo 16.04.2018, 12:00

Re: Routing durch SSL VPN S2S an externen Router

Mo 08.07.2019, 09:57

Moin!

Ggf. muss an Standort A noch ein HideNAT angelegt werden, da die KoCoBox ja das Netz an Standort B nicht kennt. Bitte auch einmal die Routing-Einträge in der SSL-VPN Konfiguration überprüfen, damit die richtigen Routen beim Verbindungsaufbau auch übertragen werden.

Grüße
Svenja
 
MB1982
Themen-Autor
Beiträge: 4
Registriert: Fr 05.07.2019, 17:04

Re: Routing durch SSL VPN S2S an externen Router

Mo 08.07.2019, 19:08

Vielen Dank erst einmal ihr beide für die Hinweise. Mittlerweile ist irgendwie alles strubbelig. Es war ganz am Anfang alles konfiguriert, damals aber noch über IPSEC. Dann gab es diverse Probleme mit dem LTE Backup(private IPs und NAT), sich nicht wieder aufbauenden VPN Verbindungen usw. Daraufhin sagte man mir bei Securepoint, IPSEC ist alles nicht so toll bei uns, nehmen sie SSL. Gesagt getan, seit dem läuft auch das VPN stabil. Die Regeln habe ich eigentlich alle angepasst, trotzdem scheint in den Firewall Regeln noch etwas nicht zu stimmen.

Das Routing für das KV Netz 188.144.0.0/16 in Standort B habe ich gesetzt(es war TUN1, TUN0 ist der RW). Das KV Netz habe ich am Standort B(dort läuft der S2S SSL Server ebenfalls mit bei den Client Netzen eingetragen. Soweit alles noch logisch und ich erreiche auch die KoCoBox unter 10.62.12.9 am Standort A. Nur weiter komme ich nicht. Standort A kann problemlos auf die Webseiten der KV zugreifen, am Server Standort B kommt ein Timeout, ein tracert bricht nach der 10.62.12.9 ab.

Was müsste denn nun genau in die Firewalls? Irgendwie stehe ich da jedes Mal auf dem Schlauch und das trotz Securepoint Schulung. Mache ich nun ein HideNAT oder ein ExcludeHideNAT(in Standort A muss er ja eigentlich kein NAT machen)? Oder muss ich das HideNAT mit Quelle SSL Netz und Ziel KV Netz anlegen?
Das ist echt kompliziert oder ich bin zu doof ;-) Gibt es keine (Spezial)Schulung nur zu dem Thema, mit dem Rest und Diensten kommt man ja klar.

Ich finde die SP Firewalls ja super was den Mailfilter, Webfilter(naja SSL Interception ist auch so ein Ding),SSL VPN Client usw. angeht aber beim Routing da könnte ich jedes Mal Kot**n.
 
Benutzeravatar
stefan.burrey
Beiträge: 6
Registriert: Sa 12.03.2016, 11:30

Re: Routing durch SSL VPN S2S an externen Router

Mo 08.07.2019, 20:59

Wie Svenja und ich schon anmerkten, muss das hinter der KoCoBox erreichbare Netz noch als zusätzliches Clientnetzwerk von Standort A im SSL VPN eingetragen werden.
 
MB1982
Themen-Autor
Beiträge: 4
Registriert: Fr 05.07.2019, 17:04

Re: Routing durch SSL VPN S2S an externen Router

Di 09.07.2019, 09:22

Habe ich ja gemacht. Standort B ist der SSL Server und dort steht für den Standort A das Netz 10.62.12.0/24 und das Netz 188.144.0.0/16 drin. Wenn ich ein tracert mache auf das KV Netz geht er auch über das VPN und fragt die Kocobox. Danach geht es aber nicht weiter, ich denke die Firewall blockt da noch irgendwas.
 
Svenja
Beiträge: 65
Registriert: Mo 16.04.2018, 12:00

Re: Routing durch SSL VPN S2S an externen Router

Di 09.07.2019, 13:37

Ist denn im Log ein Paket, dass geblockt wird, zu sehen?
Hast du das HideNAT am Standort A (HideNAT-Objekt das Interface Richtung KoCoBox) eingetragen?
 
MB1982
Themen-Autor
Beiträge: 4
Registriert: Fr 05.07.2019, 17:04

Re: Routing durch SSL VPN S2S an externen Router

Di 09.07.2019, 18:30

Hallo Svenja,
ich könnte dich knutschen ;-) Ich war schon kurz davor zu sagen, alles weg und wieder Lancom Router hin und Securepoint nur als Webfilter im Bypass(klappt übrigens bei einer anderen Klinik perfekt).

Im Log hatte ich schon geguckt, dort habe ich dann gesehen, dass meine Anfragen vom Standort B zumindest bei A ankommen. Routing passte also.

ACCEPT: in rule 26 10.62.44.10  tun0  eth1  188.144.7.178Echo Request (Ping)

Also habe ich mal deinen Vorschlag mit dem HideNAT versucht. Meine Regel 26 um HideNAT auf internal-interface ergänzt und schwubs geht es.
Man braucht also eine Regel mit der Quelle Netz Standort B, Ziel KV-Netz und ein HideNAT auf internal-interface(ETH1, da die KoCoBox ja im LAN hängt).
Grüße,
Marc
 
Benutzeravatar
David
Securepoint
Beiträge: 353
Registriert: Di 09.02.2016, 14:01

Re: Routing durch SSL VPN S2S an externen Router

Mi 10.07.2019, 10:22

Falls du das Problem, mit guter Analyse, nochmal nachlesen magst: asynchrones routing
Mit freundlichen Grüßen

David Gundermann
Technischer Support
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Bleckeder Landstraße 28
D-21337 Lüneburg
http://www.securepoint.de

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 2 Gäste