Routing über 2 VPNs

Question

Hallo Zusammen, 
 
 ich habe schon viel Hilfe hier im Forum gefunden, aber irgendwann muss man auch mal selbst eine Frage loswerden. Daher komme ich gleich zum Punkt. 
 
 Wir haben 2 Standorte die &uuml;ber ein Site-to-Site VPN, Standort A und Standort B, miteinander verbunden sind. Beide Netzwerke sehen sich und k&ouml;nnen sich auch per Ping erreichen. 
 An einem Standort, ich nenne Ihn mal Standort B, haben wir eine weitere VPN-Verbindung mit einem SNAT zu einer "Au&szlig;enstelle". Alle PCs an diesem Standort B k&ouml;nnen &uuml;ber das VPN alle Hosts der Au&szlig;enstelle korrekt erreichen. 
 Jetzt m&uuml;ssen aber alle PCs am Standort A auch die PCs in der Au&szlig;enstelle &uuml;ber das VPN an Standort B erreichen. Die PCs an Standort A k&ouml;nnen alle PCs / Ger&auml;te an Standort B korrekt erreichen und umgekehrt. Verbindung ist &uuml;ber eine SUM gemacht. 
 (Die VPN-Verbindung in die Au&szlig;enstelle erfolgt &uuml;ber das WAN-Interface. Es gibt daf&uuml;r kein separates Netzwerkinterface)

Soweit so gut. Leider funktioniert es aber nicht mit den bereits getesteten M&ouml;glichkeiten 
 
 Route auf dem PC direkt gesetzt mit dem Gateway 10.1.1.1
 
 route add 10.20.20.1 mask 255.255.255.0 10.1.1.1

Gateway-Route auf der FW01 gesetzt mit dem Gateway 10.1.1.1
 
 Netzwerk 10.10.10.1 /24 
 Gateway 10.1.1.1

SNAT auf FW01 f&uuml;r das Netzwerk gegen&uuml;ber der FW02 
 
 Die Routing-Tabellen auf den Sophos UTMs (FW1 und FW2) sehen soweit korrekt aus. Jedoch ist es auch nicht der FW1 (Standort A) m&ouml;glich den SRV01 (Au&szlig;enstelle) zu erreichen. 
 Macht man nun einen Tracert von PC1 auf den SRV01 dann wird automatisch von FW1 die WAN-Schnittstelle genommen, egal welche Route eingetragen ist. 
 Vielleicht k&ouml;nnt Ihr mir an der Stelle weiterhelfen. Ich bin mit meinem Latein am Ende. 
 
 EDIT: Sehe ich das richtig, das ich dem VPN zur Au&szlig;enstelle das Netzwerk des Standort A mitgeben muss und dem Tunnel zwischen Standort A und Standort B das Netzwerk der Au&szlig;enstelle? M&uuml;ssen dann noch entsprechende Routen gesetzt werden oder wissen die UTMs dann die entsprechenden Routen? 
 
 Viele Gr&uuml;&szlig;e 
 Uli

BAlfson · Accepted Answer

Please edit the last post, Uli. It looks like you have two pictures of the IPsec Connection in one of the FWs and only one Remote Gateway. 
 I can't tell if you're using Strict Routing. My sense is that you don't want it, but I'm still confused as to what's where. It looks like one of the two IPsec Connections is missing a second subnet. 
 Maybe show the IPsec Connection and Remote Gateway for FW1 together and note the IPs & subnets corresponding to your first diagram - "Netzwerk 1" and "Netzwerk 3" don't help me understand. Then, do the same for FW2. 
 MfG - Bob (Bitte auf Deutsch weiterhin.)

Shorty · Answer

Hallo Bob, 
 wie du schon korrekt erkannt hast, fehlte einfach in der Verbindung zwischen den beiden Firewalls (FW1 und FW2) das Netzwerk vom SRV01. Nachdem man das manuell in der SUM hinzugef&uuml;gt hat, muss man es in der VPN zwischen den beiden Ger&auml;te nur noch als "Netzwerk" hinzuf&uuml;gen. Dann klappt auch die Verbindung sauber mit dem SRV01. 
 Danke f&uuml;r die Hilfe. 
 Uli

FW2-> FW1	FW1 -> FW2	FW2 -> SRV02