Thread Info
  • State Suggested Answer
  • Locked Locked
  • Replies 2 replies
  • Answers 2 answers
  • Subscribers 27 subscribers
  • Views 2614 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Fragen zu Site2SiteVPN über drei UTMs hinweg und Firewall-Regeln

John_Doe

Hallo zusammen,

habe ein paar Fragen zu Site2Site-VPN-Verbindungen auf der Sophos.

Situation ist folgt:

- Es gibt eine Zentrale Z und zwei Außenstandorte A1 und A2, in denen jeweils ne Sophos stehen.

- Es gibt 2 Site2Ste-Verbindungen. Z nach A1 und Z nach A2. Die Außenstandorte initiieren die Verbindung, Z steht auf "nur antworten". Es gibt keine direkte Verbindung von A1 nach A2, sondern es soll alles über die Zentrale Z laufen.

 

Nun möchte ich folgendes bewerkstelligen. Ein Paket von A1 nach A2 senden (bzw. umgekehrt), was, soweit ich das verstehe ja so ablaufen würde ... A1 nach Z und dann von Z nach A2 ... hoffentlich soweit richtig?

 

Einstellungen bei Sophos A1 sind:

- Bei Verbindungen sind die lokalen Netze "klar", da eben das lokale interne Netz von A1

- Bei "entfernte Gateways" ist sowohl das interne Netz von Z wie auch das interne Netz von A2 eingetragen

Soweit denke ich, ist das noch richtig?

 

Einstellungen bei Sophos A2 sind:

- Bei Verbindungen sind die lokalen Netze "klar", da eben das lokale interne Netz von A2

- Bei "entfernte Gateways" ist sowohl das interne Netz von Z wie auch das interne Netz von A1 eingetragen

Soweit denke ich, ist das noch richtig?

 

 Einstellungen bei Sophos in Zentrale Z:

- Bei Verbindungen zu/von A1 sind als "lokale Netzwerke" 1. das interne Netz von Z und 2. das interne Netz von A2 eingetragen (muss 2. hier eingetragen sein?)

- Bei Verbindungen zu/von A2 sind als "lokale Netzwerke" 1. das interne Netz von Z und 2. das interne Netz von A1 eingetragen (muss 2. hier eingetragen sein?)

- Bei "entfernte Netzwerke" zu/für A1 ist das interne Netz A1 eingetragen.

- Bei "entfernte Netzwerke" zu/für A2 ist das interne Netz A2 eingetragen.

 

Zwischenstop: Ist das soweit in Ordnung oder fehlt was bzw. ist etwas zuviel?

 

Nächster Punkt Firewall-Regeln (mal daonv ausgehend, dass keine automatischen Firewall-Regeln benutzt werden):

Bei Sophos A1:

- ausgehende Verbindungen von A1 nach Z

- ausgehende Verbindungen von A1 nach A2 (???)

- eingehende Verbindungen von Z nach A1

- eingehende Verbindungen von Z nach A2 (???)

 

Bei Sophos A2:

- ausgehende Verbindungen von A2 nach Z

- ausgehende Verbindungen von A2 nach A1 (???)

- eingehende Verbindungen von Z nach A2

- eingehende Verbindungen von Z nach A1 (???)

 

Bei Sophos Z:

- ausgehende Verbindungen von Z nach A1

- ausgehende Verbindungen von Z nach A2

- ein-/ausgehende Verbindungen von A1 nach A2 (???)

- ein-/ausgehende Verbindungen von A2 nach A1 (???)

 

Bei den Regeln mit (???) hintendran bin ich mir nicht sicher, ob die sein müssen/sollten/sinnvoll sind.

 

Viele Grüße und vielen Dank, wer bis hierhin gelesen hat und noch besser auch verstanden hat, was ich versuche zu sagen :-)

 

Jo



This thread was automatically locked due to age.
  • 0

    Entschuldige mich für mein Deutsch, es ist nicht so gut, aber sehe unten für meine Antworten in rot.

    John_Doe said:

    Hallo zusammen,

    habe ein paar Fragen zu Site2Site-VPN-Verbindungen auf der Sophos.

    Situation ist folgt:

    - Es gibt eine Zentrale Z und zwei Außenstandorte A1 und A2, in denen jeweils ne Sophos stehen.

    - Es gibt 2 Site2Ste-Verbindungen. Z nach A1 und Z nach A2. Die Außenstandorte initiieren die Verbindung, Z steht auf "nur antworten". Es gibt keine direkte Verbindung von A1 nach A2, sondern es soll alles über die Zentrale Z laufen.

     

    Nun möchte ich folgendes bewerkstelligen. Ein Paket von A1 nach A2 senden (bzw. umgekehrt), was, soweit ich das verstehe ja so ablaufen würde ... A1 nach Z und dann von Z nach A2 ... hoffentlich soweit richtig?

     

    Einstellungen bei Sophos A1 sind:

    - Bei Verbindungen sind die lokalen Netze "klar", da eben das lokale interne Netz von A1

    - Bei "entfernte Gateways" ist sowohl das interne Netz von Z wie auch das interne Netz von A2 eingetragen

    Soweit denke ich, ist das noch richtig?

     

    Einstellungen bei Sophos A2 sind:

    - Bei Verbindungen sind die lokalen Netze "klar", da eben das lokale interne Netz von A2

    - Bei "entfernte Gateways" ist sowohl das interne Netz von Z wie auch das interne Netz von A1 eingetragen

    Soweit denke ich, ist das noch richtig? Ja, ist richtig.

     

     Einstellungen bei Sophos in Zentrale Z:

    - Bei Verbindungen zu/von A1 sind als "lokale Netzwerke" 1. das interne Netz von Z und 2. das interne Netz von A2 eingetragen (muss 2. hier eingetragen sein?) Ja, 2 muss eingetragen sein

    - Bei Verbindungen zu/von A2 sind als "lokale Netzwerke" 1. das interne Netz von Z und 2. das interne Netz von A1 eingetragen (muss 2. hier eingetragen sein?) Ja, 2 muss eingetragen sein

    - Bei "entfernte Netzwerke" zu/für A1 ist das interne Netz A1 eingetragen. 

    - Bei "entfernte Netzwerke" zu/für A2 ist das interne Netz A2 eingetragen. 

     

    Zwischenstop: Ist das soweit in Ordnung oder fehlt was bzw. ist etwas zuviel? Soweit richtig.

     

    Nächster Punkt Firewall-Regeln (mal daonv ausgehend, dass keine automatischen Firewall-Regeln benutzt werden):

    Bei Sophos A1:

    - ausgehende Verbindungen von A1 nach Z

    - ausgehende Verbindungen von A1 nach A2 (???) stimmt.

    - eingehende Verbindungen von Z nach A1

    - eingehende Verbindungen von Z nach A2 (???) nicht benötigt.

    - Es fehlt noch eingehend von A2 nach A1.

     

    Bei Sophos A2:

    - ausgehende Verbindungen von A2 nach Z

    - ausgehende Verbindungen von A2 nach A1 (???) stimmt.

    - eingehende Verbindungen von Z nach A2

    - eingehende Verbindungen von Z nach A1 (???) nicht benötigt.

    - Es fehlt noch eingehend von A1 nach A2.

     

    Bei Sophos Z:

    - ausgehende Verbindungen von Z nach A1

    - ausgehende Verbindungen von Z nach A2

    - ein-/ausgehende Verbindungen von A1 nach A2 (???) stimmt

    - ein-/ausgehende Verbindungen von A2 nach A1 (???) stimmt

    - es fehlen noch eingehend von A1 resp. A2 nach Z

     

    Bei den Regeln mit (???) hintendran bin ich mir nicht sicher, ob die sein müssen/sollten/sinnvoll sind.

     

    Viele Grüße und vielen Dank, wer bis hierhin gelesen hat und noch besser auch verstanden hat, was ich versuche zu sagen :-)

    Die von mir gegeben Regeln erlauben alle Verkehr von und nach alle andere Seiten.

     

    Jo

     

  • 0

    Hallo Jo,

    Erstmal herzlich willkommen hier in der Community !

    (Sorry, my German-speaking brain isn't creating thoughts at the moment.  )

    I haven't studied your post in detail, so I apologize if I've made an incorrect assumption about what you're trying to accomplish.

    Almost 10 years ago here, Gert Hansen (the originator of the UTM) gave the answer to connecting two sites through a central site.  I structured his answer to make it easier for people to follow.  In the answer, Standort B is your Zentrale.

    MfG - Bob (Bitte auf Deutsch weiterhin.)