Thread Info
  • State Suggested Answer
  • Locked Locked
  • Replies 2 replies
  • Answers 2 answers
  • Subscribers 27 subscribers
  • Views 2616 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Fragen zu Site2SiteVPN über drei UTMs hinweg und Firewall-Regeln

John_Doe

Hallo zusammen,

habe ein paar Fragen zu Site2Site-VPN-Verbindungen auf der Sophos.

Situation ist folgt:

- Es gibt eine Zentrale Z und zwei Außenstandorte A1 und A2, in denen jeweils ne Sophos stehen.

- Es gibt 2 Site2Ste-Verbindungen. Z nach A1 und Z nach A2. Die Außenstandorte initiieren die Verbindung, Z steht auf "nur antworten". Es gibt keine direkte Verbindung von A1 nach A2, sondern es soll alles über die Zentrale Z laufen.

 

Nun möchte ich folgendes bewerkstelligen. Ein Paket von A1 nach A2 senden (bzw. umgekehrt), was, soweit ich das verstehe ja so ablaufen würde ... A1 nach Z und dann von Z nach A2 ... hoffentlich soweit richtig?

 

Einstellungen bei Sophos A1 sind:

- Bei Verbindungen sind die lokalen Netze "klar", da eben das lokale interne Netz von A1

- Bei "entfernte Gateways" ist sowohl das interne Netz von Z wie auch das interne Netz von A2 eingetragen

Soweit denke ich, ist das noch richtig?

 

Einstellungen bei Sophos A2 sind:

- Bei Verbindungen sind die lokalen Netze "klar", da eben das lokale interne Netz von A2

- Bei "entfernte Gateways" ist sowohl das interne Netz von Z wie auch das interne Netz von A1 eingetragen

Soweit denke ich, ist das noch richtig?

 

 Einstellungen bei Sophos in Zentrale Z:

- Bei Verbindungen zu/von A1 sind als "lokale Netzwerke" 1. das interne Netz von Z und 2. das interne Netz von A2 eingetragen (muss 2. hier eingetragen sein?)

- Bei Verbindungen zu/von A2 sind als "lokale Netzwerke" 1. das interne Netz von Z und 2. das interne Netz von A1 eingetragen (muss 2. hier eingetragen sein?)

- Bei "entfernte Netzwerke" zu/für A1 ist das interne Netz A1 eingetragen.

- Bei "entfernte Netzwerke" zu/für A2 ist das interne Netz A2 eingetragen.

 

Zwischenstop: Ist das soweit in Ordnung oder fehlt was bzw. ist etwas zuviel?

 

Nächster Punkt Firewall-Regeln (mal daonv ausgehend, dass keine automatischen Firewall-Regeln benutzt werden):

Bei Sophos A1:

- ausgehende Verbindungen von A1 nach Z

- ausgehende Verbindungen von A1 nach A2 (???)

- eingehende Verbindungen von Z nach A1

- eingehende Verbindungen von Z nach A2 (???)

 

Bei Sophos A2:

- ausgehende Verbindungen von A2 nach Z

- ausgehende Verbindungen von A2 nach A1 (???)

- eingehende Verbindungen von Z nach A2

- eingehende Verbindungen von Z nach A1 (???)

 

Bei Sophos Z:

- ausgehende Verbindungen von Z nach A1

- ausgehende Verbindungen von Z nach A2

- ein-/ausgehende Verbindungen von A1 nach A2 (???)

- ein-/ausgehende Verbindungen von A2 nach A1 (???)

 

Bei den Regeln mit (???) hintendran bin ich mir nicht sicher, ob die sein müssen/sollten/sinnvoll sind.

 

Viele Grüße und vielen Dank, wer bis hierhin gelesen hat und noch besser auch verstanden hat, was ich versuche zu sagen :-)

 

Jo



This thread was automatically locked due to age.
Parents
  • 0

    Entschuldige mich für mein Deutsch, es ist nicht so gut, aber sehe unten für meine Antworten in rot.

    John_Doe said:

    Hallo zusammen,

    habe ein paar Fragen zu Site2Site-VPN-Verbindungen auf der Sophos.

    Situation ist folgt:

    - Es gibt eine Zentrale Z und zwei Außenstandorte A1 und A2, in denen jeweils ne Sophos stehen.

    - Es gibt 2 Site2Ste-Verbindungen. Z nach A1 und Z nach A2. Die Außenstandorte initiieren die Verbindung, Z steht auf "nur antworten". Es gibt keine direkte Verbindung von A1 nach A2, sondern es soll alles über die Zentrale Z laufen.

     

    Nun möchte ich folgendes bewerkstelligen. Ein Paket von A1 nach A2 senden (bzw. umgekehrt), was, soweit ich das verstehe ja so ablaufen würde ... A1 nach Z und dann von Z nach A2 ... hoffentlich soweit richtig?

     

    Einstellungen bei Sophos A1 sind:

    - Bei Verbindungen sind die lokalen Netze "klar", da eben das lokale interne Netz von A1

    - Bei "entfernte Gateways" ist sowohl das interne Netz von Z wie auch das interne Netz von A2 eingetragen

    Soweit denke ich, ist das noch richtig?

     

    Einstellungen bei Sophos A2 sind:

    - Bei Verbindungen sind die lokalen Netze "klar", da eben das lokale interne Netz von A2

    - Bei "entfernte Gateways" ist sowohl das interne Netz von Z wie auch das interne Netz von A1 eingetragen

    Soweit denke ich, ist das noch richtig? Ja, ist richtig.

     

     Einstellungen bei Sophos in Zentrale Z:

    - Bei Verbindungen zu/von A1 sind als "lokale Netzwerke" 1. das interne Netz von Z und 2. das interne Netz von A2 eingetragen (muss 2. hier eingetragen sein?) Ja, 2 muss eingetragen sein

    - Bei Verbindungen zu/von A2 sind als "lokale Netzwerke" 1. das interne Netz von Z und 2. das interne Netz von A1 eingetragen (muss 2. hier eingetragen sein?) Ja, 2 muss eingetragen sein

    - Bei "entfernte Netzwerke" zu/für A1 ist das interne Netz A1 eingetragen. 

    - Bei "entfernte Netzwerke" zu/für A2 ist das interne Netz A2 eingetragen. 

     

    Zwischenstop: Ist das soweit in Ordnung oder fehlt was bzw. ist etwas zuviel? Soweit richtig.

     

    Nächster Punkt Firewall-Regeln (mal daonv ausgehend, dass keine automatischen Firewall-Regeln benutzt werden):

    Bei Sophos A1:

    - ausgehende Verbindungen von A1 nach Z

    - ausgehende Verbindungen von A1 nach A2 (???) stimmt.

    - eingehende Verbindungen von Z nach A1

    - eingehende Verbindungen von Z nach A2 (???) nicht benötigt.

    - Es fehlt noch eingehend von A2 nach A1.

     

    Bei Sophos A2:

    - ausgehende Verbindungen von A2 nach Z

    - ausgehende Verbindungen von A2 nach A1 (???) stimmt.

    - eingehende Verbindungen von Z nach A2

    - eingehende Verbindungen von Z nach A1 (???) nicht benötigt.

    - Es fehlt noch eingehend von A1 nach A2.

     

    Bei Sophos Z:

    - ausgehende Verbindungen von Z nach A1

    - ausgehende Verbindungen von Z nach A2

    - ein-/ausgehende Verbindungen von A1 nach A2 (???) stimmt

    - ein-/ausgehende Verbindungen von A2 nach A1 (???) stimmt

    - es fehlen noch eingehend von A1 resp. A2 nach Z

     

    Bei den Regeln mit (???) hintendran bin ich mir nicht sicher, ob die sein müssen/sollten/sinnvoll sind.

     

    Viele Grüße und vielen Dank, wer bis hierhin gelesen hat und noch besser auch verstanden hat, was ich versuche zu sagen :-)

    Die von mir gegeben Regeln erlauben alle Verkehr von und nach alle andere Seiten.

     

    Jo

     

Reply
  • 0

    Entschuldige mich für mein Deutsch, es ist nicht so gut, aber sehe unten für meine Antworten in rot.

    John_Doe said:

    Hallo zusammen,

    habe ein paar Fragen zu Site2Site-VPN-Verbindungen auf der Sophos.

    Situation ist folgt:

    - Es gibt eine Zentrale Z und zwei Außenstandorte A1 und A2, in denen jeweils ne Sophos stehen.

    - Es gibt 2 Site2Ste-Verbindungen. Z nach A1 und Z nach A2. Die Außenstandorte initiieren die Verbindung, Z steht auf "nur antworten". Es gibt keine direkte Verbindung von A1 nach A2, sondern es soll alles über die Zentrale Z laufen.

     

    Nun möchte ich folgendes bewerkstelligen. Ein Paket von A1 nach A2 senden (bzw. umgekehrt), was, soweit ich das verstehe ja so ablaufen würde ... A1 nach Z und dann von Z nach A2 ... hoffentlich soweit richtig?

     

    Einstellungen bei Sophos A1 sind:

    - Bei Verbindungen sind die lokalen Netze "klar", da eben das lokale interne Netz von A1

    - Bei "entfernte Gateways" ist sowohl das interne Netz von Z wie auch das interne Netz von A2 eingetragen

    Soweit denke ich, ist das noch richtig?

     

    Einstellungen bei Sophos A2 sind:

    - Bei Verbindungen sind die lokalen Netze "klar", da eben das lokale interne Netz von A2

    - Bei "entfernte Gateways" ist sowohl das interne Netz von Z wie auch das interne Netz von A1 eingetragen

    Soweit denke ich, ist das noch richtig? Ja, ist richtig.

     

     Einstellungen bei Sophos in Zentrale Z:

    - Bei Verbindungen zu/von A1 sind als "lokale Netzwerke" 1. das interne Netz von Z und 2. das interne Netz von A2 eingetragen (muss 2. hier eingetragen sein?) Ja, 2 muss eingetragen sein

    - Bei Verbindungen zu/von A2 sind als "lokale Netzwerke" 1. das interne Netz von Z und 2. das interne Netz von A1 eingetragen (muss 2. hier eingetragen sein?) Ja, 2 muss eingetragen sein

    - Bei "entfernte Netzwerke" zu/für A1 ist das interne Netz A1 eingetragen. 

    - Bei "entfernte Netzwerke" zu/für A2 ist das interne Netz A2 eingetragen. 

     

    Zwischenstop: Ist das soweit in Ordnung oder fehlt was bzw. ist etwas zuviel? Soweit richtig.

     

    Nächster Punkt Firewall-Regeln (mal daonv ausgehend, dass keine automatischen Firewall-Regeln benutzt werden):

    Bei Sophos A1:

    - ausgehende Verbindungen von A1 nach Z

    - ausgehende Verbindungen von A1 nach A2 (???) stimmt.

    - eingehende Verbindungen von Z nach A1

    - eingehende Verbindungen von Z nach A2 (???) nicht benötigt.

    - Es fehlt noch eingehend von A2 nach A1.

     

    Bei Sophos A2:

    - ausgehende Verbindungen von A2 nach Z

    - ausgehende Verbindungen von A2 nach A1 (???) stimmt.

    - eingehende Verbindungen von Z nach A2

    - eingehende Verbindungen von Z nach A1 (???) nicht benötigt.

    - Es fehlt noch eingehend von A1 nach A2.

     

    Bei Sophos Z:

    - ausgehende Verbindungen von Z nach A1

    - ausgehende Verbindungen von Z nach A2

    - ein-/ausgehende Verbindungen von A1 nach A2 (???) stimmt

    - ein-/ausgehende Verbindungen von A2 nach A1 (???) stimmt

    - es fehlen noch eingehend von A1 resp. A2 nach Z

     

    Bei den Regeln mit (???) hintendran bin ich mir nicht sicher, ob die sein müssen/sollten/sinnvoll sind.

     

    Viele Grüße und vielen Dank, wer bis hierhin gelesen hat und noch besser auch verstanden hat, was ich versuche zu sagen :-)

    Die von mir gegeben Regeln erlauben alle Verkehr von und nach alle andere Seiten.

     

    Jo

     

Children
No Data