Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 15 replies
  • Subscribers 29 subscribers
  • Views 4045 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IP Masquerading bei Verbindung über VPN

Stefanie Leisestreichler

Hallo zusammen.

Ich habe folgendes Setup:

Externer Rechner (verbunden über VPN, tun0 10.242.2.2) <-> Sophos UTM9 <-> SiteToSite VPNs.

Die SiteToSite-VPNs gestatten Rechnern aus dem privaten Netzwerk in dem die UTM9 auch steht (deren Interface hat in meinem privaten Netz die IP 192.168.77.252) den Zugriff auf die dahinter liegenden Rechner, bspw. auf 192.168.1.22. Dies ist jedoch nur möglich, wenn ich mit meinem Rechner physisch in meinem privaten Netz hänge und bspw. die IP 192.168.77.13 habe. Sobald ich mich jedoch irgendwo von unterwegs aus per VPN verbinde, muss ich mich um Zugriff auf eine Maschine auf 192.168.1.22 zu bekommen zunächst auf eine Maschine im 77er Netzwerk einloggen um Zugriff darauf zu bekommen.

Ich möchte jedoch gerne mit meiner per VPN angebundenen Maschine direkten Zugriff auf das Netzwerk 192.168.1.0/24 haben. Das müsste doch gehen, wenn ich meine IP für diesen Fall umschreibe, bspw. auf die der Sophos, oder liege ich da falsch?

Wisst Ihr Rat?

Vielen Dank für Eure Hilfe.
Steffi



This thread was automatically locked due to age.
  • 0 in reply to Matt928

    Bist Du sicher, dass das bedeutet, dass der OpenVPN-Client die Route nicht findet? Es kommt eine Antwort von 10.242.2.1 auf das Ping zurück: Destination Host unreachable.

  • 0 in reply to Stefanie Leisestreichler

    Wir hatten solche Themen in der Vergangenheit auch des Öfteren, dabei waren es meist die bereits angesprochenen Themen:

    • Subnetz war im SSL VPN Profil nicht als erlaubte Netzwerke hinterlegt -> dadurch kein Routing auf den Hosts
    • Firewalling auf der SG/XG war nicht gepflegt
    • lokale Firewall (gibt es auch im Linux) war aktiv

    Ehrlich gesagt wäre ich jetzt aus der Ferne am Ende mit meinem Latein. 

    Cheers,

    Matt

  • 0 in reply to Matt928

    Ganz herzlichen Dank für Deine Hilfe. lieber Matt.

    Meine lokale Firewall ist in allen tables auf accept eingestellt und die Subnetze sind als erlaubte Netzwerke hinterlegt. Im Firewall Log des UTM9 sind keine Spuren von dem abgesetzten ICMP-Request sichtbar.

    Hat vielleicht noch jemand eine Idee?

  • 0

    Hallo

    wir haben eine ähnliche Situation, und das Problem lag / liegt an der Rückroute. Das Zielnetz kennt das 10.242.2.2 wohl nicht.

    Hilfreich und einfach ist dann doch eine Maskierung des 10.242.2.0 Netzes mit einer IP aus dem 192.168.77.0 Netz, oder, wenn das Möglich ist, in den Endnetzten dafür zu sorgen, dass diese auch in den erlaubten netzen drin sind. Trotzdem die Routen prüfen, eine tracert hilft dabei.

    Grüsse

    Peter

  • 0 in reply to Peter SPECK1

    Ich bin in der Lage komplexe Linux Firewalls zu administrieren und auch OpenVPN. An der Sophos bin ich gescheitert.
    Wir werden Sie durch ein Linux-System ablösen.

    Danke für Eure Hilfe.

Cookie Information Banner