This discussion has been locked.

You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IP Masquerading bei Verbindung über VPN

Stefanie Leisestreichler over 6 years ago

Hallo zusammen.

Ich habe folgendes Setup:

Externer Rechner (verbunden über VPN, tun0 10.242.2.2) <-> Sophos UTM9 <-> SiteToSite VPNs.

Die SiteToSite-VPNs gestatten Rechnern aus dem privaten Netzwerk in dem die UTM9 auch steht (deren Interface hat in meinem privaten Netz die IP 192.168.77.252) den Zugriff auf die dahinter liegenden Rechner, bspw. auf 192.168.1.22. Dies ist jedoch nur möglich, wenn ich mit meinem Rechner physisch in meinem privaten Netz hänge und bspw. die IP 192.168.77.13 habe. Sobald ich mich jedoch irgendwo von unterwegs aus per VPN verbinde, muss ich mich um Zugriff auf eine Maschine auf 192.168.1.22 zu bekommen zunächst auf eine Maschine im 77er Netzwerk einloggen um Zugriff darauf zu bekommen.

Ich möchte jedoch gerne mit meiner per VPN angebundenen Maschine direkten Zugriff auf das Netzwerk 192.168.1.0/24 haben. Das müsste doch gehen, wenn ich meine IP für diesen Fall umschreibe, bspw. auf die der Sophos, oder liege ich da falsch?

Wisst Ihr Rat?

Vielen Dank für Eure Hilfe.
Steffi

This thread was automatically locked due to age.

0 Stefanie Leisestreichler over 6 years ago in reply to Matt928

Bist Du sicher, dass das bedeutet, dass der OpenVPN-Client die Route nicht findet? Es kommt eine Antwort von 10.242.2.1 auf das Ping zurück: Destination Host unreachable.
Cancel
Vote Up 0 Vote Down

Cancel
0 Matt928 over 6 years ago in reply to Stefanie Leisestreichler
Wir hatten solche Themen in der Vergangenheit auch des Öfteren, dabei waren es meist die bereits angesprochenen Themen:

Subnetz war im SSL VPN Profil nicht als erlaubte Netzwerke hinterlegt -> dadurch kein Routing auf den Hosts

Firewalling auf der SG/XG war nicht gepflegt

lokale Firewall (gibt es auch im Linux) war aktiv

Ehrlich gesagt wäre ich jetzt aus der Ferne am Ende mit meinem Latein.
Cancel
Vote Up 0 Vote Down

Cancel
0 Stefanie Leisestreichler over 6 years ago in reply to Matt928

Ganz herzlichen Dank für Deine Hilfe. lieber Matt.

Meine lokale Firewall ist in allen tables auf accept eingestellt und die Subnetze sind als erlaubte Netzwerke hinterlegt. Im Firewall Log des UTM9 sind keine Spuren von dem abgesetzten ICMP-Request sichtbar.

Hat vielleicht noch jemand eine Idee?
Cancel
Vote Up 0 Vote Down

Cancel
0 Peter SPECK1 over 6 years ago

Hallo

wir haben eine ähnliche Situation, und das Problem lag / liegt an der Rückroute. Das Zielnetz kennt das 10.242.2.2 wohl nicht.

Hilfreich und einfach ist dann doch eine Maskierung des 10.242.2.0 Netzes mit einer IP aus dem 192.168.77.0 Netz, oder, wenn das Möglich ist, in den Endnetzten dafür zu sorgen, dass diese auch in den erlaubten netzen drin sind. Trotzdem die Routen prüfen, eine tracert hilft dabei.

Grüsse

Peter
Cancel
Vote Up 0 Vote Down

Cancel
0 Stefanie Leisestreichler over 6 years ago in reply to Peter SPECK1

Ich bin in der Lage komplexe Linux Firewalls zu administrieren und auch OpenVPN. An der Sophos bin ich gescheitert.
Wir werden Sie durch ein Linux-System ablösen.

Danke für Eure Hilfe.
Cancel
Vote Up 0 Vote Down

Cancel