Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 25 subscribers
  • Views 3548 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL VPN Frage

mueller-thaens
Hallo zusammen.

Besteht die Möglichkeit sich per SSL VPN auf einer ASTARO einzuwählen und das Netz hinter einer zweiten ASTARO, die per Site-To-Site VPN verbunden sind,  zu erreichen?


This thread was automatically locked due to age.
Parents
  • 0
    mueller-thaens, Astaro kann es sehr elegant machen: https://community.sophos.com/products/unified-threat-management/astaroorg/f/68/t/58783

    MfG - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    naja , so ganz trivial ist das nicht..., aber machbar.

    Bei Remote Access  -> SSL müssen alle Netze eingetragen werden ,
    welche durch den SSL Client erreicht werden sollen.

    Dann muss man noch den VPN Pool (SSL) (oder das VPN-User-Objekt)  auf die jeweiligen VPN-Tunnel-Netze maskieren.
    (Network Security -> Nat -> Masquerading)

    Sollte dann ohne extra Routen funktioniern.

    Gregor Kemter
  • 0 in reply to gkemter
    Hallo nochmal,

    danke für die Antworten.

    Also ich habe jetzt unter Remote Access -> SSL das zusätzliche Netz eingetragen.
    Es wird auch beim Herstellen der VPN Verbindung die entsprechende Route hinzugefügt.

    Allerdings kann ich unter Network Security -> Nat -> Masquerading nur ein Interface auswählen, kein VPN-Tunnel-Netz??

    Wie mache ich das?

    Danke.

    Christoph
  • 0 in reply to mueller-thaens
    Richtig Masquerading geht nur auf Interfaces.
    Dann sollte es mit einer SNAT Regel gehen.
    Erstell dir ein Netzwerk-Objekt mit einer freien IP (/32) aus dem lokalen Netz der Astaro.
    Die SNAT Regel:
    Traffic Source : Dein User-Objekt
    Traffic Service : Any
    Traffic Destination : VPN-Tunnel-Netz
    Nat Mode : SNAT Source
    Source : das erstellte Netzwerk-Objekt.
  • 0 in reply to gkemter
    Hm, das scheint so nicht zu klappen...

    Nochmal kurz zur Info:

    Das Netz der ASTARO(1) auf die ich mich per SSL VPN einwähle: 192.168.0.0/24
    Das Netz der zweiten ASTARO(2): 192.168.165.0/24

    Ich habe jetzt auf der ASTARO(1) ein Netzwerkobjekt 192.168.0.100 erstellt.

    Dann die SNAT Regel:

    Traffic Source: Mein Userobjekt (10.242.0.6)
    Traffic Service: Any
    Traffic Destination: 192.168.165.0/24
    Nat Mode: SNAT Source
    Source: 192.168.0.100

    Stimmt das so?

    Gruß
    Christoph
  • 0 in reply to mueller-thaens
    Ja das stimmt so. Hab das bei mir gerade ausprobiert.
    Entsprechende Paketfilter Regel hast du erstellt ?
  • 0 in reply to gkemter
    Warum macht Ihr das überhaupt mit NAT? Das sollte doch auch ohne gehen, solange das Routing stimmt. Ich würde nur NAT machen, wenn es nicht anders geht - denn es beschränkt die initiale Kommunikation Remotenetz -> VPN-Client. Mit SNAT muss jeder Verbindungsaufbau vom VPN-Client initiiert werden. Ein simpler Ping aus dem Remotenetz zum VPN-Client klappt so schonmal nicht...
  • 0 in reply to trollvottel
    Warum macht Ihr das überhaupt mit NAT? Das sollte doch auch ohne gehen, solange das Routing stimmt.

    Kannst du das genauer erklären ?
    Mir ist nicht klar, was du mit statischen routen bei einem IPSEC Tunnel erreichen willst ?
    Der IPSEC Tunnel routet nur die Netze welche auch Bestandteil des Tunnels sind. Oder man müsste die VPN Tunnel auf beiden Astaros noch um das Client SSL-Netz erweitern..
Reply
  • 0 in reply to trollvottel
    Warum macht Ihr das überhaupt mit NAT? Das sollte doch auch ohne gehen, solange das Routing stimmt.

    Kannst du das genauer erklären ?
    Mir ist nicht klar, was du mit statischen routen bei einem IPSEC Tunnel erreichen willst ?
    Der IPSEC Tunnel routet nur die Netze welche auch Bestandteil des Tunnels sind. Oder man müsste die VPN Tunnel auf beiden Astaros noch um das Client SSL-Netz erweitern..
Children
No Data
Unfiltered HTML