Moin Sophos-User,
ich schlag mich gerade mit einer neuen VPN-Änderung rum, die erforderlich wurde, als unser VPN-Partner meinte seine Netze komplett neu umstricken zu müssen.
Unser Partner hat das VPN zu uns so umgestellt, dass wir nicht mehr direkt in sein internes Netz können, sondern nur noch in seine DMZ. Soweit so gut, das ist kein Problem, die VPN-Verbindung dahin steht soweit damit.
Allerdings gibt es den Haken mit zusätzlichem NAT: unser internes Netz muss auf ein 172er Netz genattet werden damit mit dem DMZ-Netz über VPN unseres Partners überhaupt kommuniziert werden kann. Und zwar nur wenn das Ziel per VPN das DMZ-Netz unseres Partners betrifft, andererseits müssen die Pakete aus dem DMZ-Netz unserers Partners auch wieder genattet werden, so dass es unser eigentliches internes Netz erreicht, wir haben sozusagen ein virtuelles Netz zwischen einem Site2site VPN.
Ich hab bisher über NAT schon zwei Regeln erstellt und auch testweise unserem internen Adapter der SophosUTM zusätzlich die 172er-Adresse gegeben. Trotzdem scheint noch keine Verbindung möglich zu sein.
Hat jemand ne Idee was man noch konfigurieren muss? Die Routungtabelle in der Sophos wirft jedenfalls eine Zeile zum entfernten Netz (DMZ-Netz unseres Partners) aus, bei der wie ich vermute noch der Scope Link fehlt; über "normale" VPN ohne DMZ bzw weiteres NAT steht da einfach die interne IP-Adresse unserer Sophos drin.
Danke für Eure Antworten.
Arne
This thread was automatically locked due to age.
Guest User!
You are not Sophos Staff.
