Thread Info
  • State Verified Answer
  • Locked Locked
  • Replies 7 replies
  • Subscribers 4 subscribers
  • Views 775 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

aus IPsec Tunnel in die DMZ

Sophos User5900

3. Versuch - ich soll mich ja kurz fassen Wink

--> Stehender, funktionierender IPsec-Tunnel von Standort "A" zu Standort "B" mittels zweier XGs

--> XG am Standort "B".hat einen öffentlich erreichbaren Server in der DMZ

--> dieser Server soll nun vom Standort "A" über den Tunnel per SSH erreichbar werden

--> was muss ich tun, damit dies funktioniert, bisherige Versuche waren erfolglos

--> Danke!



This thread was automatically locked due to age.
Parents
  • 0

    Wenn der Server eine private IP hat, diese ansprechen und nicht die veröffentlichte IP.

    .. Sonst dafür sorgen, dass das Routing zu dieser Ziel-IP über den Tunnel und nicht das Internet geht.

    Bei "normalem" IPSec muss das Zielnetz in der Tunneldefinition zugelassen sein.

    Wie sieht ein traceroute vom Standort A zum Server aus?


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    Oh ... erst einmal vielen Dank. Dann werde ich erst einmal das Routen üben müssen, melde mich wieder, wenn es nicht klappt - wovon ich bei meinem Glück erst einmal ausgehe Slight smile

  • 0 in reply to Sophos User5900

    gut, melde dich, wenn du Hilfe brauchst.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    Danke für dein Angebot, die Hilfe werde ich sicher brauchen, aber im Moment kämpfe ich ja erst einmal mit dem VPN-DurchsatzFrowning2

Reply Children
  • 0 in reply to Sophos User5900

    So, nachdem nun das VPN-Durchsatzproblem dank der Hilfe hier im Forum gelöst ist, bleibt nur noch das VPN/DMZ Problem zu klären. Hierzu erst einmal eine Skizze:

    Zwischen den LANs der Standorte A und B besteht eine site-2-site IPsec-VPN-Verbindung. Am Standort B steht in der DMZ ein Server, welcher aus dem I-Net über Port 80/443 und aus dem LAN B per RDP erreichbar ist.

    Nun ist es jedoch erforderlich, diesen Server auch aus dem LAN B (bzw. einer Maschine aus diesem Nertz) über den VPN-Tunnel zumindest per SSH anzusprechen. Wie dies zu lösen ist, da verknoten sich jedoch im Moment meine Gedanken. Bei meiner "Ausprobier-Spielerei" hatte ich mich sogar ausgesperrt, was dann die physische Anwesenheit am anderen Standort erforderlich machte - das muss ich nicht noch einmal haben.

    Daher bitte ich nun Euch um Hilfe bzgl. einer Problemlösung - für jede Idee, Hinweis oder Gedankenansatz bin ich dankbar Relaxed

  • 0 in reply to Sophos User5900

    Wenn ich es richtig verstehe, erreicht eine Maschine aus netz A nicht den Server in der DMZ ?

    Mit "klassischem IPSec":

    Das DMZ-Netz muss im Tunnel angeboten/angefordert werden.

    Also an XG-B als lokales Netz und an XG-A als Remote-Netz. 

    Die Firewalls wissen dann, daß das Netz über den Tunnel erreichbar ist und nicht über das Default-gateway.

    Dann noch die passenden Firewall-Rules und gut ist.

    Mit Route based VPN sieht das aber etwas anders aus...

    Wenn es nicht funktioniert, zeig doch mal die VPN-Definitionen.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • +1 in reply to dirkkotte

    Dat geit (das geht)! Vielen, vielen Dank Dirk!

    Und dabei war das so einfach, nur ausgesperrt habe ich mich dabei logischerweise wieder. War aber diesmal nicht das Problem, da mittlerweile IPsec- und SSL-Fernzugriff funktioniern und ich darüber auf die entfernte XG drauf kam.

    Also vielen Dank nochmals !

Cookie Information Banner