Guest User!

You are not Sophos Staff.

Thread Info
  • State Suggested Answer
  • Locked Locked
  • Replies 3 replies
  • Answers 1 answer
  • Subscribers 6 subscribers
  • Views 398 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

S2S IPSec Tunnel kompletten Traffic in Partnernetz routen

Oliver J

Moin moin,

ich nutze mal das geballte Wissen dieses Forums um hoffentlich meinen Denkfehler aus der Welt zu schaffen.
folgende Situation liegt vor.

Konfigurierter und funktionsfähiger S2S IPSec Tunnel eingerichtet.

lokales Netz 10.100.0.0/28
lokales Interface: WAN
Entferntes Netz: 192.168.240.0/24
Auto FW Regel aktiv

Im Netz 10.100.0.0 stehen zwei PCs 10.100.0.3, 0.100.0.4 und ein VoIP Telefon 10.100.0.5

Nun soll der komplette Datenverkehr aus dem lokalen 10.100er Netz in das entfernte Netz 192.168.240 geroutet werden.
Wir haben das bereits erfolglos mit NAT probiert.

An irgendeiner Stelle haben wir etwas übersehen.

Könnte mir hier jemand einen hilfreichen Tipp geben?

Danke euch.

Gruß Oliver 



This thread was automatically locked due to age.
  • 0
    Oliver J said:
    Könnte mir hier jemand einen hilfreichen Tipp geben?

    Da will ich es mal als absoluter Laie versuchen Relaxed

    Wenn Du die Gatewayeinstellungen der site2site IPsec Verbindung beispeilhaft derart quasi "über Kreuz" anlegst:

    brauchst Du Dich um ein Routing nicht mehr zu kümmern, alles erforderlich erledigen die beteiligten Router von selbst.  Die beteiligten Netze werden vollkommen transparent miteinander "gekoppelt" und dies funktioniert so auch gegen Fremdrouter. Im Ergebnis sieht dies dann so aus:

    Die beteiligten Netze musst Du natürlich in der/den Sohpos unter Hosts und Dienste als IP-Host anlegen:

    dann sollte es eigentlich keine Probleme geben. Und ruhig den Verbindungstyp auf beiden Seiten auf "Verbindung herstellen" einstellen, an sonst sperrst Du Dich u.U. mal selbst aus.

  • 0

    NAT ist kein Routing. Das bedeutet, wenn du eine Route im IPsec erstellen möchtest, musst du wie angesprochen dein Netz anlegen und auf der Gegenseite auch. 

    Wenn du jedoch alles (ANY) in das Netz routen möchtest, dann musst du mit NAT und Routing arbeiten. Das bedeutet, du musst auch eine Route anlegen lassen, die das durchführt, damit die NAT Regel greift. 

    Einfacher wäre es mit einem Route Based VPN, wenn die Gegenstelle das erlaubt. Mit Policy Based VPN ist das etwas mehr Trickserei. 

    __________________________________________________________________________________________________________________

  • 0 in reply to LuCar Toni

    Wäre dann die NAT Regel auf Seite 1

    DNAT

    (Quelle) lokales Netz - (Dienst) Any - (Ziel) Any - (Ziel ändern in) GW Gegenseite 

    und die Routing Regel auf Seite 1

    GW Routing

    (Netzwerk) lokales Netz

    (Gateway) GW Gegenseite

    ??

Unfiltered HTML