Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 2 replies
  • Subscribers 3 subscribers
  • Views 894 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Site2Site VPN Firewall Regeln (Zugriff von entferntem Netzwerk nur auf einen Host zulassen)

AUTKOM

Hi,

 

wir haben eine Site2Site Verbindung mit 2 UTM´s.  Nun suchen wir den elegantesten Weg um vom entfernten Netzwerk die Verbindungen nur auf einen Host im Headquater zu beschränken. Dies würden wir am liebsten mit einer Firewall Regel realisieren. Leider scheitert dies. Wäre Funktion 3 die richtige Einstellung???

Es geht mir letztendlich um die richtige Lösung.

 

Was bisher versucht wurde:

 

1.

HQ Site2Site VPN --> IP-Sec --> Connection --> Local Networks (das komplette Segment z.b. 192.168.0.0/24); Automatic Firewall Rule AKTIVIERT; Strict Routing AKTIVIERT

RO Site2Site VPN --> IP-Sec --> Remote Gateway --> Remote Networks (das komplette Segment z.b. 192.168.0.0/24); Automatic Firewall Rule AKTIVIERT; Strict Routing AKTIVIERT

Ergebnis: Verbindung funktioniert! Einfachste Form der Site2Site um in ein komplettes NW- Band zu kommen.

 

2.

HQ Site2Site VPN --> IP-Sec --> Connection --> Local Networks (das komplette Segment z.b. 192.168.0.0/24); Automatic Firewall Rule DEAKTIVIERT; Strict Routing aktiviert

HQ Network Protection --> Firewall --> "New Rule" --> Source "RO Segment" --> Services --> "Any" --> Destination "HQ Segment" --> Action "Drop"

RO Site2Site VPN --> IP-Sec --> Remote Gateway --> Remote Networks (das komplette Segment z.b. 192.168.0.0/24); Automatic Firewall Rule DEAKTIVIERT; Strict Routing aktiviert

Ergebnis: Verbindung funktioniert! Erreiche alle PC´s via Ping und SMB als würde die Firewall Regel nicht gelten!!

 

3.

HQ Site2Site VPN --> IP-Sec --> Connection --> Local Networks (die statische IP der gewünschten Maschine im HQ); Automatic Firewall Rule AKTIVIERT; Strict Routing aktiviert

RO Site2Site VPN --> IP-Sec --> Remote Gateway --> Remote Networks (die statische IP der gewünschten Maschine im HQ); Automatic Firewall Rule AKTIVIERT; Strict Routing aktiviert

Ergebnis: Verbindung funktioniert! Komme nur auf die von mir eingetragene Maschine im HQ (quasi wie gewünscht)!!



This thread was automatically locked due to age.
  • 0

    Hallo,

    bei 1 ist es klar, dass alles geht.

    bei 2 Sieht eigentlich gut aus. Hier würde ich auf eine FW-Rule tippen, welche vor der drop rule steht. Ich aktiviere immer das logging für alle Rules und gucke in diesem fall im Fw-live-log, warum das Paket durchkommt.

    3. so geht es auch. ein Tunnel, wo nur das durchkommt was soll, kann durch eine fehlerhafte FW-Rule nicht aufgebohrt werden.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0

    There is probably another automatically created firewall rule that is the cause of the behavior in situation 2.

    Go to Network Protection -> Firewall, in the dropdown at the top select ALL. You will probably find a rule like 192.168.0.0/24 -> Any service -> Any, which would allow the traffic across the VPN. 

Unfiltered HTML