Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 4 subscribers
  • Views 1461 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN Verschlüsselung innerhalb eines Netzwerkes

Maba1977

Hallo zusammen,

ich habe im Forum bereits gesucht, allerdings nichts passendes gefunden.
Eingesetzt wird eine Sophos XG230 an Standort A, an Standort B eine Sophos XG 135.

Die Standorte sind über eine Funkanbindung vernetzt.

Die XG230 ist das Gateway an Standort A und hängt am DSL-Anschluss. Jetzt soll an LAN-Port 3 die XG135 über die Funkstrecke angebunden werden. Und genau dieser Teil soll verschlüsselt werden.

Zur Übersicht:

XG230                                                                     XG135
Gateway ins Internet
IP Netzwerk: 192.168.100.1
IP-LAN-Port3: 192.168.101.1   -> Funkverbindung     <- IP: 192.168.101.254

Geht das überhaupt und wenn ja, wie?

VG
Markus

 

 



This thread was automatically locked due to age.
  • 0

    Ja, prinzipiell geht es. Ein VPN kann über das Internet, aber auch zwischen direkt verbundenen Geräten erzeugt werden.

    Aber da die XG auch einen Router darstellt, braucht sie auf den beiden Interfaces unterschiedliche IP-netze.

    Also noch ein neues Transfer-Netz zwischen die beiden Firewalls.

    Der Rest ist "Standard-S2S-VPN"


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    Hallo Dirk,

    danke für deine Antwort.
    D.h. ich könnte an Port 3 am Standort A eine IP aus dem eh schon bestehenden Netz nehmen (192.168.100.x z.B.) und auf der anderen Seite dann
    die IP aus dem dort benötigten Netz (192.168.101.x)?
    VG

    Markus

  • 0 in reply to Maba1977

    Hallo.

    Ich bezweifle, dass das so einfach geht, da die Funkstrecken meist als Bridge realisiert sind. Das heisst, du müsstest das eine Ende der Funkstrecke in ein anderes Netz stellen, als das andere. Oder zumindest dort eine weitere IP-Adresse definieren. Also must du an die Konfiguration der Funkstrecke gehen.

    Ich frage mal anders herum: Was ist das für eine Funkstrecke und warum verschlüsselt die nicht bereits selbst? Dann wäre das VPN überflüssig.

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to jprusch

    Hi,

    die Funkstrecke wird von einem lokalen Anbieter bereit gestellt. Prinzipiell habe ich an den zwei Standorten eine Netzwerkanbindung an diese Funkstrecke (Kabel). Innerhalb dieser Funkstrecke herrscht gefühlt der Wilde Westen. Stell dir das wie einen Switch vor, an dem jeder sein Kabel anstecken kann. Verschlüsselung oder Trennung gibt es nicht. Und leider auch keine sinnvolle Internetanbindung an Standort B auf die man ausweichen könnte - bin damit auch nicht glücklich und weiss um die Störanfälligkeit.

    Daher ist aber eine Verschlüsselung zwingend erforderlich.

  • 0 in reply to Maba1977

    Hallo,

    das heisst, die Antennen, die bei euch stehen haben keine eigene IP-Adresse?

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to Maba1977

    Maba1977 said:

    D.h. ich könnte an Port 3 am Standort A eine IP aus dem eh schon bestehenden Netz nehmen (192.168.100.x z.B.) und auf der anderen Seite dann
    die IP aus dem dort benötigten Netz (192.168.101.x)?

    eher nicht.

    Wenn das LAN mit IP 192.168.100.0/24 an ETH0 hängt, kann 192.168.100.x nicht das Transfer-netz an ETH3 sein.

    Auch auf dieser Seite müssen es unterschiedliche Subnetze sein.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    dirkkotte said:

    Wenn das LAN mit IP 192.168.100.0/24 an ETH0 hängt, kann 192.168.100.x nicht das Transfer-netz an ETH3 sein.

    Auch auf dieser Seite müssen es unterschiedliche Subnetze sein.

     

    Danke Dirk.

  • 0 in reply to Maba1977

    Hallo, nochmal:

    Haben denn die Endgeräte mit den Antennen eine eigene IP-Adresse oder sind die nur Teil des "Funk-Netzwerkes"?

    Ich frage deshalb, weil man dann dem Ethernet Anschluss der Sophos eine andere IP geben könnte und mit einer zweiten IP das Endgerät als Gateway deklarieren könnte ...

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • 0

    Hallo ,

    Herzlich willkommen hier in der Community !

    (Sorry, my German-speaking brain isn't creating thoughts at the moment.  )

    If you use a RED tunnel between the two sites, you can bridge the same subnet on both sides.  In fact, that's my primary use for RED tunnels between two sites.

    Using an IPsec site-to-site requires using Transfer-Netzen to have the same IP range in both locations.  See How to tunnel between two UTMs which use the same LAN network range & More VPN between same subnets.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML