Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 3 subscribers
  • Views 2076 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Internet durch IPsec Tunnel routen

BS Technik

Hallo zusammen,

 

ich habe hier schon etliche Einträge zu diesem Thema gefunden. Leider bin ich nicht in der Lage das bei uns so um zusetzten dass es funktioniert. Irgendwo habe ich da einen Denkfehler.

 

Folgende ist Situation:

 

USG Standort A (HQ) <--- IPsec ---> USG Standort B (Außenstelle)

Der Komplette Internettraffic soll für alle  Clients am Standort B über den VPN tunnel geroutet werden.

Was haben wir gemacht? In der IPsec Verbindung am Standort B haben wir bei den entfernten Netzen zu den Lokalennetzen zusätzlich noch "internet IPv4 und v6" eingetragen und auf der Gegenseite bei den lokalen Netzwerken bei der IPsec Konfig External WAN eingetragen.In der Tunnelverbindung kann man sehen, dass er das auch so akzeptiert.

Des weiteren haben wir am Standort B eine DNAT Regel erstellt:

Internes Netz -> Any -> Internet IPv4
Ziel ändern in -> WAN IP des Standortes A (alternativ haben wir hier auch versucht die Lokale Gateway IP des Standortes A einzutragen, leider auch ohen Erfolg).

 

Hat irgendwer einen Tipp? Aussage vom Distri Support -> das geht nicht, dafür gibt es RED Boxen.:-(

 



This thread was automatically locked due to age.
  • 0

    geht schon ...

    Störend ist, das das VPN-Gerät an der Aussenstelle meist ein def.Gatway vom Provider hat. 

    Es ist doch viel einfacher dort die Pakete langzuschicken, als durch den Tunnel.

    Also def. GW am WAN-interface weg und eine statische Route, welche auf das ext. Interface der Zentrale zeigt, damit der Tunnel aufgebaut werden kann.

    Und dann default-route durch den Tunnel.

    Der Tunnel kann dann IPSec o. RED sein. funktioniert bei mir beides.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    Hallo Dirk,

    vielen Dank schon mal für die Info. Das hört sich für mich logisch an. Leider baut sich der Tunnel erst gar nicht auf, wenn ich das def. Gateway bei WAN rausnehme und die Statische Route setze:

    Die Routen definition ist wie folgt:

    Statische Route
    Typ: Gateway-Route
    Netzwerk: Internal Network
    Gateway: Online IP der Gegenseite welche auch im IPsec definiert ist

     

    IPsec Log steht folgendes: ERROR: „Tunnel“ #1: sendto on ppp0 to xx.xx.xxx.xx:500 failed in main_outI1. Errno 101: Network is unreachable

     

     

     

    Wie hast du bei dir dann die zweite Route definiert? Du hast geschrieben "Und dann default-route durch den Tunnel." Ich kann den Tunnel ja nicht als Device auswählen.

  • 0 in reply to BS Technik

    bei Netzwerk ist das Ziel anzugeben.

    Also die ext.IP des zentralen Gateways.

    Dann sollte auch ein ping/traceroute dorthin möglich sein.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0

    Hallo,

    Herzlich willkommen hier in der Community !

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    I'll be interested to see how Dirk's solution works.

    My usual approach is to add "Internet IPv4" to the IPsec Connection on one side and also to the Remote Gateway on the other side.  The trick to making that work is adding a masquerading rule on the first site for traffic that arrives via the IPsec VPN.  No DNAT needed.

    I've also done this with RED tunnels, but prefer the less-complex configuration with IPsec.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson

    Hallo wollte es eigentlich so um setzten und ja es funktioniert bei mir in der Testumgebung. Springender Punkt ist das NATing.

    Leider funktioniert es nicht beim Kunden. Tunnel wird aufgebaut aber beim Internet IPv4 kommt es in der Tunnel Verbindung zu einem Fehler. Keine Ahnung wo hier der Fehler liegt. Auf der Ziel Sophos sind alle Leitungen grün.

     

     

     

    Im Log steht, dass er die Route nicht setzen kann. Das wird die Internet IPv4 Route sein. Aber warum? Ich hab alles schon abgesucht. Es sind auch keine Statischen Routen von mir gesetzt.

     

    2020:03:11-18:41:21 fw03-og pluto[2182]: "X_Gate-Zaehringer": cannot install eroute -- it is in use for "X_Gate-Zaehringer" #0
    2020:03:11-18:41:21 fw03-og pluto[2182]: added connection description "X_Gate-Zaehringer"
  • 0 in reply to BS Technik

    bei meiner Variante darf das def. Gateway an der Branch-SG nicht gesetzt sein.

    2 Routen zum Ziel 0.0.0.0 sind halt problematisch.

    Daher bei mir eine statische Route durch das Internet zum Ziel-SG.

    ... und evtl. noch 2-3 zu NTP-Servern u.ä. ...


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

Unfiltered HTML