Remote SSL VPN Verbindung - Traffic über die FW Routen

Geht.

Dazu einfach das "Any" Objekt in die Liste der Remote Netze ziehen.

Allerdings brauchst Du u.U. dann noch eine lokale Firewall auf dem Notebook, die sämtliche anderen Verbindungen vom Notebook nach außen unterbindet, denn dieses "Umleiten" greift nur, wenn der Tunnel aktiv ist.

LG
Christian

Hallo,

danke für die Antwort.

Verstehe ich das richtig:

Wenn ich bei Remote Netzen "any" ergänze - dann geht der gesamte Traffic vom laptop über die FW?

Danke

FEO

Hallo FEO,

in der Hilfe zum SSL-VPN steht folgendes:

On the Remote Access >> SSL >> Global tab you can configure the basic settings for the VPN access. By default, the SSLSecure Sockets Layer VPNVirtual Private Network solution of Astaro Security Gateway  employs so-called split tunneling, that is, the process of allowing a remote VPN user to access a public network, for example, the Internet, at the same time that the user is allowed to access resources on the VPN. However, split tunneling can be bypassed if you select Any in the Local Networks field below. Thus, all traffic will be routed through the VPN SSL tunnel. Whether users are allowed to access a public network then depends on your packet filter configuration.

Hoffe ich konnte Dir helfen [:)]

Holger

@FEO:

Genau.

Was technisch dabei passiert ist nämlich, dass für alle Netze, die in "Local Networks" (mein Fehler, sorry, hatte nich auf die GUI geschaut) stehen, eine Route auf dem Client angelegt wird.

Wenn Du hier das Any Objekt, dass ja die IP Adresse 0.0.0.0 hat mit in diese Liste hinzufügst, so wird auf dem Client eine Route angelegt, die 0.0.0.0 über den SSL VPN Tunnel routet und damit sämtlichen nicht explizit über eine statische Route anders definierten Traffic Deines Notebooks durch den Tunnel schiebt.

Wenn Du Dir das Logfile am Ende des Tunnelaufbaus mal anschaust, wird das auch schön deutlich.

LG
Christian

ok - wenn ich an der o.g. Stelle "any" als Netzwerk eintrage - habe ich gar keine I-Net Verbindung mehr [:S]

Muss ich evtl. unter "advanced" noch einen DNS, sprich die FW, eintragen?

Das verpeile ich jedes Mal. Ja, solltest Du. Dann mal mit Sachen wie 
"ping 8.8.8.8" und "ping heise.de" testen.

Und natürlich Masquerading und Paketfilterregeln für das Remote Netz nicht vergessen...

Ich habe ein Gesamtnetz mit insgesamt zwei ASG. Es gibt ein IntrAnet, ein DMZ und eben das Internet. Auf der ASG die das Internet zum DMZ trennt habe ich einen Fernzugriff via Ipsec konfiguriert. Ich komme nun zwar problemlos ins DMZ über diese IPsec-Verbindung, doch kann ich den Port der zweite ASG welche das DMZ zum IntrAnet trennt, nicht erreichen und somit ist auch ein "Sprung" ins IntrAnet über diesen Fernzugang nicht möglich. Wenn ich aber statt dem IPsec-Adresspool dem Client für den Fernzugriff eine statische IP aus dem DMZ-Netz zuweise, dann kann ich zwar plötzlich das IntrAnet -also die zweite ASG- erreichen, doch das DMZ selbst nicht mehr und das obwohl der Client nun ja eine IP-Adresse aus dem DMZ-Bereich besitzt. Was muss ich tun, um über Fernzugriff sowohl das DMZ hinter der ersten ASG, als auch das IntrAnet hinter der zweiten ASG erreichen zu können? Spielt vielleicht irgendwas mit NAT eine Rolle oder sollte ich dem Fernzugriffsclient eine völlig "neue" IP-Adresse zuweisen und die Regeln entsprechend konfigurieren....obwohl es ja mit dem IPsec-Adresspool auch nicht funktioniert??? Danke im Voraus!!! [8-)]