Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 2872 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSH-Verbindungen über IPsec-Tunnel nach außen leiten

andreas21
Hallo zusammen, 

ich habe 2 Astaros, beide mit Version 8.310.

Astaro1 befindet sich hinter einer Fritzbox an einem DSL-Anschluss mit dynamischer IP.
Astaro2 befindet sich an einem anderen Standort mit externer statischer IP. 

Astaro1, internes Interface: 192.168.1.254
Astaro1, externes Interface: 192.168.2.254

Astaro2, internes Interface: 10.10.9.254
Astaro2, externes Interface: 62.xx.xx.254

Die Astaro1 ist mit der Astaro2 per IPsec Site-to-Site-VPN verbunden.

Nun möchte ich alle ausgehenden SSH-Verbindungen aus dem Netz 192.168.1.0/24 über den IPsec-Tunnel zur Astaro2 senden, sodass der Traffic beim "Zielserver" mit der statischen IP, und nicht mit der dynamischen DSL-IP ankommt.

Dazu habe ich in der Astaro1 eine SNAT Regel konfiguriert: 

Datenverkehrsquelle: Internal (Network)
Datenverkehrsdienst: SSH
Datenverkehrsziel: Any
NAT-Modus: SNAT (Quelle)
Quelle: 10.10.9.254
Automatische Firewallregel: JA

In der Astaro2 habe ich eine Maskierungs-NAT-Regel: 

Netzwerk: Internal (Network)
Schnittstelle: WAN
Benutze Adresse: >

Jedoch bekomme ich überhaupt keine SSH-Verbindung mehr nach außen, sobald ich die SNAT-Regel auf der Astaro1 aktiviere. 

Kann mir jemand weiterhelfen, was ich hier falsch mache? 

Vielen Dank im Voraus. 

Viele Grüße
Andreas S.


This thread was automatically locked due to age.
  • 0
    Hi,
    ich habs nicht ausprobiert, aber kannst du das nicht einfacher lösen, indem man eine multipath rule erstellt?
    Also internal -> ssh -> any -> Astaro 2

    sollte doch so laufen, wenn ich mich nicht täusche.

    Gegenfrage: warum bist du noch auf 8.3?

    Gruß
  • 0
    Eine Policy Route hab ich auch schon vergeblich getestet. 

    Die beiden Astaros laufen unter Proxmox / KVM Virtualisierung.

    Die Version 9 kann ich zwar problemlos installieren, jedoch bootet diese dann nicht. Deshalb bin ich noch auf 8.3.
  • 0 in reply to andreas21
    Hi,
    ich meine keine Policy route, sondern multipath.
    Das findest du unter "Interfaces & Routing" -> "Interfaces" -> "Multipath rules" und dort kannst du die erstellen.

    hab grad mal eine V8 rausgekramt, Screenshot anbei.

    Ich bin mir zwar nicht sicher ob das so klappt, aber bei der v9 habe ich das zumindest so gelöst. Nur wird der Traffic da auf ein Interface und keinen Host gebunden.
    Ein Versuch kann aber sicherlich nicht schaden ;-)

    Gruß


    *Nostalgie Modus on*
    ... wie ich diese v8 vermisse, da war die Oberfläche noch schön und übersichtlich ...
    *Nostalgie Modus off*
  • 0
    Hi, 

    vielen Dank, jedoch versteh ich nicht, wie ich das einstellen muss. 

    Quelle: LAN (Network)
    Dienst: SSH
    Ziel: Any

    Aber was gebe ich bei Schnittst.-Bindung an, und woher soll der dann wissen, dass ich möchte, dass die Verbindung über 10.10.9.254 nach außen geht? Dafür sehe ich auch keine Einstellungsmöglichkeit.
  • 0
    Da hast du recht, hab ich irgendwie übersehen.

    Also wir haben für so einen ähnlichen Fall VLAN-Interfaces über den IPSEC Tunnel eingerichtet
    das wird jetzt aber extrem kompliziert.
    Das VLAN Interface wird als "normales" Interface angezeigt und das wirderum kannst du dann in die Multipath Regel einfügen (dafür musst du das aber als default GW einbinden)
    Bevor ich jetzt aber weiterschreibe, lass mich erst noch etwas anderes testen. oder vielleicht hat ja noch jemand die zündente Idee.

    Wenn du da mit den VLANs machst, musst du jede Menge Regeln erstellen, die sämtlichen Traffic in deinen Netzen kontrollieren. Sonst hast du ein komplettes durcheinander.
    und den ganzen Spaß darfst du dann natürlich auf der zweiten ASG auch machen :-)

    ich melde mich wieder.

    Gruß
  • 0 in reply to Webmaschder
    So, ich konnte mittlerweile doch die beiden VMs auf Version 9.105-9 umstellen. [:)]

    Mein ursprüngliches Problem ist aber noch nicht gelöst. 

    Spielt es eine Rolle, ob man beim IPsec-Tunnel die Option "Striktes Routing" aktiviert oder deaktiviert hat?

    Und kann es vllt. sein, dass die SNAT Regel auf der Astaro1 nicht ausreicht und ich evtl. auch auf der Astaro2 noch eine NAT Regel benötige?
  • 0
    Sorry for English, mein Deutsch ist nicht so gut...
    Can't you create a Full NAT rule on the Astaro2

    source Astaro1 (Network) Service: SSH Destination: Astaro2 (External Address)
    Change destination to: SSH-server to reach
    Change source to: Astaro2 (External Address)

    Of course this would only work if you only need to reach 1 specific SSH host...

    Managing several Sophos UTMs and Sophos XGs both at work and at some home locations, dedicated to continuously improve IT-security and feeling well helping others with their IT-security challenges.

    Sometimes I post some useful tips on my blog, see blog.pijnappels.eu/category/sophos/ for Sophos related posts.

Cookie Information Banner