Guest User!

You are not Sophos Staff.

Thread Info
  • State Verified Answer
  • Locked Locked
  • Replies 6 replies
  • Subscribers 3 subscribers
  • Views 4222 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Routing über mehrere in Reihe stehende VPN

Apo

Hallo zusammen,

 

ich habe momentan das Problem, dass die UTM meine Routingvorgaben ignoriert, daher würde ich gerne einmal die Frage in die Runde stellen, was ich falsch mache.

 

Netz A: 10.10.10.0/24 hat ein VPN zu Netz B

Netz B: 10.10.21.0/24 hat ein VPN zu Netz C

Netz C: 10.10.30.0/24

 

Was bereits funktioniert ist von Netz B zu Netz A oder C zu sprechen. (und natürlich auch in die Gegenrichtung)

Nun möchte ich aber von Netz A zu Netz C sprechen.

 

Hierfür habe ich dann unter "Interfaces -> Static Routing" folgende neue statische Routen angelegt:

UTM von Netz A: Gateway Route, Network 10.10.30.0, Gateway "UTM von Netz B", Metric 0

UTM von Netz C: Gateway Route, Network 10.10.10.0, Gateway "UTM von Netz B", Metric 0

 

Wenn ich nun aber auf den UTMs von A und C unter Support->Advanced in die Routes Table rein schaue, tauchen dort die Routen nicht auf.

Folglich geht mein tracert auch ins Internet anstatt zu der UTM in der Mitte.

 

Hat jemand eine Ahnung was ich bei diesem äußerst rudimentären Routing doch schaffe falsch zu machen?

 

Danke und viele Grüße,

Apo



This thread was automatically locked due to age.
Parents
  • +1

    Hi Apo,

    Gateway Routen bringen hier nichts. Du musst alle Netze in den Tunnel aufnehmen die über den Tunnel erreicht werden sollen.

    Wenn du von Netz A über B zu Netz C möchtest musst du bei den Remote Netzen für das B Remote Gateway, Netz B und Netz C eintragen. Das gleiche dann auf allen anderen Tunneln abbilden. Nur die IPs die Teil der Tunneldefinition sind werden über den Tunnel geroutet.

    Alternativ kannst du ein SNAT in den Tunnel machen.

    vg

    mod

  • 0 in reply to mod2402

    Hallo mod,

     

    ich dachte mit den Gateway Routen mache ich genau das: Der UTM sagen, dass jeder Traffic für das Netz 10.10.30.0/24 zu dem Gateway 10.10.30.x soll.

    Vielen Dank für den Hinweis, bei den SSL VPNs mache ich es ja genau so, beim Site2Site VPN habe ich einfach nicht daran gedacht.

     

    Es läuft nun, Danke für die Hilfe! :-)

     

    Viele Grüße,

    Apo

  • 0 in reply to Apo

    Hi Apo,

    freut mich das es jetzt läuft. Noch ein kliener Hinweis, SSL VPN über einen IPSEC Tunnel auf einen Remote Standort geht auch nur wenn das SSL VPN Netz in den Tunnel Definitionen drinnen ist. Oder auch hier die Alternative das mit SNAT in den Tunnel natten. Bei IPSEC wird für jede Subnet Kombination eine SA erstellt in der genau definiert ist was da drüber laufen darf.

    vg

    mod

  • 0 in reply to Apo

    Nehmen wir an Du hast am WAN-Interface einer Sophos ein Netz, in dem sich 2 Router befinden, z.B. eine LTE-Fritzbox und eine Cisco ASA, die an einer 2MBit SDSL hängt, und worüber VPN läuft. In dem Fall würdest Du ein Gateway-Routing für das LAN des Remote-VPN Standorts an das Gateway "Cisco ASA" schicken und die LTE-Fritte wäre das Default Gateway.

    Oder Du hast parallel zu einer UTM (Default Gateway) einen weiteren Router im LAN sitzen, dann würdest Du Gateway-Regeln für alle über diesen 2. Router zu erreichenden Netze definieren. Ich meine aber, das wären alles nur "ICMP Redirects", die man über die Gateway-Routen definiert.

    Gruß / Regards,

    Kevin
    Sophos CE/CA (XG+UTM), Gold Partner

  • 0 in reply to kerobra_retired

    "Nehmen wir an Du hast am WAN-Interface einer Sophos ein Netz, in dem sich 2 Router befinden, z.B. eine LTE-Fritzbox und eine Cisco ASA, die an einer 2MBit SDSL hängt, und worüber VPN läuft. In dem Fall würdest Du ein Gateway-Routing für das LAN des Remote-VPN Standorts an das Gateway "Cisco ASA" schicken und die LTE-Fritte wäre das Default Gateway."

    -> Auch in dem Fall muss das Client Netz in den IPSEC VPN Tunnel der ASA aufgenommen werden. Was davor passiert ist normales Routing.

    "Oder Du hast parallel zu einer UTM (Default Gateway) einen weiteren Router im LAN sitzen, dann würdest Du Gateway-Regeln für alle über diesen 2. Router zu erreichenden Netze definieren. Ich meine aber, das wären alles nur "ICMP Redirects", die man über die Gateway-Routen definiert."

    -> Das ist auch normales Routing. "ICMP Redirects" werden nur bei asynchronischem Routing verwendet.

    vg

    mod

     

  • 0 in reply to mod2402

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    Of course, mod's answer is the "right" way to do this with WebAdmin, but it is now possible to employ routing and Multipath rules with IPsec VPNs.  Since 9.1 (I think it was), there's been the option to bind an IPsec Connection to the local interface.

    Sehe, zum Beispiel, Sophos UTM multiple S2S IPsec VPN mit Failover – Tutorial (DE).

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0 in reply to mod2402

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    Of course, mod's answer is the "right" way to do this with WebAdmin, but it is now possible to employ routing and Multipath rules with IPsec VPNs.  Since 9.1 (I think it was), there's been the option to bind an IPsec Connection to the local interface.

    Sehe, zum Beispiel, Sophos UTM multiple S2S IPsec VPN mit Failover – Tutorial (DE).

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
No Data
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?