UTM Standortverbindungen und RED Anbindung

Question

Hallo.

Wir haben zwei Hauptstandorte, die aktuell über ältere (nicht Sophos) VPN Hardware verbunden sind. Um diese Router zu ersetzen, wollen wir die UTM mittels Standortverbindung zusammenschließen und darüber das Routing laufen lassen.

Da jeder der zwei Hauptstandorte RED Verbindungen zu Aussenstellen hat, sieht das Szenario so aus:

RED15(Office1); RED15(Office2); (...) <----> UTM#1 <---IPSEC---> UTM#2 <----> RED15 (Office4); RED15 (Office5); (...)

Die IP Netze auf der Seite der UTM#1 werden gegenüber der UTM#2 veröffentlicht, und umgekehrt. Nur bei den Netzen der RED Standorte gibt es Probleme, die werden in der jeweiligen Übersicht als nicht gemappt angezeigt. Mein Ziel ist es, von Office5 über die UTM#2 die UTM#1 auf das Office1 und zurück zu pingen.

Hat jemand Erfahrung mit so einem Szenario? Geht so etwas überhaupt mit einer IPSec Verbindung oder muss ich in der UTM zu einer SSL-Standortverbindung greifen?

Gruß, Christian

This thread was automatically locked due to age.

kerobra_retired · Accepted Answer

Du musst beim Split-Modus immer festlegen, welche Netze &uuml;ber den RED-Tunnel erreicht werden k&ouml;nnen sollen. 
 Am besten erstellst Du Dir daf&uuml;r auf den beiden UTMs Network Groups, um alle Netze der 2 Hauptstandorte in jeweils eine eigene Gruppe zu fassen. Z.B. "interne Netze Standort1" und interne Netze Standort2". Wenn die RED-Standorte in beide Hauptstandorte sollen f&uuml;gst Du dann in den jeweiligen RED-Konfigurationen beide neuen Network Groups hinzu, zus&auml;tzlich die internen Netze der RED-Standorte, die au&szlig;erdem von diesem RED-Standort aus erreicht werden k&ouml;nnen sollen. 
 interne Domainnamen sollten auch in die Config (untere Box) oder Du verwendest generell einen internen DNS-Server der Hauptstandorte. 
 Falls Du mal Sophos Accesspoints in den RED-Standorten verwenden willst zus&auml;tzlich noch den Host "1.2.3.4", damit die APs ihre UTM erreichen. Entf&auml;llt nat&uuml;rlich bei Unified-Modus, da dann einfach alles in den Tunnel geschickt wird. 
 Was LANseitig hinter einer RED h&auml;ngt sollte dann aus allen RED- oder Hauptstandorten erreicht werden k&ouml;nnen. Was am WAN-Port h&auml;ngt ist nur aus dem jeweils lokalen RED-Netz erreichbar, das l&auml;sst sich in keinem der 3 Modi von "extern" ansprechen. 
 Was die VLANs betrifft, so lange Du keine VLANs im LAN-Segment der REDs benutzt sollte es keine Probleme geben, willst Du das aber tun bleibt Dir nur der Standard/Unified-Modus f&uuml;r den RED-Tunnel. Was dann aber am WAN-Interface der REDs h&auml;ngt ist dann aber vom LAN-Interface der RED nicht mehr sichtbar, dann wird n&auml;mlich alles getunnelt. 
 Beim Site-to-Site sollte es unabh&auml;ngig ob SSL-VPN oder IPSEC genutzt wird keine Einschr&auml;nkungen geben, ich pers&ouml;nlich mag IPSEC mehr als SSL-VPN, da SSL-VPN auch den SSL-VPN-Pool der Clients mitbenutzt, die UTM1 quasi ein "Client" auf der UTM2 wird. Bei IPSEC richtest Du einfach den "Local RSA key" auf der anderen UTM ein, stellst die "VPN ID type:" auf IP address und das dann in der IPSEC-Config jeweils entsprechend ein. Als "Local networks" richtest Du dann auf jeder der UTMs die Netze ein, die nur auf dieser UTM verwaltet werden, also RED1 (network), RED2 (network), LAN (network), DMZ (network) usw., was eben Deiner Config der Hauptstandorte entspricht.