Guest User!

You are not Sophos Staff.

Thread Info
  • State Verified Answer
  • Locked Locked
  • Replies 10 replies
  • Subscribers 3 subscribers
  • Views 15758 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UTM Standortverbindungen und RED Anbindung

cwoller

Hallo.

Wir haben zwei Hauptstandorte, die aktuell über ältere (nicht Sophos) VPN Hardware verbunden sind. Um diese Router zu ersetzen, wollen wir die UTM mittels Standortverbindung zusammenschließen und darüber das Routing laufen lassen.

Da jeder der zwei Hauptstandorte RED Verbindungen zu Aussenstellen hat, sieht das Szenario so aus:

RED15(Office1); RED15(Office2); (...)  <----> UTM#1 <---IPSEC---> UTM#2 <----> RED15 (Office4); RED15 (Office5); (...)

Die IP Netze auf der Seite der UTM#1 werden gegenüber der UTM#2 veröffentlicht, und umgekehrt. Nur bei den Netzen der RED Standorte gibt es Probleme, die werden in der jeweiligen Übersicht als nicht gemappt angezeigt. Mein Ziel ist es, von Office5 über die UTM#2 die UTM#1 auf das Office1 und zurück zu pingen.

Hat jemand Erfahrung mit so einem Szenario? Geht so etwas überhaupt mit einer IPSec Verbindung oder muss ich in der UTM zu einer SSL-Standortverbindung greifen?

Gruß, Christian



This thread was automatically locked due to age.
Parents
  • 0

    Du musst in dem Fall alle Zielnetze in die jeweiligen RED-Tunnel packen. OFFICE1 braucht also die lokalen Netze OFFICE2-x im RED Tunnel (falls Split-Config).

    Ansonsten (Unified) müssen die RED-Netze natürlich im IPsec Tunnel enthalten sein, UTM1 muss also OFFICE4+5 zusätzlich zum LAN UTM2 mit in den Tunnel schicken, UTM2 OFFICE1+2

    Gruß / Regards,

    Kevin
    Sophos CE/CA (XG+UTM), Gold Partner

  • 0 in reply to kerobra_retired

    Zwischenzeitlich habe ich mir die Standortverbindung über SSL angesehen. Hier gibt es aber das Problem, dass an unseren Hauptstandorten VLANs existieren, z.B. eins für Clients:

    RED <--> (UTM <-> VL1,VL2,...)

    Diese sollen auch auf einen Server am RED Standort zugreifen. Da die REDs als Transparent/Getrennt laufen (sollen) und den Netzwerkverkehr vor Ort nicht beeinflussen dürfen, kommt es erst einmal zu Problemen. Gibt es bei IPsec diese Einschränkung mit den VLANs hinter der UTM auch?

    Gruß, Christian

  • +1 in reply to cwoller

    Du musst beim Split-Modus immer festlegen, welche Netze über den RED-Tunnel erreicht werden können sollen.

    Am besten erstellst Du Dir dafür auf den beiden UTMs Network Groups, um alle Netze der 2 Hauptstandorte in jeweils eine eigene Gruppe zu fassen. Z.B. "interne Netze Standort1" und interne Netze Standort2". Wenn die RED-Standorte in beide Hauptstandorte sollen fügst Du dann in den jeweiligen RED-Konfigurationen beide neuen Network Groups hinzu, zusätzlich die internen Netze der RED-Standorte, die außerdem von diesem RED-Standort aus erreicht werden können sollen.

    interne Domainnamen sollten auch in die Config (untere Box) oder Du verwendest generell einen internen DNS-Server der Hauptstandorte.

    Falls Du mal Sophos Accesspoints in den RED-Standorten verwenden willst zusätzlich noch den Host "1.2.3.4", damit die APs ihre UTM erreichen. Entfällt natürlich bei Unified-Modus, da dann einfach alles in den Tunnel geschickt wird.

    Was LANseitig hinter einer RED hängt sollte dann aus allen RED- oder Hauptstandorten erreicht werden können. Was am WAN-Port hängt ist nur aus dem jeweils lokalen RED-Netz erreichbar, das lässt sich in keinem der 3 Modi von "extern" ansprechen.

    Was die VLANs betrifft, so lange Du keine VLANs im LAN-Segment der REDs benutzt sollte es keine Probleme geben, willst Du das aber tun bleibt Dir nur der Standard/Unified-Modus für den RED-Tunnel. Was dann aber am WAN-Interface der REDs hängt ist dann aber vom LAN-Interface der RED nicht mehr sichtbar, dann wird nämlich alles getunnelt.

    Beim Site-to-Site sollte es unabhängig ob SSL-VPN oder IPSEC genutzt wird keine Einschränkungen geben, ich persönlich mag IPSEC mehr als SSL-VPN, da SSL-VPN auch den SSL-VPN-Pool der Clients mitbenutzt, die UTM1 quasi ein "Client" auf der UTM2 wird. Bei IPSEC richtest Du einfach den "Local RSA key" auf der anderen UTM ein, stellst die "VPN ID type:" auf IP address und das dann in der IPSEC-Config jeweils entsprechend ein.
    Als "Local networks" richtest Du dann auf jeder der UTMs die Netze ein, die nur auf dieser UTM verwaltet werden, also RED1 (network), RED2 (network), LAN (network), DMZ (network) usw., was eben Deiner Config der Hauptstandorte entspricht.

    Gruß / Regards,

    Kevin
    Sophos CE/CA (XG+UTM), Gold Partner

  • 0 in reply to kerobra_retired

    Klasse, danke :-)

     

    Gruß, Christian

Reply Children
No Data
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?