UTM Standortverbindungen und RED Anbindung

Du musst in dem Fall alle Zielnetze in die jeweiligen RED-Tunnel packen. OFFICE1 braucht also die lokalen Netze OFFICE2-x im RED Tunnel (falls Split-Config).

Ansonsten (Unified) müssen die RED-Netze natürlich im IPsec Tunnel enthalten sein, UTM1 muss also OFFICE4+5 zusätzlich zum LAN UTM2 mit in den Tunnel schicken, UTM2 OFFICE1+2

Zwischenzeitlich habe ich mir die Standortverbindung über SSL angesehen. Hier gibt es aber das Problem, dass an unseren Hauptstandorten VLANs existieren, z.B. eins für Clients:

RED <--> (UTM <-> VL1,VL2,...)

Diese sollen auch auf einen Server am RED Standort zugreifen. Da die REDs als Transparent/Getrennt laufen (sollen) und den Netzwerkverkehr vor Ort nicht beeinflussen dürfen, kommt es erst einmal zu Problemen. Gibt es bei IPsec diese Einschränkung mit den VLANs hinter der UTM auch?

Gruß, Christian

Du musst beim Split-Modus immer festlegen, welche Netze über den RED-Tunnel erreicht werden können sollen.

Am besten erstellst Du Dir dafür auf den beiden UTMs Network Groups, um alle Netze der 2 Hauptstandorte in jeweils eine eigene Gruppe zu fassen. Z.B. "interne Netze Standort1" und interne Netze Standort2". Wenn die RED-Standorte in beide Hauptstandorte sollen fügst Du dann in den jeweiligen RED-Konfigurationen beide neuen Network Groups hinzu, zusätzlich die internen Netze der RED-Standorte, die außerdem von diesem RED-Standort aus erreicht werden können sollen.

interne Domainnamen sollten auch in die Config (untere Box) oder Du verwendest generell einen internen DNS-Server der Hauptstandorte.

Falls Du mal Sophos Accesspoints in den RED-Standorten verwenden willst zusätzlich noch den Host "1.2.3.4", damit die APs ihre UTM erreichen. Entfällt natürlich bei Unified-Modus, da dann einfach alles in den Tunnel geschickt wird.

Was LANseitig hinter einer RED hängt sollte dann aus allen RED- oder Hauptstandorten erreicht werden können. Was am WAN-Port hängt ist nur aus dem jeweils lokalen RED-Netz erreichbar, das lässt sich in keinem der 3 Modi von "extern" ansprechen.

Was die VLANs betrifft, so lange Du keine VLANs im LAN-Segment der REDs benutzt sollte es keine Probleme geben, willst Du das aber tun bleibt Dir nur der Standard/Unified-Modus für den RED-Tunnel. Was dann aber am WAN-Interface der REDs hängt ist dann aber vom LAN-Interface der RED nicht mehr sichtbar, dann wird nämlich alles getunnelt.

Beim Site-to-Site sollte es unabhängig ob SSL-VPN oder IPSEC genutzt wird keine Einschränkungen geben, ich persönlich mag IPSEC mehr als SSL-VPN, da SSL-VPN auch den SSL-VPN-Pool der Clients mitbenutzt, die UTM1 quasi ein "Client" auf der UTM2 wird. Bei IPSEC richtest Du einfach den "Local RSA key" auf der anderen UTM ein, stellst die "VPN ID type:" auf IP address und das dann in der IPSEC-Config jeweils entsprechend ein.
Als "Local networks" richtest Du dann auf jeder der UTMs die Netze ein, die nur auf dieser UTM verwaltet werden, also RED1 (network), RED2 (network), LAN (network), DMZ (network) usw., was eben Deiner Config der Hauptstandorte entspricht.

Klasse, danke :-)

Gruß, Christian

Hallo Kevin.

Das lässt mir keine Ruhe... habe es nach deinen Vorgaben mit IPsec versucht und es funktioniert wunderbar :-)

Nur kann ich keine Network-Groups hinzufügen - aber wenn ich die Netzwerk-Objekte einzeln für lokal und entfernte Standorte in den IPsec-Konfigurationen hinzufüge klappt es.

Frage zu der RED - ich komme von einem RED Standort auf alle anderen Standorte, auch wenn diese in der jeweiligen RED-Konfiguration nicht explizit unter "Netzwerke aufteilen" benannt sind... ich war davon ausgegangen, dass man jedem RED Objekt mitteilen muss, welches die entfernten Standortnetze sind sodass die RED auch darauf zugreifen darf. Hab ich da ein Denkfehler?

Gruß und frohe Ostern,

Christian

OK, kann sein, dass an der Stelle keine Gruppen erlaubt sind, es wird ja auch für jeden 'Netzwerkeintrag' eine eigene SA erstellt beim VPN.

Bei den REDs müsste es eigentlich so sein, dass sie nur den Traffic zu explizit benannten Netzen erlauben, wenn sie in der Tunnelconfig stehen. Ist diese eine RED, die überall hin darf eventuell im Unified Modus?

Hallo Kevin.

Alle REDs laufen im Transparent/Split Modus, da jeder Standort über eigene DHCP-Server verfügt. Über Routen am RED Standort lassen wir dann den Traffic über die RED zur UTM bzw. zu anderen RED Standorten.

Die RED spielt mit und leitet das auf die UTM. Wie gesagt, die RED-Objekte in der UTM wissen nichts von anderen Netzen. Es scheint so, als leiten sie im Transparent/Split alles weiter, was man ihnen gibt.

Gruß, Christian

DHCP hat mit dem Modus nichts zu tun.

Setzt ihr eventuell irgendwelche statischen Routen an den Geräten hinter den REDs ein, die andere RED-Netze an die UTMs routen?

Im Split Modus leitet die RED normalerweise alles am Tunnel vorbei, außer Ziele/Netze, die explizit getunnelt werden (z.B. das UTM-LAN). Oder testest Du z.B. Ping direkt vom RED-Interface? Das ist logisch auf der UTM verankert und kennt damit alles, was die UTM kennt. Du musst wenn schon von einem Client aus dem RED Netz ein Gerät in einem fremden RED-Netz pingen, um sicher zu gehen.

Ich hatte das laut UTM-Hilfe so verstanden, dass die RED im Standard-Modus die Verwaltung des lokalen Netzes (aus Sicht der UTM: das entfernte Netz) kontrolliert und auch einen DHCP für dieses bereit stellt. Genau das wollten wir nicht, deshalb haben wir uns für 

Mein Szenario sieht wie folgt aus:

Win2008 ->(Switch-mit-Routen-zum-VLAN-hinter-der-UTM) -> RED -> (RED-Tunnel) -> UTM -> VLAN-enabled-Switch -> Win2012

Ein Ping vom Win2008 auf eine Win2012 Maschine im VLAN hinter der UTM klappt.

Ein Traceroute zeigt, dass ich über die UTM gehe. Wie gesagt ist die RED als Transparent/Getrennt konfiguriert und weißt nichts von anderen Netzen auf der UTM.

Aber ich glaube, ich habe Dich verstanden:

Wenn die RED den Netzverkehr am Remote-Standort kontrollieren (soll), leitet sie nur das weiter, was ich in der RED-Konfiguration angegeben habe. Da ich aber selbst das Routing über einen Switch am RED-Standort übernehme, benötigt die RED keine Informationen über entfernte Standorte.

Ich hatte das laut UTM-Hilfe so verstanden, dass die RED im Standard-Modus die Verwaltung des lokalen Netzes (aus Sicht der UTM: das entfernte Netz) kontrolliert und auch einen DHCP für dieses bereit stellt. Genau das wollten wir nicht, deshalb haben wir uns für 

Mein Szenario sieht wie folgt aus:

Win2008 ->(Switch-mit-Routen-zum-VLAN-hinter-der-UTM) -> RED -> (RED-Tunnel) -> UTM -> VLAN-enabled-Switch -> Win2012

Ein Ping vom Win2008 auf eine Win2012 Maschine im VLAN hinter der UTM klappt.

Ein Traceroute zeigt, dass ich über die UTM gehe. Wie gesagt ist die RED als Transparent/Getrennt konfiguriert und weißt nichts von anderen Netzen auf der UTM.

Aber ich glaube, ich habe Dich verstanden:

Wenn die RED den Netzverkehr am Remote-Standort kontrollieren (soll), leitet sie nur das weiter, was ich in der RED-Konfiguration angegeben habe. Da ich aber selbst das Routing über einen Switch am RED-Standort übernehme, benötigt die RED keine Informationen über entfernte Standorte.