Externe VPN User durch Tunnel in Zentrale leiten
Hallo Zusammen,
unsere VPN Netz wird immer komplexer, da jedes als eigenes besteht wir aber dennoch die Möglichkeit der Fernwartung brauchen.
Leider will es einfach nicht funktionieren, warum auch immer.
Eingesetzt wird ZyXEL (20,50, 100, 200)
Per L2TP wird mittels DHCP eine Adresse aus dem VLAN Pool vergeben und man kann dann durch eine Policy
per VLAN über den Router des Außenpostens auch von unterwegs surfen. Muss ihn also nicht für SMB Zugriff aktivierund dund dann wirder deaktivieren.
Da in der Zentrale jedoch ein Server mit Software Applikationen steht würde ich gerne mit einer weiteren Policy (welche naturlich vor der oben sein muss) folgendes basiert.
10.30.30.1 will sich auf 10.20.20.253 verbinden
Bisher wird er scheinbar immer auf der WAN Seite ins Internet geschickt und bleibt somir unbeantwortet.
Danke!
LG mcdy
unsere VPN Netz wird immer komplexer, da jedes als eigenes besteht wir aber dennoch die Möglichkeit der Fernwartung brauchen.
Leider will es einfach nicht funktionieren, warum auch immer.
Eingesetzt wird ZyXEL (20,50, 100, 200)
Details:
Zentrale LAN: 10.20.20.0/24
Außenposten LAN: 10.20.30.0/24
Außenposten VLAN: 10.30.30.0/24
Zentrale LAN: 10.20.20.0/24
Außenposten LAN: 10.20.30.0/24
Außenposten VLAN: 10.30.30.0/24
Per L2TP wird mittels DHCP eine Adresse aus dem VLAN Pool vergeben und man kann dann durch eine Policy
Incoming: any (Excluding ZyXEL) - Source: VLAN Pool - Destination: any - Next Hop: WAN - SNAT: outgoing-interfcae
per VLAN über den Router des Außenpostens auch von unterwegs surfen. Muss ihn also nicht für SMB Zugriff aktivierund dund dann wirder deaktivieren.
Da in der Zentrale jedoch ein Server mit Software Applikationen steht würde ich gerne mit einer weiteren Policy (welche naturlich vor der oben sein muss) folgendes basiert.
10.30.30.1 will sich auf 10.20.20.253 verbinden
10.30.30.1 (VLAN in den Außenposten) => 10.20.30.254 (Traffic geht durch den Tunnel in die Zentrale) => 10.20.20.254 (und weiter an den Server) => 10.20.20.253
Bisher wird er scheinbar immer auf der WAN Seite ins Internet geschickt und bleibt somir unbeantwortet.
Danke!
LG mcdy
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 259618
Url: https://administrator.de/forum/externe-vpn-user-durch-tunnel-in-zentrale-leiten-259618.html
Ausgedruckt am: 22.12.2024 um 17:12 Uhr
4 Kommentare
Neuester Kommentar
Sorry, aber deine Beschreibung ist sehr undeutlich geschrieben :x.
Ich kenne mich persönlich auch nicht mit ZyXEl aus... wir bauen über
einen LANCOM / UTM eine Site to Site Verbindung auf.
Verständnis:
1) mit Policy meinst du Firewall-Regel oder?
2) Wenn ich 1 richtig verstanden habe, ist die Regel dann in "ZyXEL" konfiguriert? Und existiert noch eine weitere Firewall?
3) GIbt es eine Regel welche es den Clients aus dem VPN-Pool erlaubt, auf den Application-Server/ Terminalserver zuzugreifen?
4) Bzw. wie soll auf den Server zugegriffen werden (RDP)?
Ich kenne mich persönlich auch nicht mit ZyXEl aus... wir bauen über
einen LANCOM / UTM eine Site to Site Verbindung auf.
Verständnis:
1) mit Policy meinst du Firewall-Regel oder?
2) Wenn ich 1 richtig verstanden habe, ist die Regel dann in "ZyXEL" konfiguriert? Und existiert noch eine weitere Firewall?
3) GIbt es eine Regel welche es den Clients aus dem VPN-Pool erlaubt, auf den Application-Server/ Terminalserver zuzugreifen?
4) Bzw. wie soll auf den Server zugegriffen werden (RDP)?
Zitat von @mc-doubleyou:
unsere VPN Netz wird immer komplexer, da jedes als eigenes besteht wir aber
dennoch die Möglichkeit der Fernwartung brauchen.
unsere VPN Netz wird immer komplexer, da jedes als eigenes besteht wir aber
dennoch die Möglichkeit der Fernwartung brauchen.
https://www.youtube.com/watch?v=vp9hw9tRSpM
Deshalb hatte ich Dir ja empfohlen, die Mobilclients nur in der Zentrale einwählen zu lassen. L2TP Verbindungsproblem und kein Ping trotz IPSec Tunnel
Zitat von @mc-doubleyou:
Da in der Zentrale jedoch ein Server mit Software Applikationen steht würde ich gerne mit einer weiteren Policy (welche
naturlich vor der oben sein muss) folgendes basiert.
10.30.30.1 will sich auf 10.20.20.253 verbinden
> 10.30.30.1 (VLAN in den Außenposten) => 10.20.30.254 (Traffic geht durch den Tunnel in die Zentrale) =>
10.20.20.254 (und weiter an den Server) => 10.20.20.253
Bisher wird er scheinbar immer auf der WAN Seite ins Internet geschickt und bleibt somir unbeantwortet.
Da in der Zentrale jedoch ein Server mit Software Applikationen steht würde ich gerne mit einer weiteren Policy (welche
naturlich vor der oben sein muss) folgendes basiert.
10.30.30.1 will sich auf 10.20.20.253 verbinden
> 10.30.30.1 (VLAN in den Außenposten) => 10.20.30.254 (Traffic geht durch den Tunnel in die Zentrale) =>
10.20.20.254 (und weiter an den Server) => 10.20.20.253
Bisher wird er scheinbar immer auf der WAN Seite ins Internet geschickt und bleibt somir unbeantwortet.
Bedenke, dass es nicht genügt, in der Aussenstelle den Traffic der L2TP-Clients an die Zentrale per Policyroute in den entsprechenden Site-to-Site-Tunnel zu schieben, sondern dass auch in der Zentrale der Traffic zu den L2TP-Clients der Außenstelle wieder per Policyroute in den Tunnel geschoben werden muss. Anderenfalls kommen die Antwortpakete nicht zurück.
Administrativ am einfachsten ist es, an jeder Lokation für jede Verbindung zu einer anderen Lokation jeweils eine Policyroute nach folgendem Schema zu erstellen:
incoming interface=any
Source-Address=any
Destination Address=RemoteNetze_LokationX
Next Hop=der entsprechende VPN-Tunnel
"RemoteNetze_LokationX" ist eine Addressgroup, welche die Adressobjekte aller Netze an der LokationX enthält (also z.B. SUBNET_LAN_X und L2TP-Pool_X)
Kommen irgendwo Netze hinzu, musst Du nur noch das entsprechende Adressobjekt anlegen und der Addressgroup hinzufügen.
Gruß
sk