mc-doubleyou
Goto Top

Externe VPN User durch Tunnel in Zentrale leiten

Hallo Zusammen,

unsere VPN Netz wird immer komplexer, da jedes als eigenes besteht wir aber dennoch die Möglichkeit der Fernwartung brauchen.
Leider will es einfach nicht funktionieren, warum auch immer.
Eingesetzt wird ZyXEL (20,50, 100, 200)


Details:

Zentrale LAN: 10.20.20.0/24
Außenposten LAN: 10.20.30.0/24
Außenposten VLAN: 10.30.30.0/24

Per L2TP wird mittels DHCP eine Adresse aus dem VLAN Pool vergeben und man kann dann durch eine Policy

Incoming: any (Excluding ZyXEL) - Source: VLAN Pool - Destination: any - Next Hop: WAN - SNAT: outgoing-interfcae

per VLAN über den Router des Außenpostens auch von unterwegs surfen. Muss ihn also nicht für SMB Zugriff aktivierund dund dann wirder deaktivieren.


Da in der Zentrale jedoch ein Server mit Software Applikationen steht würde ich gerne mit einer weiteren Policy (welche naturlich vor der oben sein muss) folgendes basiert.

10.30.30.1 will sich auf 10.20.20.253 verbinden

10.30.30.1 (VLAN in den Außenposten) => 10.20.30.254 (Traffic geht durch den Tunnel in die Zentrale) => 10.20.20.254 (und weiter an den Server) => 10.20.20.253

Bisher wird er scheinbar immer auf der WAN Seite ins Internet geschickt und bleibt somir unbeantwortet.

Danke!

LG mcdy

Content-ID: 259618

Url: https://administrator.de/forum/externe-vpn-user-durch-tunnel-in-zentrale-leiten-259618.html

Ausgedruckt am: 22.12.2024 um 17:12 Uhr

Jannis92
Jannis92 12.01.2015 um 21:35:29 Uhr
Goto Top
Sorry, aber deine Beschreibung ist sehr undeutlich geschrieben :x.
Ich kenne mich persönlich auch nicht mit ZyXEl aus... wir bauen über
einen LANCOM / UTM eine Site to Site Verbindung auf.

Verständnis:
1) mit Policy meinst du Firewall-Regel oder?
2) Wenn ich 1 richtig verstanden habe, ist die Regel dann in "ZyXEL" konfiguriert? Und existiert noch eine weitere Firewall?
3) GIbt es eine Regel welche es den Clients aus dem VPN-Pool erlaubt, auf den Application-Server/ Terminalserver zuzugreifen?
4) Bzw. wie soll auf den Server zugegriffen werden (RDP)?
Dani
Dani 12.01.2015 um 23:11:16 Uhr
Goto Top
Moin,
ich weiß was du vor hast, kann aber deiner Beschreibung nicht folgen. Gibt es einen groben Netzwerkplan? Das würde die Antwort für dein Problem sehr vereinfachen.

Außenposten LAN: 10.20.30.0/24
Außenposten VLAN: 10.30.30.0/24
Ist das wirklich so oder ein Tippfehler im Subnetz?


Gruß,
Dani
sk
sk 13.01.2015 aktualisiert um 00:17:00 Uhr
Goto Top
Zitat von @mc-doubleyou:
unsere VPN Netz wird immer komplexer, da jedes als eigenes besteht wir aber
dennoch die Möglichkeit der Fernwartung brauchen.

https://www.youtube.com/watch?v=vp9hw9tRSpM
Deshalb hatte ich Dir ja empfohlen, die Mobilclients nur in der Zentrale einwählen zu lassen. L2TP Verbindungsproblem und kein Ping trotz IPSec Tunnel


Zitat von @mc-doubleyou:
Da in der Zentrale jedoch ein Server mit Software Applikationen steht würde ich gerne mit einer weiteren Policy (welche
naturlich vor der oben sein muss) folgendes basiert.

10.30.30.1 will sich auf 10.20.20.253 verbinden

> 10.30.30.1 (VLAN in den Außenposten) => 10.20.30.254 (Traffic geht durch den Tunnel in die Zentrale) =>
10.20.20.254 (und weiter an den Server) => 10.20.20.253

Bisher wird er scheinbar immer auf der WAN Seite ins Internet geschickt und bleibt somir unbeantwortet.

Bedenke, dass es nicht genügt, in der Aussenstelle den Traffic der L2TP-Clients an die Zentrale per Policyroute in den entsprechenden Site-to-Site-Tunnel zu schieben, sondern dass auch in der Zentrale der Traffic zu den L2TP-Clients der Außenstelle wieder per Policyroute in den Tunnel geschoben werden muss. Anderenfalls kommen die Antwortpakete nicht zurück.
Administrativ am einfachsten ist es, an jeder Lokation für jede Verbindung zu einer anderen Lokation jeweils eine Policyroute nach folgendem Schema zu erstellen:

incoming interface=any
Source-Address=any
Destination Address=RemoteNetze_LokationX
Next Hop=der entsprechende VPN-Tunnel

"RemoteNetze_LokationX" ist eine Addressgroup, welche die Adressobjekte aller Netze an der LokationX enthält (also z.B. SUBNET_LAN_X und L2TP-Pool_X)
Kommen irgendwo Netze hinzu, musst Du nur noch das entsprechende Adressobjekt anlegen und der Addressgroup hinzufügen.


Gruß
sk
mc-doubleyou
mc-doubleyou 14.01.2015 um 17:47:45 Uhr
Goto Top
Danke sk,

ich muss mir das noch im Detail ansehen aber es klingt vielversprechend.
Wie immer grandios!

LG mcdy