2
IPSec VPN site to site, Zugriff auf Internet über VPN
Hallo,
folgendes Szenario:
Am Standort A steht eine pfSense mit mehreren Subnetzwerken. Die pfSense ist mittels IPSec IKEv2 mit einer Sophos Firewall am Standort B site-to-site verbunden.
Nun möchte ich den Internetzugriff eines Subnetzwerkes von Standort A über den VPN routen, so dass der Internetzugriff über den Standort B läuft.
Entsprechend habe ich die Phase 2 Einträge so angelegt, dass das lokale Subnetzwerk der pfSense mit 0.0.0.0/0(remote) der Sophos geschaltet wird.
Es wird anschließend aber (wie man erwarten kann), der sämtliche Netzwerkverkehr des entsprechenden Subnetzwerkes vom Standort A zu Standort B geroutet, wobei hierbei Geräte aus dem Subnetzwerk nicht mehr andere Subnetzwerke der pfSense erreichen können.
Wie kann ich es so einrichten, dass das Subnetzwerk, welches sämtlichen Internetverkehr über den VPN geroutet bekommen soll, weiterhin noch Zugriff auf die bestehenden Subnetzwerke der pfSense hat? Die Möglichkeit, bestimmte Subnetzwerke aus der Phase 2 Verbindung auszuschließen, besteht ja leider nicht.
Danke
folgendes Szenario:
Am Standort A steht eine pfSense mit mehreren Subnetzwerken. Die pfSense ist mittels IPSec IKEv2 mit einer Sophos Firewall am Standort B site-to-site verbunden.
Nun möchte ich den Internetzugriff eines Subnetzwerkes von Standort A über den VPN routen, so dass der Internetzugriff über den Standort B läuft.
Entsprechend habe ich die Phase 2 Einträge so angelegt, dass das lokale Subnetzwerk der pfSense mit 0.0.0.0/0(remote) der Sophos geschaltet wird.
Es wird anschließend aber (wie man erwarten kann), der sämtliche Netzwerkverkehr des entsprechenden Subnetzwerkes vom Standort A zu Standort B geroutet, wobei hierbei Geräte aus dem Subnetzwerk nicht mehr andere Subnetzwerke der pfSense erreichen können.
Wie kann ich es so einrichten, dass das Subnetzwerk, welches sämtlichen Internetverkehr über den VPN geroutet bekommen soll, weiterhin noch Zugriff auf die bestehenden Subnetzwerke der pfSense hat? Die Möglichkeit, bestimmte Subnetzwerke aus der Phase 2 Verbindung auszuschließen, besteht ja leider nicht.
Danke
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 91498783618
Url: https://administrator.de/contentid/91498783618
Printed on: April 27, 2024 at 22:04 o'clock
2 Comments
Latest comment
Moin.
Gruß sid.
Die Möglichkeit, bestimmte Subnetzwerke aus der Phase 2 Verbindung auszuschließen, besteht ja leider nicht.
Doch. Bypass Rules für weitere lokale Ziele werden unter Advanced Settings angelegt, diese werden vom IPSec-Traffic ausgenommen und lokal geroutet.Gruß sid.
2
Zitat von @7907292512:
Moin.
Gruß sid.
Moin.
Die Möglichkeit, bestimmte Subnetzwerke aus der Phase 2 Verbindung auszuschließen, besteht ja leider nicht.
Doch. Bypass Rules für weitere lokale Ziele werden unter Advanced Settings angelegt, diese werden vom IPSec-Traffic ausgenommen und lokal geroutet.Gruß sid.
Danke, die Option ist mir selber noch nicht aufgefallen, ist aber genau das was ich suche.
