Routing: Multi Gateway to Gateway VPN
... bin mir gerade etwas unsicher und will mich nochmal absichern.
Es soll folgendes Szenario aufgebaut werden, hier ein beispiel Ausschnitt:
1: Hierbei entsteht natürlich ein gewolltes Routing von von LAN-0 zu (LAN-1, LAN-2, LAN-3)
2. Was nun aber nun keinesfalls möglich sein darf ist ein Routig der LAN Netze 1-3 untereinander (d.h. das LAN-1 Zugriff auf LAN-2 erhält, usw.), die LAN Netze 1-3 müssen untereinander strickt getrennt bleiben. Zum Einsatz soll evtl. ein CISCO RV180 kommen.
Frage: Was machen Consumer oder SMB Router in der Regel per default, routen sie die WAN-VPN-Tunnel untereinander? Die Funktion, wie beim W-LAN üblich, "Client Security Separation" kenne ich hier nicht.
Ich hoffe es ist soweit alles verständlich... vielen Dank schon mal für euer Mithilfe...
Es soll folgendes Szenario aufgebaut werden, hier ein beispiel Ausschnitt:
LAN-0: 192.168.1.0/24
|
|
|
---------------------------------- IPSec VPN Gateways ----------------------------------
| | |
| | |
| | |
LAN-1:192.168.2.0/24 LAN-2: 192.168.3.0/24 LAN-3: 192.168.4.0/24
2. Was nun aber nun keinesfalls möglich sein darf ist ein Routig der LAN Netze 1-3 untereinander (d.h. das LAN-1 Zugriff auf LAN-2 erhält, usw.), die LAN Netze 1-3 müssen untereinander strickt getrennt bleiben. Zum Einsatz soll evtl. ein CISCO RV180 kommen.
Frage: Was machen Consumer oder SMB Router in der Regel per default, routen sie die WAN-VPN-Tunnel untereinander? Die Funktion, wie beim W-LAN üblich, "Client Security Separation" kenne ich hier nicht.
Ich hoffe es ist soweit alles verständlich... vielen Dank schon mal für euer Mithilfe...
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 231474
Url: https://administrator.de/forum/routing-multi-gateway-to-gateway-vpn-231474.html
Ausgedruckt am: 22.12.2024 um 06:12 Uhr
20 Kommentare
Neuester Kommentar
Routing ist eine Sache - Accesslisten eine andere. Selbstverständlich kennt der zentrale Router dann alle Netze und könnte zwischen diesen routen. Allerdings kann man auf einer Firewall normalerweise auch die Tunnel per ACL entsprechend beregeln. Ob das bei den Linksys/CSB-Büchsen geht, weiss ich freilich nicht.
Auf der anderen Seite wissen aber die Remotegateways - je nachdem, wie es konfiguriert ist - so ohne weiteres nicht, dass über den zentralen Router weitere VPN-Netze erreichbar wären und routen Traffic an diese Netze gar nicht erst in den Tunnel...
Gruß
sk
Auf der anderen Seite wissen aber die Remotegateways - je nachdem, wie es konfiguriert ist - so ohne weiteres nicht, dass über den zentralen Router weitere VPN-Netze erreichbar wären und routen Traffic an diese Netze gar nicht erst in den Tunnel...
Gruß
sk
Zitat von @TobiasNYC:
Über RIPv2 können ja auch die Routingtabellen weitergegeben werden und so kommt man u.u. auch an die Netztadressen der
Fremdnetze....
Über RIPv2 können ja auch die Routingtabellen weitergegeben werden und so kommt man u.u. auch an die Netztadressen der
Fremdnetze....
Dafür müsstest Du schon Multicast-Traffic durch den Tunnel lassen...
Zitat von @TobiasNYC:
langfristig bräuchte ich eine Lösung die ein Routing def. unterbindet, so dass - bei einer Manipulation des Remotegateways
durch bspw. einen versierten Anwender, Experten oder Hacker - ein Netzzugang zu den Fremdnetzen nicht möglich ist.
langfristig bräuchte ich eine Lösung die ein Routing def. unterbindet, so dass - bei einer Manipulation des Remotegateways
durch bspw. einen versierten Anwender, Experten oder Hacker - ein Netzzugang zu den Fremdnetzen nicht möglich ist.
Mal abgesehen davon, dass es im Regelfall nicht genügen würde, das Remotegateway zu manipulieren: Warum setzt Du nicht einfach eine Box ein, bei der man den VPN-Traffic definitiv per Firewallregelwerk steuern kann?
z.B.
- etwas teurer als CSB, vorallem mit laufenden Supportkosten: Dell SonicWALL, Fortinet FortiGate, Watchguard, ...
- gleiche Preisklasse wie CSB: ZyXEL ZyWALL
- spottbillig: Mikrotik
- für lau (ggf. HW-Kosten): pfSense, M0n0wall
Gruß
sk
Erst mal musst du einen Consumer Router finden der transparent routen kann und nicht NAT (Adress Translation) macht auf den WAN Ports. Bei den meisten ist das der Fall und es ist oft auch nicht abschaltbar.
Bei den Systemen die zwangsweise NAT machen stellt sich deine Frage gar nicht erst, denn da ist das Routing der WAN Ports untereinander durch das NAT per se gar nicht möglich.
Bei transparentem Routing wie z.B. dem 5 Port Router Mikrotik 750 ist das natürlich was anderes aber eine kleine DENY Accessliste verhindert das IP Forwarding innerhalb der WAN Ports dann sicher.
Ein simpler Einzeiler in jedem Router der nicht dieses Threads bedarft hätte wenn man mal nachdenkt...
Nebenbei: Der RV Cisco ist kein "richtiger" Cisco sondern eine billige Consumer Variante der sich NICHT mit IOS Kommandos konfigurieren lässt. Hier muss man also mit einem festen Featureset vorlieb nehmen ohne Optionen die groß verändern zu können !
Besser ist dann immer ein IOS Model zu verwenden wie z.B. den 886 usw.
Bei den Systemen die zwangsweise NAT machen stellt sich deine Frage gar nicht erst, denn da ist das Routing der WAN Ports untereinander durch das NAT per se gar nicht möglich.
Bei transparentem Routing wie z.B. dem 5 Port Router Mikrotik 750 ist das natürlich was anderes aber eine kleine DENY Accessliste verhindert das IP Forwarding innerhalb der WAN Ports dann sicher.
Ein simpler Einzeiler in jedem Router der nicht dieses Threads bedarft hätte wenn man mal nachdenkt...
Nebenbei: Der RV Cisco ist kein "richtiger" Cisco sondern eine billige Consumer Variante der sich NICHT mit IOS Kommandos konfigurieren lässt. Hier muss man also mit einem festen Featureset vorlieb nehmen ohne Optionen die groß verändern zu können !
Besser ist dann immer ein IOS Model zu verwenden wie z.B. den 886 usw.
Moin sk,
Ich setze noch Barracuda NG Firewall auf die Liste...
Grüße,
Dani
Auf der anderen Seite wissen aber die Remotegateways - je nachdem, wie es konfiguriert ist - so ohne weiteres nicht, dass über den zentralen Router weitere VPN-Netze erreichbar wären und routen Traffic an diese Netze gar nicht erst in den Tunnel...
Das hängt davon ab, wu den IPSec-Tunnel einrichtest. Du kannst entweder Subnetze angeben, die auf der Gegenstelle erreichbar sein sollen oder aber du hakst "Any Traffic to VPN-Tunnel" an. Das ist bei jeden Firewallhersteller anders.Mal abgesehen davon, dass es im Regelfall nicht genügen würde, das Remotegateway zu manipulieren: Warum setzt Du nicht einfach eine Box ein, bei der man den VPN-Traffic definitiv per Firewallregelwerk steuern kann?
Das ist der richtige Weg.etwas teurer als CSB, vorallem mit laufenden Supportkosten: Dell SonicWALL, Fortinet FortiGate, Watchguard, ...
Dell Sonicwall legt nach meinen Wissen von der VPN-Zone in jede andere Zone (außer WAN und DMZ) nicht löschbare Any-Allow-Regeln an. Ist allerdings ein Jahr schon wieder her.Ich setze noch Barracuda NG Firewall auf die Liste...
Grüße,
Dani
@TobiasNYC
Zitat:
IPsec ist eine Point to Point Umsetzung. Wenn du Routing nicht explizit konfigurierst gibt es per se kein Routing über die Tunnel.
Aber auch wenn, dann unterbindest du das mit einer simplen doofen IP Accessliste die jeder Dummrouter supportet. Das gilt sowohl für das direkte Routing auf den WAN Interfaces als auch für die die evtl. durch den Tunnel laufen (könnten). Dafür muss man hier keinen Thread eröffnen in einem Administrator Forum, denn das wissen Netzwerk Administratoren auch so !
Zu den anderen Punkten ist eine Äußerung hier überflüssig, denn genau DEINE Kommentare sind hier konfus und wirr und verunsichern mehr als sie der Community für eine zielgerichtet Hilfe sinnvoll wären. Glücklicherweise kennen wir deine Kommentare nicht mehr von früher...
Kehre also erstmal vor deiner eigenen Tür bevor du solche unreflektierten Behauptungen gegen andere Forumsteilnehmer hier verbreitest...
Es geht hier nicht um die WAN Ports
Sorry, aber du schreibst oben ja selber das es dir um die WAN Ports bzw. das Routing zwischen diesen Ports geht ?Zitat:
keinesfalls möglich sein darf ist ein Routig der WAN Netze untereinander (d.h. das WAN-1 Zugriff auf WAN-2
Hier jetzt wieder...Es geht hier nicht um die WAN Ports sondern um IPSec Gateways
Ja was denn nun ?? Vielleicht solltest du dir erstmal selber darüber klar werden WAS du eigentlich willst ?!IPsec ist eine Point to Point Umsetzung. Wenn du Routing nicht explizit konfigurierst gibt es per se kein Routing über die Tunnel.
Aber auch wenn, dann unterbindest du das mit einer simplen doofen IP Accessliste die jeder Dummrouter supportet. Das gilt sowohl für das direkte Routing auf den WAN Interfaces als auch für die die evtl. durch den Tunnel laufen (könnten). Dafür muss man hier keinen Thread eröffnen in einem Administrator Forum, denn das wissen Netzwerk Administratoren auch so !
Zu den anderen Punkten ist eine Äußerung hier überflüssig, denn genau DEINE Kommentare sind hier konfus und wirr und verunsichern mehr als sie der Community für eine zielgerichtet Hilfe sinnvoll wären. Glücklicherweise kennen wir deine Kommentare nicht mehr von früher...
Kehre also erstmal vor deiner eigenen Tür bevor du solche unreflektierten Behauptungen gegen andere Forumsteilnehmer hier verbreitest...
Moin TobiasNYC,
Statt fachlich darauf einzugehen, solche Äußerungen ala "Ich kenne dein Kommentare ja noch von früher,[...]" zu schreiben, kannst du in Zukunft weglassen.
Ich habe deinen Beitrag gefühlt 10x lesen müssen, bevor ich verstanden habe was du meinst. Man könnte von deiner Skizze auch von 3 WAN-Router ausgehen... als Beispiel.
Grüße,
Dani
Ein Consumer Router mit min. 3 WAN Ports (wie kann ein "echter" Netzwerkadministrator nur auf so eine abwegige Idee kommen), wenn es sowas gibt, waere das echt was besonderes, so wie DU, nicht war mein armes kleines Haeschen.
Drei WAN-Leitungen und von Consumer reden, passt auch nicht zusammen. Es gibt genug Firewalls/UTM/Router die das problemlos hinbekommen. Einige Hersteller haben wir bereits genannt. Besonders ist daran nichts mehr...unglaublicher quatsch
Wie wäre es, wenn du aqui erklärst, was du genau vorhast und die genannten Punkte von ihm aufgreifst und entsprechend (wieder)legst? Wir sind hier in einem Forum und da sieht jede/r die Frage aus einem anderen Blickwinkel. Was sicher auch an Erfahrung, Job und Projekten liegt.Statt fachlich darauf einzugehen, solche Äußerungen ala "Ich kenne dein Kommentare ja noch von früher,[...]" zu schreiben, kannst du in Zukunft weglassen.
Ich habe deinen Beitrag gefühlt 10x lesen müssen, bevor ich verstanden habe was du meinst. Man könnte von deiner Skizze auch von 3 WAN-Router ausgehen... als Beispiel.
Grüße,
Dani
Zitat von @Dani:
Dell Sonicwall legt nach meinen Wissen von der VPN-Zone in jede andere Zone (außer WAN und DMZ) nicht löschbare
Any-Allow-Regeln an. Ist allerdings ein Jahr schon wieder her.
Dell Sonicwall legt nach meinen Wissen von der VPN-Zone in jede andere Zone (außer WAN und DMZ) nicht löschbare
Any-Allow-Regeln an. Ist allerdings ein Jahr schon wieder her.
Einfach "Allow Interface Trust" in den Zonen-Einstellungen deaktivieren.
Gruß
sk
Zitat von @TobiasNYC:
Für alle anderen: Habe mit dem CISCO Pre-Sales sowie mit einem CISCO-Partner gesprochen - konnten mir meine Frage nicht beantworten.
Dann bleibt mir wohl nichts anderes uebrig als das Ding mal einzukaufen, um mir somit das default Routingverhalten vor Augen zu führen und um
gleichfallszu evaluieren, ob die Access Rules tatsächlich Auswirkung auf die einzelnen "WAN-VPN-Gateways" haben - denn dezidiert auswaehlen
kann man die wohl nicht. Ich werde berichten...
Für alle anderen: Habe mit dem CISCO Pre-Sales sowie mit einem CISCO-Partner gesprochen - konnten mir meine Frage nicht beantworten.
Dann bleibt mir wohl nichts anderes uebrig als das Ding mal einzukaufen, um mir somit das default Routingverhalten vor Augen zu führen und um
gleichfallszu evaluieren, ob die Access Rules tatsächlich Auswirkung auf die einzelnen "WAN-VPN-Gateways" haben - denn dezidiert auswaehlen
kann man die wohl nicht. Ich werde berichten...
Auch wenn mich das Ergebnis interessieren würde, warum kaufst Du Dir so ein Kruppzeug, wo noch nicht mal das Presales-Team qualifizierte Aussagen zu tätigen kann? Nur damit Cisco draufsteht?
Zitat von @TobiasNYC:
Ich habe nun trotzdem mal die Skizze verändert/aktualisiert evtl. jetzt besser verständlich?
Ich habe nun trotzdem mal die Skizze verändert/aktualisiert evtl. jetzt besser verständlich?
Ja jetzt ist es besser. Die Bezeichnungen WAN1-WAN3 waren sehr mißverständlich!
Gruß
sk
Ich habe nun trotzdem mal die Skizze verändert/aktualisiert evtl. jetzt besser verständlich?
Jein...Was mir nach wie vor aus dem Zusammenhang gerät ist dieser Satz:
Was machen Consumer oder SMB Router in der Regel per default, routen sie die WAN-VPN-Tunnel untereinander? Die Funktion, wie beim W-LAN üblich, "Client Security Separation" kenne ich hier nicht.
Von wo nach wo wid ein VPN-Tunnel aufgebaut?Ihr seid echt "Strange" hier, was hast/habt Du/Ihr gegen Cisco,
Ganz einfach, wenn ich Presales keine Antwort erhalte, schaue ich mich anderweitig um. Was aber bei der Geräteklasse auch kein Wunder ist...Eure Vorschläge zur Lösungen sind EnterpriseReady, so ab 300-500€ aufwärts, nicht vergessen.
Wir wissen kaum bis gar nichts zu den Eckdaten des Vorhabens. Dazu qualifzierte Vorschläge zu machen ist fast unmöglich. Salopp würde ich sagen, stell ne pfSense hin und gut ist.Grüße,
Dani
Zitat von @TobiasNYC:
Ihr seid echt "Strange" hier, was hast/habt Du/Ihr gegen Cisco, bitte jetzt aber mal Ross und Reiter nennen...
Ihr seid echt "Strange" hier, was hast/habt Du/Ihr gegen Cisco, bitte jetzt aber mal Ross und Reiter nennen...
Ich habe gar nichts gegen Cisco. Ich wunderte mich nur, warum Du so fixiert darauf bist.
Bei uns hatte sich mal ein Azubi so einen Linksys RVirgendwas aka Cisco Small Business bzw. damals noch "Linksys by Cisco" gekauft, weil er glaubte, da was ganz tolles zu bekommen - schließlich steht ja Cisco drauf. Das Ding war in Bezug auf die Möglichkeiten der Firewall sehr rudimentär. Man konnte nur WAN-to-LAN und LAN-to-WAN beregeln. Soweit so gut, aber: Es ließen sich zwar VLANs anlegen, aber zwischen den VLANs keine ACL setzen. Ob dies bei den VPN-Tunneln ebenso war, hatten wir nicht getestet.
Diese Inaugenscheinnahme ist schon eine halbe Ewigkeit her. Möglicherweise hat es seither Firmwareupdates gegeben, welche diese Funktionalitäten nachgerüstet haben. Deshalb habe ich mich mit negativen Äußerungen eigentlich sehr zurück gehalten...
Gruß
sk
Ich würde sagen, dass ist beim RV180 gar nicht vorgesehen. Laut Handbuch kann man nur Accessrules zwischen "LAN -> Internet" und "Internet -> LAN" wählen. Aber bei kleinen Router kenn ich mich zu wenig aus. Hab ausschließlich mit größeren Geräten zu tun.
Was in deinem Preisegment bewegt, ist pfSense und dort ist es auch per Accesslist möglich zu steuern.
Grüße,
Dani
Was in deinem Preisegment bewegt, ist pfSense und dort ist es auch per Accesslist möglich zu steuern.
Grüße,
Dani