tobiasnyc
Goto Top

Routing: Multi Gateway to Gateway VPN

... bin mir gerade etwas unsicher und will mich nochmal absichern.

Es soll folgendes Szenario aufgebaut werden, hier ein beispiel Ausschnitt:
                                            LAN-0: 192.168.1.0/24
                                                     |
                                                     |
                                                     |
           ---------------------------------- IPSec VPN Gateways ----------------------------------
           |                                         |                                           |
           |                                         |                                           |
           |                                         |                                           |
LAN-1:192.168.2.0/24                    LAN-2: 192.168.3.0/24                         LAN-3: 192.168.4.0/24
1: Hierbei entsteht natürlich ein gewolltes Routing von von LAN-0 zu (LAN-1, LAN-2, LAN-3)
2. Was nun aber nun keinesfalls möglich sein darf ist ein Routig der LAN Netze 1-3 untereinander (d.h. das LAN-1 Zugriff auf LAN-2 erhält, usw.), die LAN Netze 1-3 müssen untereinander strickt getrennt bleiben. Zum Einsatz soll evtl. ein CISCO RV180 kommen.

Frage: Was machen Consumer oder SMB Router in der Regel per default, routen sie die WAN-VPN-Tunnel untereinander? Die Funktion, wie beim W-LAN üblich, "Client Security Separation" kenne ich hier nicht.

Ich hoffe es ist soweit alles verständlich... vielen Dank schon mal für euer Mithilfe...

Content-ID: 231474

Url: https://administrator.de/forum/routing-multi-gateway-to-gateway-vpn-231474.html

Ausgedruckt am: 22.12.2024 um 06:12 Uhr

sk
Lösung sk 02.03.2014, aktualisiert am 03.03.2014 um 15:50:02 Uhr
Goto Top
Routing ist eine Sache - Accesslisten eine andere. Selbstverständlich kennt der zentrale Router dann alle Netze und könnte zwischen diesen routen. Allerdings kann man auf einer Firewall normalerweise auch die Tunnel per ACL entsprechend beregeln. Ob das bei den Linksys/CSB-Büchsen geht, weiss ich freilich nicht.

Auf der anderen Seite wissen aber die Remotegateways - je nachdem, wie es konfiguriert ist - so ohne weiteres nicht, dass über den zentralen Router weitere VPN-Netze erreichbar wären und routen Traffic an diese Netze gar nicht erst in den Tunnel...

Gruß
sk
TobiasNYC
TobiasNYC 02.03.2014 um 23:42:30 Uhr
Goto Top
Zitat von @sk:
Auf der anderen Seite wissen aber die Remotegateways - je nachdem, wie es konfiguriert ist - so ohne weiteres nicht, dass
über den zentralen Router weitere VPN-Netze erreichbar wären und routen Traffic an diese Netze gar nicht erst in den
Tunnel...

Genau so sehe ich die Sache auch, das würde evtl. zu Beginn auch ausreichen, aber langfristig bräuchte ich eine Lösung die ein Routing def. unterbindet,
so dass - bei einer Manipulation des Remotegateways durch bspw. einen versierten Anwender, Experten oder Hacker - ein Netzzugang zu den Fremdnetzen nicht möglich ist .

Über RIPv2 können ja auch die Routingtabellen weitergegeben werden und so kommt man u.u. auch an die Netztadressen der Fremdnetze....
sk
Lösung sk 03.03.2014 aktualisiert um 15:50:10 Uhr
Goto Top
Zitat von @TobiasNYC:

Über RIPv2 können ja auch die Routingtabellen weitergegeben werden und so kommt man u.u. auch an die Netztadressen der
Fremdnetze....

Dafür müsstest Du schon Multicast-Traffic durch den Tunnel lassen...


Zitat von @TobiasNYC:

langfristig bräuchte ich eine Lösung die ein Routing def. unterbindet, so dass - bei einer Manipulation des Remotegateways
durch bspw. einen versierten Anwender, Experten oder Hacker - ein Netzzugang zu den Fremdnetzen nicht möglich ist.

Mal abgesehen davon, dass es im Regelfall nicht genügen würde, das Remotegateway zu manipulieren: Warum setzt Du nicht einfach eine Box ein, bei der man den VPN-Traffic definitiv per Firewallregelwerk steuern kann?
z.B.
- etwas teurer als CSB, vorallem mit laufenden Supportkosten: Dell SonicWALL, Fortinet FortiGate, Watchguard, ...
- gleiche Preisklasse wie CSB: ZyXEL ZyWALL
- spottbillig: Mikrotik
- für lau (ggf. HW-Kosten): pfSense, M0n0wall


Gruß
sk
TobiasNYC
TobiasNYC 03.03.2014 um 10:22:01 Uhr
Goto Top
Zitat von @sk:
Warum setzt Du nicht einfach eine Box ein, bei der man den VPN-Traffic definitiv per Firewallregelwerk steuern kann?

... wir evtl. wohl darauf hinauslaufen, ich weiß, dass beim CISCO Traffic über Source/Destination IPs mit Denys versehen werden können, wird bei steigender Tunnelanzahl natürlich schnell unübersichtlich (bei 5 Gateways sind das schon 40 Rules)

Na ja, OK dann werde ich um eine pre-sales anfrage an CISCO bzw. einer Evaluation wohl nicht vorbeikommen - zyxel werde ich mir nochmal anschauen, danke für deine Hinweise.
aqui
aqui 03.03.2014 aktualisiert um 10:46:06 Uhr
Goto Top
Erst mal musst du einen Consumer Router finden der transparent routen kann und nicht NAT (Adress Translation) macht auf den WAN Ports. Bei den meisten ist das der Fall und es ist oft auch nicht abschaltbar.
Bei den Systemen die zwangsweise NAT machen stellt sich deine Frage gar nicht erst, denn da ist das Routing der WAN Ports untereinander durch das NAT per se gar nicht möglich.
Bei transparentem Routing wie z.B. dem 5 Port Router Mikrotik 750 ist das natürlich was anderes aber eine kleine DENY Accessliste verhindert das IP Forwarding innerhalb der WAN Ports dann sicher.
Ein simpler Einzeiler in jedem Router der nicht dieses Threads bedarft hätte wenn man mal nachdenkt...
Nebenbei: Der RV Cisco ist kein "richtiger" Cisco sondern eine billige Consumer Variante der sich NICHT mit IOS Kommandos konfigurieren lässt. Hier muss man also mit einem festen Featureset vorlieb nehmen ohne Optionen die groß verändern zu können !
Besser ist dann immer ein IOS Model zu verwenden wie z.B. den 886 usw.
TobiasNYC
TobiasNYC 03.03.2014 um 12:04:19 Uhr
Goto Top
Zitat von @aqui:
Bei den Systemen die zwangsweise NAT machen stellt sich deine Frage gar nicht erst, denn da ist das Routing der WAN Ports
untereinander durch das NAT per se gar nicht möglich.

Es geht hier nicht um die WAN Ports sondern um IPSec Gateways und was zum Teufel hat die Adressumsetzung mit dem internen Tunnel-Routing zu tun?

Ich kenne dein Kommentare ja noch von früher, habe den Eindruck du nutzt immer noch so eine spezial Textgenerator, wo Du nur ein paar Key-Facts per "SingleSelectionField" auswählst und dann auf den Button "generiere jetzt meinen geilen ###" drückst - kann das sein, sei ehrlich...
Dani
Dani 03.03.2014 um 12:21:19 Uhr
Goto Top
Moin sk,
Auf der anderen Seite wissen aber die Remotegateways - je nachdem, wie es konfiguriert ist - so ohne weiteres nicht, dass über den zentralen Router weitere VPN-Netze erreichbar wären und routen Traffic an diese Netze gar nicht erst in den Tunnel...
Das hängt davon ab, wu den IPSec-Tunnel einrichtest. Du kannst entweder Subnetze angeben, die auf der Gegenstelle erreichbar sein sollen oder aber du hakst "Any Traffic to VPN-Tunnel" an. Das ist bei jeden Firewallhersteller anders.

Mal abgesehen davon, dass es im Regelfall nicht genügen würde, das Remotegateway zu manipulieren: Warum setzt Du nicht einfach eine Box ein, bei der man den VPN-Traffic definitiv per Firewallregelwerk steuern kann?
Das ist der richtige Weg.

etwas teurer als CSB, vorallem mit laufenden Supportkosten: Dell SonicWALL, Fortinet FortiGate, Watchguard, ...
Dell Sonicwall legt nach meinen Wissen von der VPN-Zone in jede andere Zone (außer WAN und DMZ) nicht löschbare Any-Allow-Regeln an. Ist allerdings ein Jahr schon wieder her.

Ich setze noch Barracuda NG Firewall auf die Liste...


Grüße,
Dani
aqui
aqui 03.03.2014 aktualisiert um 12:42:15 Uhr
Goto Top
@TobiasNYC
Es geht hier nicht um die WAN Ports
Sorry, aber du schreibst oben ja selber das es dir um die WAN Ports bzw. das Routing zwischen diesen Ports geht ?
Zitat:
keinesfalls möglich sein darf ist ein Routig der WAN Netze untereinander (d.h. das WAN-1 Zugriff auf WAN-2
Hier jetzt wieder...
Es geht hier nicht um die WAN Ports sondern um IPSec Gateways
Ja was denn nun ?? Vielleicht solltest du dir erstmal selber darüber klar werden WAS du eigentlich willst ?!
IPsec ist eine Point to Point Umsetzung. Wenn du Routing nicht explizit konfigurierst gibt es per se kein Routing über die Tunnel.
Aber auch wenn, dann unterbindest du das mit einer simplen doofen IP Accessliste die jeder Dummrouter supportet. Das gilt sowohl für das direkte Routing auf den WAN Interfaces als auch für die die evtl. durch den Tunnel laufen (könnten). Dafür muss man hier keinen Thread eröffnen in einem Administrator Forum, denn das wissen Netzwerk Administratoren auch so !
Zu den anderen Punkten ist eine Äußerung hier überflüssig, denn genau DEINE Kommentare sind hier konfus und wirr und verunsichern mehr als sie der Community für eine zielgerichtet Hilfe sinnvoll wären. Glücklicherweise kennen wir deine Kommentare nicht mehr von früher...
Kehre also erstmal vor deiner eigenen Tür bevor du solche unreflektierten Behauptungen gegen andere Forumsteilnehmer hier verbreitest...
TobiasNYC
TobiasNYC 03.03.2014 aktualisiert um 21:09:36 Uhr
Goto Top
Zitat von @aqui:
[...]

... unglaublicher quatsch was Du da so schreibst, mann bist Du ein Spassvogel face-wink Neben kognitive Problemen auch noch Schwierigkeiten mit der visuellen Wahrnehmung, liegt wohl an der Sonnenbrille.
Ich habe niemals von irgendwelchen WAN-Ports (im zweifel gibt Strg+F Aufschluss) gesprochen - Ein Consumer Router mit min. 3 WAN Ports (wie kann ein "echter" Netzwerkadministrator nur auf so eine abwegige Idee kommen), wenn es sowas gibt, waere das echt was besonderes, so wie DU, nicht war mein kleines Haeschen.

Für alle anderen: Habe mit dem CISCO Pre-Sales sowie mit einem CISCO-Partner gesprochen - konnten mir meine Frage nicht beantworten.
Dann bleibt mir wohl nichts anderes uebrig als das Ding mal einzukaufen, um mir somit das default Routingverhalten vor Augen zu führen und um gleichfalls zu evaluieren, ob die Access Rules tatsächlich Auswirkung auf die einzelnen "WAN-VPN-Gateways" haben - denn dezidiert auswaehlen kann man die wohl nicht.
Ich werde berichten...
Dani
Dani 03.03.2014 aktualisiert um 16:08:08 Uhr
Goto Top
Moin TobiasNYC,
Ein Consumer Router mit min. 3 WAN Ports (wie kann ein "echter" Netzwerkadministrator nur auf so eine abwegige Idee kommen), wenn es sowas gibt, waere das echt was besonderes, so wie DU, nicht war mein armes kleines Haeschen.
Drei WAN-Leitungen und von Consumer reden, passt auch nicht zusammen. Es gibt genug Firewalls/UTM/Router die das problemlos hinbekommen. Einige Hersteller haben wir bereits genannt. Besonders ist daran nichts mehr...

unglaublicher quatsch
Wie wäre es, wenn du aqui erklärst, was du genau vorhast und die genannten Punkte von ihm aufgreifst und entsprechend (wieder)legst? Wir sind hier in einem Forum und da sieht jede/r die Frage aus einem anderen Blickwinkel. Was sicher auch an Erfahrung, Job und Projekten liegt.

Statt fachlich darauf einzugehen, solche Äußerungen ala "Ich kenne dein Kommentare ja noch von früher,[...]" zu schreiben, kannst du in Zukunft weglassen.

Ich habe deinen Beitrag gefühlt 10x lesen müssen, bevor ich verstanden habe was du meinst. Man könnte von deiner Skizze auch von 3 WAN-Router ausgehen... als Beispiel.


Grüße,
Dani
sk
sk 03.03.2014 aktualisiert um 18:19:28 Uhr
Goto Top
Zitat von @Dani:

Dell Sonicwall legt nach meinen Wissen von der VPN-Zone in jede andere Zone (außer WAN und DMZ) nicht löschbare
Any-Allow-Regeln an. Ist allerdings ein Jahr schon wieder her.

Einfach "Allow Interface Trust" in den Zonen-Einstellungen deaktivieren.

Gruß
sk
TobiasNYC
TobiasNYC 03.03.2014 aktualisiert um 18:37:49 Uhr
Goto Top
Zitat von @Dani:

Drei WAN-Leitungen und von Consumer reden, passt auch nicht zusammen. Es gibt genug Firewalls/UTM/Router die das problemlos
hinbekommen. Einige Hersteller haben wir bereits genannt. Besonders ist daran nichts mehr...

Ein Consumer Router (z.B. aus dem Elektronikmarkt) mit 3 physikalischen WAN Ports ist also kein Exot, habe ich dich richtig verstanden, habe sowas noch nie gesehen, max. 2 sind hier üblich.

Statt fachlich darauf einzugehen, solche Äußerungen ala "Ich kenne dein Kommentare ja noch von früher,[...]" zu schreiben, kannst du in Zukunft weglassen.

Überhebliche subversive Kommentare, a´la "Mann bist Du blöd, das Forum mit dieser Frage zu belästigen" sind doch wohl nicht im Interesse von "aministrator.de", aber wenn man schon über 25.000 Kommentare so wie der "Hoppelhase" hinter sich hat ist das wohl das Resultat.

Ich habe deinen Beitrag gefühlt 10x lesen müssen, bevor ich verstanden habe was du meinst. Man könnte von deiner
Skizze auch von 3 WAN-Router ausgehen... als Beispiel.

Ja, das ist sogar fast richtig insgesamt sind sogar 4 Router an dem vorhaben beteiligt!

Aber vielleicht hast du recht, dass der ein oder andere Verständnisschwierigkeiten haben könnte, die Kommentare zeigen das mein Vorhaben aber auch durchaus verstanden wurde.
Ich habe nun trotzdem mal die Skizze verändert/aktualisiert evtl. jetzt besser verständlich?
sk
sk 03.03.2014 aktualisiert um 18:50:22 Uhr
Goto Top
Zitat von @TobiasNYC:

Für alle anderen: Habe mit dem CISCO Pre-Sales sowie mit einem CISCO-Partner gesprochen - konnten mir meine Frage nicht beantworten.
Dann bleibt mir wohl nichts anderes uebrig als das Ding mal einzukaufen, um mir somit das default Routingverhalten vor Augen zu führen und um
gleichfallszu evaluieren, ob die Access Rules tatsächlich Auswirkung auf die einzelnen "WAN-VPN-Gateways" haben - denn dezidiert auswaehlen
kann man die wohl nicht. Ich werde berichten...

Auch wenn mich das Ergebnis interessieren würde, warum kaufst Du Dir so ein Kruppzeug, wo noch nicht mal das Presales-Team qualifizierte Aussagen zu tätigen kann? Nur damit Cisco draufsteht?


Zitat von @TobiasNYC:

Ich habe nun trotzdem mal die Skizze verändert/aktualisiert evtl. jetzt besser verständlich?

Ja jetzt ist es besser. Die Bezeichnungen WAN1-WAN3 waren sehr mißverständlich!


Gruß
sk
TobiasNYC
TobiasNYC 03.03.2014 um 19:54:33 Uhr
Goto Top
Zitat von @sk:

Auch wenn mich das Ergebnis interessieren würde, warum kaufst Du Dir so ein Kruppzeug, wo noch nicht mal das Presales-Team
qualifizierte Aussagen zu tätigen kann? Nur damit Cisco draufsteht?

Ihr seid echt "Strange" hier, was hast/habt Du/Ihr gegen Cisco, bitte jetzt aber mal Ross und Reiter nennen...

... ich habe nun auch schon zahlreiche HW-Anbieter durch und ich kann sagen LINKSYS/CISCO hat mich bisher noch nie enttäuscht, und das Preis/Leistungsverhältnis spielt hier natürlich auch eine Rolle, z.B. der WRT54, selbst die Telekom setzte ihn als HotSpot ein, Mega zuverlässig, um das mal salopp zu formulieren... (wie oft hatte ich schon ärger mit XyXEL, NETGEAR, D-LINK, etc.)

Eure Vorschläge zur Lösungen sind EnterpriseReady, so ab 300-500€ aufwärts, nicht vergessen.
Klar, wenn der CISCO es nicht supportet muss halt sowas her, ist doch aber verständlich das man die Investitionskosten erstmal niedrig halten muss...
Dani
Dani 03.03.2014 um 20:36:37 Uhr
Goto Top
Ich habe nun trotzdem mal die Skizze verändert/aktualisiert evtl. jetzt besser verständlich?
Jein...

Was mir nach wie vor aus dem Zusammenhang gerät ist dieser Satz:
Was machen Consumer oder SMB Router in der Regel per default, routen sie die WAN-VPN-Tunnel untereinander? Die Funktion, wie beim W-LAN üblich, "Client Security Separation" kenne ich hier nicht.
Von wo nach wo wid ein VPN-Tunnel aufgebaut?

Ihr seid echt "Strange" hier, was hast/habt Du/Ihr gegen Cisco,
Ganz einfach, wenn ich Presales keine Antwort erhalte, schaue ich mich anderweitig um. Was aber bei der Geräteklasse auch kein Wunder ist...

Eure Vorschläge zur Lösungen sind EnterpriseReady, so ab 300-500€ aufwärts, nicht vergessen.
Wir wissen kaum bis gar nichts zu den Eckdaten des Vorhabens. Dazu qualifzierte Vorschläge zu machen ist fast unmöglich. Salopp würde ich sagen, stell ne pfSense hin und gut ist.


Grüße,
Dani
TobiasNYC
TobiasNYC 03.03.2014 um 21:04:34 Uhr
Goto Top
Zitat von @aqui:
Aber auch wenn, dann unterbindest du das mit einer simplen doofen IP Accessliste die jeder Dummrouter supportet. Das > gilt sowohl für das direkte Routing auf den WAN Interfaces als auch für die die evtl. durch den Tunnel laufen

Dann weist du auch sicherlich das jeder "Dummrouter" eine default policy in der accesslist hat die idr. nicht editierbar ist, die "any traffic from any IP to any destinatin IP" mit einem DENY versieht - und trotzdem wird per default der Traffic durch das VPN-Gateway an das LAN durchgelassen, aber warum nur - verstehst Du nun die Komplexität meiner Fragestellung die hoffentlich die eines ADMINISTRATOR würdig ist?

Sicherlich nur eine Trivialität die du auch im Handumdrehen erklären kannst.

So, das hatte ich fast vergessen!
sk
sk 03.03.2014 aktualisiert um 21:42:14 Uhr
Goto Top
Zitat von @TobiasNYC:

Ihr seid echt "Strange" hier, was hast/habt Du/Ihr gegen Cisco, bitte jetzt aber mal Ross und Reiter nennen...

Ich habe gar nichts gegen Cisco. Ich wunderte mich nur, warum Du so fixiert darauf bist.

Bei uns hatte sich mal ein Azubi so einen Linksys RVirgendwas aka Cisco Small Business bzw. damals noch "Linksys by Cisco" gekauft, weil er glaubte, da was ganz tolles zu bekommen - schließlich steht ja Cisco drauf. Das Ding war in Bezug auf die Möglichkeiten der Firewall sehr rudimentär. Man konnte nur WAN-to-LAN und LAN-to-WAN beregeln. Soweit so gut, aber: Es ließen sich zwar VLANs anlegen, aber zwischen den VLANs keine ACL setzen. Ob dies bei den VPN-Tunneln ebenso war, hatten wir nicht getestet.
Diese Inaugenscheinnahme ist schon eine halbe Ewigkeit her. Möglicherweise hat es seither Firmwareupdates gegeben, welche diese Funktionalitäten nachgerüstet haben. Deshalb habe ich mich mit negativen Äußerungen eigentlich sehr zurück gehalten...


Gruß
sk
TobiasNYC
TobiasNYC 03.03.2014 aktualisiert um 21:40:54 Uhr
Goto Top
Zitat von @Dani:
Was mir nach wie vor aus dem Zusammenhang gerät ist dieser Satz:
> Was machen Consumer oder SMB Router in der Regel per default, routen sie die WAN-VPN-Tunnel untereinander? Die Funktion, wie
beim W-LAN üblich, "Client Security Separation" kenne ich hier nicht.
Von wo nach wo wid ein VPN-Tunnel aufgebaut?

Also, angenommen ich habe einen VPN Router wie bspw. den RV180 der unterstützt bis zu 10 VPN Gateways angenommen ich baue von diesem 10 Gateways zu diversen Remotegateways auf, somit kann ich aus meinem LAN alle 10 Remotegateway erreichen, die Frage ist, ob sich nun auch die Remotegateway untereinander erreichen können wenn auf der remotegateway Seite eine entsprechende routingtabelle existieren würde.

Würde quasi der RV180 (oder jeder andere low cost Router) ein routing innerhalb der 10 VPN Gateways durchführen, das jedes Netz, jedes andere erreichen kann, ich vermute dass man das auch nicht steuern kann, auch nicht über access rules (bei low cost Routern)
Dani
Dani 03.03.2014 um 21:58:27 Uhr
Goto Top
Ich würde sagen, dass ist beim RV180 gar nicht vorgesehen. Laut Handbuch kann man nur Accessrules zwischen "LAN -> Internet" und "Internet -> LAN" wählen. Aber bei kleinen Router kenn ich mich zu wenig aus. Hab ausschließlich mit größeren Geräten zu tun.

Was in deinem Preisegment bewegt, ist pfSense und dort ist es auch per Accesslist möglich zu steuern.


Grüße,
Dani
TobiasNYC
TobiasNYC 04.03.2014 um 09:51:27 Uhr
Goto Top
Zitat von @sk:
Ich habe gar nichts gegen Cisco. Ich wunderte mich nur, warum Du so fixiert darauf bist.

Fixiert nennst du das, wenn ich im Eröffnungspost schreibe "zum Einsatz soll evtl. ein CISCO RV180 kommen" ich bin ratlos...

Aber Dein Tipp mit Mikrotik scheint sehr sehr interessant, hast Du da Praxiserfahrung, evtl. mit dem RB750?
Eine Frage bleibt, warum sind die so billig... Preis/Leistungsverhältnis scheint unglaublich.

Egal, ich werde es herausfinden: http://www.amazon.de/MikroTik-RouterBOARD-Kunststoffgeh%C3%A4use-Gigabi ...


THX@ALL