8
Site2Site VPN - Routing Sonicwall, Zyxel
Hallo zusammen
Ich steh momentan auf dem Schlauch und wäre froh um eure Hilfe!
Über die Produkte könnt ihr euch von mir aus beschweren. Der Chef wird deswegen trotzdem nix anderes kaufen
.
Aufbau des Netzwerks:
Ziel ist es, dass die HO-User auf die Server der GmbH zugreifen können. Auf die Server der AG kommen sie. (Die Site2Site-VPN's funktionieren)
Als erster Schritt habe ich bei der HomeOffice-FW ein Routing eingerichtet, da dieser logischerweise das Netz 10.1.0.2 nicht kennt.
Anscheinend mache ich jedoch schon was falsch bei dieser Konfiguration, denn ich sehe im Log sowie auf dem Interface (der FW der AG) keine Anfragen in Richtung 10.1.0.x Netz, nicht mal n "DROP"
.
Auf der Zyxel Firewall wurde folgendes eingerichtet:
Objekt: GmbH angelegt:
Routing angelegt:
Das Ziel mit diesem Routing ist, dass die Pakete mal an die Firewall der AG geliefert werden. Von dort soll dann eine Weiterleitung eingerichtet werden ins GmbH-Netz sofern noch nötig.
Bei den Kriterien habe ich bewusst mal auf "Any" gesetzt. Werde dies weiter Einschränken sobald es funktioniert. - Sieht jemand was ich falsch mache oder hat eine Idee?
Falls ich noch Infos nachliefern sollte gerne melden!
Freue mich mehr über das Thema zu lernen!
Grüsse
KMUlife
Ich steh momentan auf dem Schlauch und wäre froh um eure Hilfe!
Über die Produkte könnt ihr euch von mir aus beschweren. Der Chef wird deswegen trotzdem nix anderes kaufen
.Aufbau des Netzwerks:
Ziel ist es, dass die HO-User auf die Server der GmbH zugreifen können. Auf die Server der AG kommen sie. (Die Site2Site-VPN's funktionieren)
Als erster Schritt habe ich bei der HomeOffice-FW ein Routing eingerichtet, da dieser logischerweise das Netz 10.1.0.2 nicht kennt.
Anscheinend mache ich jedoch schon was falsch bei dieser Konfiguration, denn ich sehe im Log sowie auf dem Interface (der FW der AG) keine Anfragen in Richtung 10.1.0.x Netz, nicht mal n "DROP"
.Auf der Zyxel Firewall wurde folgendes eingerichtet:
Objekt: GmbH angelegt:
Routing angelegt:
Das Ziel mit diesem Routing ist, dass die Pakete mal an die Firewall der AG geliefert werden. Von dort soll dann eine Weiterleitung eingerichtet werden ins GmbH-Netz sofern noch nötig.
Bei den Kriterien habe ich bewusst mal auf "Any" gesetzt. Werde dies weiter Einschränken sobald es funktioniert. - Sieht jemand was ich falsch mache oder hat eine Idee?
Falls ich noch Infos nachliefern sollte gerne melden!
Freue mich mehr über das Thema zu lernen!
Grüsse
KMUlife
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 329339
Url: https://administrator.de/contentid/329339
Ausgedruckt am: 05.11.2024 um 02:11 Uhr
8 Kommentare
Neuester Kommentar
Hallo,
Ist diesbezüglich was eingestellt, das auch das Routing von privaten IP ermöglicht bzw im Moment sthet es auf verweigert?
Die VPN in die Netze gehen ja über die öffentlichen IP-Adressen und ermöglichen den Zugriff auf das Endnetz hinter dem VPN, aber nicht zwangsläufig auch in von dort weitere erreichbare PrivateNetze.
Am einfachsten wäre vermutlich einen separaten Tunnel aufzubauen.
Gruß
Chonta
nicht mal n "DROP"
Weil es Private IP sind, die normalerweis enicht geroutet werden?Ist diesbezüglich was eingestellt, das auch das Routing von privaten IP ermöglicht bzw im Moment sthet es auf verweigert?
Die VPN in die Netze gehen ja über die öffentlichen IP-Adressen und ermöglichen den Zugriff auf das Endnetz hinter dem VPN, aber nicht zwangsläufig auch in von dort weitere erreichbare PrivateNetze.
Am einfachsten wäre vermutlich einen separaten Tunnel aufzubauen.
Gruß
Chonta
Moin,
Tipp 1: anonymisiere mal deinen Screenshot
Dann: kommst du denn bis zum Router der AG?
Wenn ja, was sagen dir die Logs hier?
Fehlen u.U. noch auf dem Router der AG irgendwelche Firewall-Policies?
Gruß
em-pie
Tipp 1: anonymisiere mal deinen Screenshot
Dann: kommst du denn bis zum Router der AG?
Wenn ja, was sagen dir die Logs hier?
Fehlen u.U. noch auf dem Router der AG irgendwelche Firewall-Policies?
Gruß
em-pie
Hi Chonta!
Danke für deine Antwort!
Darum habe ich ja die Routing-Policy angelegt? - Oder verstehe ich dies jetzt falsch?
Grüsse
KMUlife
Danke für deine Antwort!
Darum habe ich ja die Routing-Policy angelegt? - Oder verstehe ich dies jetzt falsch?
Ist diesbezüglich was eingestellt, das auch das Routing von privaten IP ermöglicht bzw im Moment sthet es auf verweigert?
Meinste jetzt auf der Zyxel oder auf der Firewall der AG? - Wenn du es auf der Firewall der AG meinst, sollte ich ja mindestens sehen wie das Packet "ankommt"?Die VPN in die Netze gehen ja über die öffentlichen IP-Adressen und ermöglichen den Zugriff auf das Endnetz hinter dem VPN, aber nicht zwangsläufig auch in von dort weitere erreichbare PrivateNetze.
Dies ist mir bewusst! - Dies wäre dann mein nächster Schritt gewesen: Von dort soll dann eine Weiterleitung eingerichtet werden ins GmbH-Netz sofern noch nötig.Am einfachsten wäre vermutlich einen separaten Tunnel aufzubauen.
Haben wir getestet und funktioniert, aber ständig zwei VPN's offen zu haben will ich eigentlich gerne vermeiden.Grüsse
KMUlife
Meinste jetzt auf der Zyxel oder auf der Firewall der AG? - Wenn du es auf der Firewall der AG meinst, sollte ich ja mindestens sehen wie das Packet "ankommt"?
Alle beteiligten Router müssen mitspielen. Wenn in der VPN Vermittlngsstelle keine Pakete für das andere VPN-Netz ankommen, dann schickt der Zyxel die evtl nichtmal raus.Gruß
Chonta
Ziel ist es, dass die HO-User auf die Server der GmbH zugreifen können.
Eigentlich ein Kinderspiel ! Das Tutorial zu dem Thema hast du gelesen ??IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
Sinnvoll wäre gewesen du hättest uns mal mitgeteilt welches der zahllosen VPN Protokolle du verwendest
Als erster Schritt habe ich bei der HomeOffice-FW ein Routing eingerichtet,
Eigentlich Quatsch, denn das regeln die allermeisten VPN Protokolle automatisch und dynamsich !da dieser logischerweise das Netz 10.1.0.2 nicht kennt.
Klar, lernt er aber beim Tunnelaufbau dynamsich kennen. Siehe Tutorial oben...Sieht jemand was ich falsch mache
Wie weit kommst du denn mit einem Traceroute (tracert) oder Pathping ?? Da wo es abbricht ist auch immer der Fehler ! Das kann in einem FW Umfeld bei dir viel sein:- Fehlende FW Regeln
- Fehlendes Routing. Hier hilft immer ein Blick in die Routing Tabelle
- Nicht aufgebauter oder fehlender VPN Tunnel.
Hallo zusammen!
Zuerst mal danke an alle Hilfestellungen und Tipps!
@em-pie
Tipp1: --> gemacht
(Danke!)
Also einfach um das klar zu stellen. Mit einem Gerät im Netz der AG kann ich beide Sites sowie Geräte im Netzwerk pingen! Die Site2Site Verbindungen stehen.
Ich kann also auch vom HomeOffice aus, die Geräte in der AG erreichen, jedoch nicht die Geräte der GmbH.
Gebaut wurde das ganze mit folgendem Protokoll & Verschlüsselung:
ESP: AES-256/HMAC SHA1 (IKE)
Ich nehme stark an, dass es an Fehlenden FW Regeln / Routing liegt. Da ich aber nicht wirklich Ahnung habe wo ich das genau Einstellen muss und was, bin ich etwas überfordert. Ich konsultiere mal deine Anleitung aqui, Danke auch dafür! Wahrscheinlich komme ich mit den Infos unter "Teil 2: Praxisbeispiel einer gemischten IPsec VPN Standort Vernetzung" am meisten weiter oder? Ist ja eig. ziemlich das was ich bauen will.
Ich nehme an es liegt entweder an der Konfig der Zyxel oder AG. Tracert von AG in Richtung GmbH funktioniert. Tracert von AG richtung HO (Zyxel) funktioniert nicht (obwohl ich das Gerät pingen kann). Tracert von HO zu AG funktioniert nicht...
Danke für die wertvollen Infos!
KMUlife
Zuerst mal danke an alle Hilfestellungen und Tipps!
@em-pie
Tipp1: --> gemacht
(Danke!)Also einfach um das klar zu stellen. Mit einem Gerät im Netz der AG kann ich beide Sites sowie Geräte im Netzwerk pingen! Die Site2Site Verbindungen stehen.
Ich kann also auch vom HomeOffice aus, die Geräte in der AG erreichen, jedoch nicht die Geräte der GmbH.
Gebaut wurde das ganze mit folgendem Protokoll & Verschlüsselung:
ESP: AES-256/HMAC SHA1 (IKE)
Ich nehme stark an, dass es an Fehlenden FW Regeln / Routing liegt. Da ich aber nicht wirklich Ahnung habe wo ich das genau Einstellen muss und was, bin ich etwas überfordert. Ich konsultiere mal deine Anleitung aqui, Danke auch dafür! Wahrscheinlich komme ich mit den Infos unter "Teil 2: Praxisbeispiel einer gemischten IPsec VPN Standort Vernetzung" am meisten weiter oder? Ist ja eig. ziemlich das was ich bauen will
.Zitat von @aqui:
Wie weit kommst du denn mit einem Traceroute (tracert) oder Pathping ?? Da wo es abbricht ist auch immer der Fehler ! Das kann in einem FW
Wie weit kommst du denn mit einem Traceroute (tracert) oder Pathping ?? Da wo es abbricht ist auch immer der Fehler ! Das kann in einem FW
Ich nehme an es liegt entweder an der Konfig der Zyxel oder AG. Tracert von AG in Richtung GmbH funktioniert. Tracert von AG richtung HO (Zyxel) funktioniert nicht (obwohl ich das Gerät pingen kann). Tracert von HO zu AG funktioniert nicht...
Danke für die wertvollen Infos!
KMUlife
auf allen FW in den VPN-Profilen die Zielnetzwerke eingetragen?
Bei den SonicWALLs kannst Du die Netzwerke im VPN Tunnel einstellen, oder du machst das über Route-Based VPN ( https://support.sonicwall.com/kb/sw11606 )
vG
LS
Bei den SonicWALLs kannst Du die Netzwerke im VPN Tunnel einstellen, oder du machst das über Route-Based VPN ( https://support.sonicwall.com/kb/sw11606 )
vG
LS
Hallo zusammen!
Das wollte ich, geht aber bei den Zyxeln irgendwie nicht, da ich keine "Adress-Group" zuweisen kann. :/
Dies habe ich meiner Meinung nach gemacht.
--> Zwischenfrage:
Empfiehlt ihr NetBios auf den Site2Site's zu aktivieren? Ich habe festgestellt das ich im Ereignisprotokoll immer wieder folgende Einträge vorfinde:
"Der Name "BLABLA :1d" konnte nicht auf der Schnittstelle mit IP-Adresse 10.10.x.x registriert werden. Der Computer mit IP-Adresse 10.0.x.x hat nicht zugelassen, dass dieser Computer diesen Namen verwendet.
Nehme an es liegt am blockieren der Broadcast Meldungen von NetBios. - Was können negative folgen sein wenn dies aktiviert ist? (abgesehen von erhöhtem traffic)
Grüsse
KMUlife
Das wollte ich, geht aber bei den Zyxeln irgendwie nicht, da ich keine "Adress-Group" zuweisen kann. :/
Bei den SonicWALLs kannst Du die Netzwerke im VPN Tunnel einstellen
Dies habe ich meiner Meinung nach gemacht.
--> Zwischenfrage:
Empfiehlt ihr NetBios auf den Site2Site's zu aktivieren? Ich habe festgestellt das ich im Ereignisprotokoll immer wieder folgende Einträge vorfinde:
"Der Name "BLABLA :1d" konnte nicht auf der Schnittstelle mit IP-Adresse 10.10.x.x registriert werden. Der Computer mit IP-Adresse 10.0.x.x hat nicht zugelassen, dass dieser Computer diesen Namen verwendet.
Nehme an es liegt am blockieren der Broadcast Meldungen von NetBios. - Was können negative folgen sein wenn dies aktiviert ist? (abgesehen von erhöhtem traffic)
Grüsse
KMUlife
