blueskillz
Goto Top

SitetoSiteVPN Verständnis

Hallo,

ich habe folgende Frage zu einem SitetoSite-VPN:

Es gibt folgende Situtation:

Firewall A:
172.16.7.0/24
Firewall B:
172.16.100.0/24

Jetzt wird eine SitetoSite-Verbindung zwischen beiden Firewalls mit den Netzen hergestellt.
Wenn sich jetzt ein Client in dem Subnets von der Firewall A kann dieser natürlich auf das Netz von der Firewall B zugreifen.
Nun erstelle ich ein neues Netz(172.16.20.0/24) auf der Firewall A und richte Access Rules so ein, dass dieser auf jedes Netz zugreifen darf, also Any.
Kann jetzt ein Client aus dem neuen Netz auf das Netz von der Firewall B zugreifen oder muss ich da eine neue SitetoSite-Verbindung herstellen zwischen 172.16.20.0 Netz und dem 172.16.100.0/24?

Content-ID: 5409151249

Url: https://administrator.de/forum/sitetositevpn-verstaendnis-5409151249.html

Ausgedruckt am: 22.12.2024 um 17:12 Uhr

aqui
aqui 16.01.2023 aktualisiert um 17:04:20 Uhr
Goto Top
Das hängt ganz von deinem verwendeten VPN Protokoll ab, denn jedes VPN Protokoll behandelt das unterschiedlich. Leider machst du dazu keinerlei zielführende Angaben so das man dir die Frage nicht umfassend beantworten kann ohne in Kristallkugelei abzudriften. face-sad
Bei IPsec trägt man z.B. einfach eine 2te Phase 2 ein für das neue Netz oder passt die Netzmaske der bestehenden Phase 2 an. OpenVPN und Wireguard erledigen das mit einer Krypto Route usw. usw.
BlueSkillz
BlueSkillz 16.01.2023 um 17:24:48 Uhr
Goto Top
Stimmt, das Protokoll ist IPSec. Dann könnte ich dem Tunnel das Netzwerk hinzufügen und über die Access Rules festlegen, dass nur Clients auf der Firewall A auf das Netz auf der Firewall B zugreifen können, aber Clients auf der Firewall B nicht auf das Netz von der Firewall A.
Spirit-of-Eli
Spirit-of-Eli 16.01.2023 um 19:37:59 Uhr
Goto Top
Moin,

du musst auf jeden Fall auf der entfernten Firewall an die Route zurück in das Netz denken. Die weiß schließlich nichts von dem Netz.
Mir ist noch keine Formulierung eingefallen, das simpel zu erklären.

Gruß
Spirit
aqui
Lösung aqui 16.01.2023, aktualisiert am 17.01.2023 um 19:20:00 Uhr
Goto Top
Stimmt, das Protokoll ist IPSec.
OK, dann ist das kinderleicht.
  • Entweder einfach die P2 Netzmaske in Firewall B anpassen auf einen 19 Bit Prefix (255.255.224.0) was dann alle IP Netze zw. 172.16.0.0 und 172.16.31.254 an A in den Tunnel routet. Hat den großen Vorteil das du dann an A weitere Netze hinzufügen kannst ohne die VPN Konfig anpassen zu müssen! 😉 Ein 18er Prefix (255.255.192.0) erweitert den Bereich auf 172.16.63.254. Mehr geht nicht, da es sonst mit dem .100er Netz an B kollidiert.
  • Oder... eine 2te Phase 2 eintragen mit dem dedizierten .20er Netz. Nachteil: Bei weiteren Netzen musst du dann in der VPN Konfig immer wieder neue P2s nachtragen.
Such dir das Schönste für dich raus!

Beispiele findest du u.a. hier:
Routingprobleme über OpenVPN auf Fritzbox
PFSense mit Fritzboxen verbinden