SitetoSiteVPN Verständnis
Hallo,
ich habe folgende Frage zu einem SitetoSite-VPN:
Es gibt folgende Situtation:
Firewall A:
172.16.7.0/24
Firewall B:
172.16.100.0/24
Jetzt wird eine SitetoSite-Verbindung zwischen beiden Firewalls mit den Netzen hergestellt.
Wenn sich jetzt ein Client in dem Subnets von der Firewall A kann dieser natürlich auf das Netz von der Firewall B zugreifen.
Nun erstelle ich ein neues Netz(172.16.20.0/24) auf der Firewall A und richte Access Rules so ein, dass dieser auf jedes Netz zugreifen darf, also Any.
Kann jetzt ein Client aus dem neuen Netz auf das Netz von der Firewall B zugreifen oder muss ich da eine neue SitetoSite-Verbindung herstellen zwischen 172.16.20.0 Netz und dem 172.16.100.0/24?
ich habe folgende Frage zu einem SitetoSite-VPN:
Es gibt folgende Situtation:
Firewall A:
172.16.7.0/24
Firewall B:
172.16.100.0/24
Jetzt wird eine SitetoSite-Verbindung zwischen beiden Firewalls mit den Netzen hergestellt.
Wenn sich jetzt ein Client in dem Subnets von der Firewall A kann dieser natürlich auf das Netz von der Firewall B zugreifen.
Nun erstelle ich ein neues Netz(172.16.20.0/24) auf der Firewall A und richte Access Rules so ein, dass dieser auf jedes Netz zugreifen darf, also Any.
Kann jetzt ein Client aus dem neuen Netz auf das Netz von der Firewall B zugreifen oder muss ich da eine neue SitetoSite-Verbindung herstellen zwischen 172.16.20.0 Netz und dem 172.16.100.0/24?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 5409151249
Url: https://administrator.de/forum/sitetositevpn-verstaendnis-5409151249.html
Ausgedruckt am: 22.12.2024 um 17:12 Uhr
4 Kommentare
Neuester Kommentar
Das hängt ganz von deinem verwendeten VPN Protokoll ab, denn jedes VPN Protokoll behandelt das unterschiedlich. Leider machst du dazu keinerlei zielführende Angaben so das man dir die Frage nicht umfassend beantworten kann ohne in Kristallkugelei abzudriften.
Bei IPsec trägt man z.B. einfach eine 2te Phase 2 ein für das neue Netz oder passt die Netzmaske der bestehenden Phase 2 an. OpenVPN und Wireguard erledigen das mit einer Krypto Route usw. usw.
Bei IPsec trägt man z.B. einfach eine 2te Phase 2 ein für das neue Netz oder passt die Netzmaske der bestehenden Phase 2 an. OpenVPN und Wireguard erledigen das mit einer Krypto Route usw. usw.
Stimmt, das Protokoll ist IPSec.
OK, dann ist das kinderleicht.- Entweder einfach die P2 Netzmaske in Firewall B anpassen auf einen 19 Bit Prefix (255.255.224.0) was dann alle IP Netze zw. 172.16.0.0 und 172.16.31.254 an A in den Tunnel routet. Hat den großen Vorteil das du dann an A weitere Netze hinzufügen kannst ohne die VPN Konfig anpassen zu müssen! 😉 Ein 18er Prefix (255.255.192.0) erweitert den Bereich auf 172.16.63.254. Mehr geht nicht, da es sonst mit dem .100er Netz an B kollidiert.
- Oder... eine 2te Phase 2 eintragen mit dem dedizierten .20er Netz. Nachteil: Bei weiteren Netzen musst du dann in der VPN Konfig immer wieder neue P2s nachtragen.
Beispiele findest du u.a. hier:
Routingprobleme über OpenVPN auf Fritzbox
PFSense mit Fritzboxen verbinden