4
SitetoSiteVPN Verständnis
Hallo,
ich habe folgende Frage zu einem SitetoSite-VPN:
Es gibt folgende Situtation:
Firewall A:
172.16.7.0/24
Firewall B:
172.16.100.0/24
Jetzt wird eine SitetoSite-Verbindung zwischen beiden Firewalls mit den Netzen hergestellt.
Wenn sich jetzt ein Client in dem Subnets von der Firewall A kann dieser natürlich auf das Netz von der Firewall B zugreifen.
Nun erstelle ich ein neues Netz(172.16.20.0/24) auf der Firewall A und richte Access Rules so ein, dass dieser auf jedes Netz zugreifen darf, also Any.
Kann jetzt ein Client aus dem neuen Netz auf das Netz von der Firewall B zugreifen oder muss ich da eine neue SitetoSite-Verbindung herstellen zwischen 172.16.20.0 Netz und dem 172.16.100.0/24?
ich habe folgende Frage zu einem SitetoSite-VPN:
Es gibt folgende Situtation:
Firewall A:
172.16.7.0/24
Firewall B:
172.16.100.0/24
Jetzt wird eine SitetoSite-Verbindung zwischen beiden Firewalls mit den Netzen hergestellt.
Wenn sich jetzt ein Client in dem Subnets von der Firewall A kann dieser natürlich auf das Netz von der Firewall B zugreifen.
Nun erstelle ich ein neues Netz(172.16.20.0/24) auf der Firewall A und richte Access Rules so ein, dass dieser auf jedes Netz zugreifen darf, also Any.
Kann jetzt ein Client aus dem neuen Netz auf das Netz von der Firewall B zugreifen oder muss ich da eine neue SitetoSite-Verbindung herstellen zwischen 172.16.20.0 Netz und dem 172.16.100.0/24?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 5409151249
Url: https://administrator.de/contentid/5409151249
Printed on: July 27, 2024 at 12:07 o'clock
4 Comments
Latest comment
Das hängt ganz von deinem verwendeten VPN Protokoll ab, denn jedes VPN Protokoll behandelt das unterschiedlich. Leider machst du dazu keinerlei zielführende Angaben so das man dir die Frage nicht umfassend beantworten kann ohne in Kristallkugelei abzudriften. 
Bei IPsec trägt man z.B. einfach eine 2te Phase 2 ein für das neue Netz oder passt die Netzmaske der bestehenden Phase 2 an. OpenVPN und Wireguard erledigen das mit einer Krypto Route usw. usw.
Bei IPsec trägt man z.B. einfach eine 2te Phase 2 ein für das neue Netz oder passt die Netzmaske der bestehenden Phase 2 an. OpenVPN und Wireguard erledigen das mit einer Krypto Route usw. usw.
Stimmt, das Protokoll ist IPSec. Dann könnte ich dem Tunnel das Netzwerk hinzufügen und über die Access Rules festlegen, dass nur Clients auf der Firewall A auf das Netz auf der Firewall B zugreifen können, aber Clients auf der Firewall B nicht auf das Netz von der Firewall A.
Moin,
du musst auf jeden Fall auf der entfernten Firewall an die Route zurück in das Netz denken. Die weiß schließlich nichts von dem Netz.
Mir ist noch keine Formulierung eingefallen, das simpel zu erklären.
Gruß
Spirit
du musst auf jeden Fall auf der entfernten Firewall an die Route zurück in das Netz denken. Die weiß schließlich nichts von dem Netz.
Mir ist noch keine Formulierung eingefallen, das simpel zu erklären.
Gruß
Spirit
Stimmt, das Protokoll ist IPSec.
OK, dann ist das kinderleicht.- Entweder einfach die P2 Netzmaske in Firewall B anpassen auf einen 19 Bit Prefix (255.255.224.0) was dann alle IP Netze zw. 172.16.0.0 und 172.16.31.254 an A in den Tunnel routet. Hat den großen Vorteil das du dann an A weitere Netze hinzufügen kannst ohne die VPN Konfig anpassen zu müssen! 😉 Ein 18er Prefix (255.255.192.0) erweitert den Bereich auf 172.16.63.254. Mehr geht nicht, da es sonst mit dem .100er Netz an B kollidiert.
- Oder... eine 2te Phase 2 eintragen mit dem dedizierten .20er Netz. Nachteil: Bei weiteren Netzen musst du dann in der VPN Konfig immer wieder neue P2s nachtragen.
Beispiele findest du u.a. hier:
Routingprobleme über OpenVPN auf Fritzbox
PFSense mit Fritzboxen verbinden