11
Sophos UTM IPSec VPN, keine Verbindung zu RED-Netzwerk
Hallo zusammen,
ich stehe ein wenig auf dem Schlauch...
Folgendes Szenario ergibt sich:
Zentrale: Sophos SG 230 (172.16.10.0/24)
Außenstandort 1: Sophos SG 230 (172.16.20.0/24)
Außenstandort 2: Sophos RED 15 (172.16.30.0/24)
Zentrale und Außenstandort 1 sind über IPSec VPN miteinander verbunden. Verbindung steht.
Zentrale und Außenstandort 2 sind über Sophos RED miteinander verbunden. Verbindung steht.
Leider schaffe ich es nicht, eine Verbindung von Außenstandort 1 über die Zentrale zu Außenstandort 2 aufzubauen.
Ich habe schon versucht statische Routen (Gateway Routen) und Firewall Regeln zu erstellen. Erfolglos.
Was muss ich noch beachten? Sind statische Routen überhaupt der richtige Ansatz?
Die RED läuft im Standard / Unified Modus. Muss hier ggf. noch eine Änderung erfolgen?
Über einen Tipp wäre ich dankbar.
ich stehe ein wenig auf dem Schlauch...
Folgendes Szenario ergibt sich:
Zentrale: Sophos SG 230 (172.16.10.0/24)
Außenstandort 1: Sophos SG 230 (172.16.20.0/24)
Außenstandort 2: Sophos RED 15 (172.16.30.0/24)
Zentrale und Außenstandort 1 sind über IPSec VPN miteinander verbunden. Verbindung steht.
Zentrale und Außenstandort 2 sind über Sophos RED miteinander verbunden. Verbindung steht.
Leider schaffe ich es nicht, eine Verbindung von Außenstandort 1 über die Zentrale zu Außenstandort 2 aufzubauen.
Ich habe schon versucht statische Routen (Gateway Routen) und Firewall Regeln zu erstellen. Erfolglos.
Was muss ich noch beachten? Sind statische Routen überhaupt der richtige Ansatz?
Die RED läuft im Standard / Unified Modus. Muss hier ggf. noch eine Änderung erfolgen?
Über einen Tipp wäre ich dankbar.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1326100607
Url: https://administrator.de/contentid/1326100607
Printed on: April 25, 2024 at 14:04 o'clock
11 Comments
Latest comment
Das Routing muss nicht nur in der Zentrale durchgeführt werden, sondern auch in den Aussenstandorten. Aussenstandort 1 kennt nur die Zentrale als Routingziel, der Rest geht direkt ins Internet, also landen die Anfragen für Standort B im Nirvana. Also braucht Standort 1 noch eine zusätzliche Route zu Standort B (über die Zentrale) und Standort B eine zusätzliche Route zu Standort A (über die Zentrale).
@NordicMike
Danke für die Antwort.
Das ist mir soweit klar. Allerdings kann ich auf der RED-Box ja keine Route eintragen...
Oder muss die auf der Zentrale eingetragen werden?
Meine Routen sind aktuell folgende:
Außenstandort 1:
Network: 172.16.30.0
Gateway: Zentrale
Zentrale:
Network: 172.16.20.0
Gateway: Außenstandort 1
Danke für die Antwort.
Das ist mir soweit klar. Allerdings kann ich auf der RED-Box ja keine Route eintragen...
Oder muss die auf der Zentrale eingetragen werden?
Meine Routen sind aktuell folgende:
Außenstandort 1:
Network: 172.16.30.0
Gateway: Zentrale
Zentrale:
Network: 172.16.20.0
Gateway: Außenstandort 1
Die Routen für die RED wird in der Zentrale eingestellt. Ich glaube mich zu erinnern, das man da einstellen kann, ob "nur" der Verkehr zur Zentrale über die Zentrale geht und der Rest ins Internet, oder "alles" über die Zentrale läuft.
Zentrale:
Gateway: Außenstandort 1
Aber hoffentlich nicht die default Gateway?Gateway: Außenstandort 1
Network: 172.16.20.0
Network von welcher Schnittstelle? Die Zentrale hat ja mehrere Schnittstellen.Die Routen für die RED wird in der Zentrale eingestellt. Ich glaube mich zu erinnern, das man da einstellen kann, ob "nur" der Verkehr zur Zentrale über die Zentrale geht und der Rest ins Internet, oder "alles" über die Zentrale
Die RED läuft jetzt im Standard / Split Modus, also die eingetragen Netzte gehen zu Zentrale.
Hier habe ich das Netz der Zentrale & das Netz vom Standort 1 eingetragen.
Zudem habe ich diese Routen angelegt:
Auf der UTM Zentrale:
Network: 172.16.20.0
über Interface: VPN zum Standort 1
Auf dem Standort 1:
Network: 172.16.30.0
über Interface: VPN zur Zentrale
Moin,
soweit ich mich erinnere legt die Sophos RED immer nur automatische Regeln für die Verbindzug RED <-> Zentrale an. Wenn deine Firewall nicht alle durchlässt, musst du in der Firewall die beiden Sophos-RED-Netze untereinander erlauben, sonst blockt das die Firewall. Das war zumindest vor 5 Jahren der Stand als ich mich damit rumgeschlagen habe.
Gruß
Doskias
soweit ich mich erinnere legt die Sophos RED immer nur automatische Regeln für die Verbindzug RED <-> Zentrale an. Wenn deine Firewall nicht alle durchlässt, musst du in der Firewall die beiden Sophos-RED-Netze untereinander erlauben, sonst blockt das die Firewall. Das war zumindest vor 5 Jahren der Stand als ich mich damit rumgeschlagen habe.
Gruß
Doskias
@Doskias
Danke für die Antwort. Firewall-Technisch ist bereits alles von Standort 1 nach Standort 2 und zurück freigegeben...
Danke für die Antwort. Firewall-Technisch ist bereits alles von Standort 1 nach Standort 2 und zurück freigegeben...
Hallo,
hast Du in dem IPSec-VPN zwischen Standort 1 und Zentrale das Subnetz von Standort 2 als lokales Subnetz der Zentrale hinzugefügt?
hast Du in dem IPSec-VPN zwischen Standort 1 und Zentrale das Subnetz von Standort 2 als lokales Subnetz der Zentrale hinzugefügt?
@redhorse
Danke! Der Eintrag hat definitiv gefehlt!
Das war aber wohl noch nicht alles...
Danke! Der Eintrag hat definitiv gefehlt!
Das war aber wohl noch nicht alles...
Und natürlich als Remote-Subnetz im IPSec-VPN in der UTM an Standort 1, also das Gegenstück von dem anderen. Oder hast Du das direkt mitgemacht?
Was sagt der Trace von Standort 1 zu Standort 2?
@redhorse
Ja habe ich mitgemacht. Hatte aber danach nicht geklappt...
Habe den VPN Tunnel dann gerade nochmal aus- und anschließend wieder eingeschaltet und dann ging es plötzlich.
Daher VIELEN DANK!
Ja habe ich mitgemacht. Hatte aber danach nicht geklappt...
Habe den VPN Tunnel dann gerade nochmal aus- und anschließend wieder eingeschaltet und dann ging es plötzlich.
Daher VIELEN DANK!
Super, kein Problem!
