VPN mehrere Standorte und mobile Clients
Hallo allseits,
vielleicht kann mir jemand den nötigen Denkanstoß geben...
Also folgende Ausgangssituation:
4 Standorte, eine Zentrale (A), 3 HomeOffice (B,C,D), externe Clients mit VPN Client
Hardware, Zyxel USG in verschiedener Dimension, NCP als VPN Client
Aktuell ist jeder Standort mit der Zentrale
jeweils local policy: Subnetz_Zentrale / remote policy: Subnetz_Standort
analog die externen Clients.
Die Standorte/Clients können problemlos mit der Zentrale kommunizieren.
Nun zum Ziel:
Die Standorte und externen Clients sollen untereinander kommunizieren können.
Ab jetzt benötige ich eure Hilfe.
Ich hätte grundsätzlich 3 "halbe" Ideen
1. Zusätzliche VPN Verbindungen zwischen den Standorten B,C, D untereinander, Nachteil sehr viele VPN Verbindungen
2. Routing über die Zentrale, Nachteil: erhöhter Traffic, wäre jedoch aufgrund der zu erwartenden Datenmenge kein Thema
Problem: hier benötige ich doch mehrere remote policies, richtig? ich weiß nicht wie ich diese bei Zyxel konfigurieren kann.
3. Concentrator Netzwerk - erfolgreich innerhalb der Standorte getestet, an den externen Clients scheitere ich derzeit.
Bei allen Lösungen schaffe ich es nicht die externen Clients anzubinden.
Stehe ich total auf dem Schlauch oder geht das nicht? Zusätzlich muss ich gestehen das VPN nicht gerade zu meinen Steckenpferden zählt.
Hoffe es kann mir jemand helfen
Vielen Dank im Voraus.
Grüße
nixlos
vielleicht kann mir jemand den nötigen Denkanstoß geben...
Also folgende Ausgangssituation:
4 Standorte, eine Zentrale (A), 3 HomeOffice (B,C,D), externe Clients mit VPN Client
Hardware, Zyxel USG in verschiedener Dimension, NCP als VPN Client
Aktuell ist jeder Standort mit der Zentrale
jeweils local policy: Subnetz_Zentrale / remote policy: Subnetz_Standort
analog die externen Clients.
Die Standorte/Clients können problemlos mit der Zentrale kommunizieren.
Nun zum Ziel:
Die Standorte und externen Clients sollen untereinander kommunizieren können.
Ab jetzt benötige ich eure Hilfe.
Ich hätte grundsätzlich 3 "halbe" Ideen
1. Zusätzliche VPN Verbindungen zwischen den Standorten B,C, D untereinander, Nachteil sehr viele VPN Verbindungen
2. Routing über die Zentrale, Nachteil: erhöhter Traffic, wäre jedoch aufgrund der zu erwartenden Datenmenge kein Thema
Problem: hier benötige ich doch mehrere remote policies, richtig? ich weiß nicht wie ich diese bei Zyxel konfigurieren kann.
3. Concentrator Netzwerk - erfolgreich innerhalb der Standorte getestet, an den externen Clients scheitere ich derzeit.
Bei allen Lösungen schaffe ich es nicht die externen Clients anzubinden.
Stehe ich total auf dem Schlauch oder geht das nicht? Zusätzlich muss ich gestehen das VPN nicht gerade zu meinen Steckenpferden zählt.
Hoffe es kann mir jemand helfen
Vielen Dank im Voraus.
Grüße
nixlos
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 258907
Url: https://administrator.de/contentid/258907
Ausgedruckt am: 16.11.2024 um 21:11 Uhr
9 Kommentare
Neuester Kommentar
Die Standorte und externen Clients sollen untereinander kommunizieren können.
Das sollten sie jetzt auch schon können !! Du schreibst ja "Die Standorte/Clients können problemlos mit der Zentrale kommunizieren.". Wenn sie das können muss auch eine Kommunikation untereinander möglich sein. Wenn das nicht der Fall ist zeigt das auf das du ein Fehler in der Routing Konfig der Komponenten gemacht hast und Routen schlicht und einfach fehlen.Auch bei einer sternförmigen VPN Vernetzung können immer alle Außenstellen auch über die Zentrale kommunizieren ! Sicher, nicht ideal (hast du ja im Punkt 2. auch richtig erkannt) klappt aber wenn man alles richtig gemacht hat. Das mit den Remote Policies ist natürlich Unsinn, denn das betrifft einzig nur das IP Routing.
Besser ist natürlich von den Außenstellen auch noch direkte VPN Peers (Tunnel) zu den anderen Außenstellen aufzubauen. Auf solche banalen Grundlagen kommt man aber als Netzwerker auch selber ?!
Die remoten Clients bindet man zentral an die Zentrale an und fertig. Eigentlich sind das 3 Mausklicks...wenn man mal ins Handbuch sieht ?!
Hallo Nixlos,
eine Hub-and-Spoke-Konfiguration wäre hier schon das richtige. Full-Mesh ist auf Dauer administrativ nicht zu beherrschen.
Wie sieht denn das IP-Adressierungskonzept aus? Welche IP-Netze verwenden die Zentrale, die Homeoffices und die VPN-Clients? Verwenden letztere überhaupt definierte virtuelle IPs oder kommen sie derzeit noch mit der öffentlichen IP rein?
Gruß
sk
eine Hub-and-Spoke-Konfiguration wäre hier schon das richtige. Full-Mesh ist auf Dauer administrativ nicht zu beherrschen.
Wie sieht denn das IP-Adressierungskonzept aus? Welche IP-Netze verwenden die Zentrale, die Homeoffices und die VPN-Clients? Verwenden letztere überhaupt definierte virtuelle IPs oder kommen sie derzeit noch mit der öffentlichen IP rein?
Gruß
sk
Zitat von @nixlos:
Wie Du richtig vermutete hast, die VPN-Clients kommen derzeit mit der öffentlichen IP rein.
Wie Du richtig vermutete hast, die VPN-Clients kommen derzeit mit der öffentlichen IP rein.
Und wie soll dann den Homeoffices die Rückroute bekannt gemacht werden? Das ginge nur, wenn die Homeoffices auch über die Zentrale ins Internet gehen. Ich kann mir kaum vorstellen, dass das gewünscht ist.
Du must also dafür sorgen, dass die Absender-IPs der VPN-Clients "greifbar" sind. Um das Routing zu vereinfachen, sollte diese IP-Range aber so gelegt werden, dass das IP-Konzept der Gesamtstruktur per Supernetting durch ein einziges Netz beschrieben werden kann. Dabei ist auch an ein weiteres Wachstum des Netzes oder an eine Diversifizierung der Netzstruktur zu denken.
Es böte sich hier z.B. an, für die VPN-Clients das Netz x.y.16.0/24 zu reservieren. Bereits mit einer /21-Maske ließe sich dann die gesamte Struktur beschreiben, wobei noch Reserve für 3 weitere /24-Netze wäre (z.B. für weitere Homeoffices). Wenn diese 3 freien Netze irgendwann nicht mehr reichen würden, könnte man nach hinten ausbauen und die Gesamtstruktur mit einer /20-Maske definieren (16-31 im 3. Oktett). Ich würde mir von vorneherein 20 Bit für meinen Adressraum nehmen und mir gedanklich die 25 aufwärts im 3. Oktett für künftige HomeOffices und Niederlassungen reservieren. Die 3 freien /24-Netze von 17 bis 19 im 3. Oktett würde ich mir für weitere Netze in der Zentrale aufheben.
Die Phase2-Policies der Site-to-Site-IPSec-Tunnel definierst Du dann folgendermaßen:
a) Zentrale
local Subnet = x.y.16.0/20
remote Subnet=x.y.z.0/24 (die jeweilige Außenstelle)
b) Außenstellen/Homeoffices
local Subnet = x.y.z.0/24 (das jeweilige lokale Netz)
remote Subnet = x.y.16.0/20
Dadurch wissen alle Außenstellen, dass alle Teilnetze von x.y.16.0/20 über den VPN-Tunnel zu erreichen sind. Die Überschneidung von Remotenetz und lokalem Netz ist zumindest bei Verwendung von Zywalls, welche auf ZLD2.2x und höher basieren, unschädlich, weil das lokal direkt konnektierte Netz per Default eine höhere Routingpriorität hat, als die aus der Phase2-Policy gelernten Routen.
Man hätte das Ganze übrigens auch über Policy-Routen lösen können, aber der dargestellte Weg ist eleganter sowie interoperabler zu Drittanbietergateways.
Was nun natürlich noch fehlt, ist die Anpassung der VPNs zwischen der Zentrale und den VPN-Clients.
Im (mir nicht bekannten) NCP-Client muss man irgendwo die lokale IP-Adresse konfigurieren können. Das ist dann eine einzelne Adresse aus dem Netz x.y.16.0/24. Als Remotenetz ist das Netz x.y.16.0/20 anzugeben.
Auf Zywall-Seite ist in der Phase2-Policy selbstverständlich ebenfalls auf x.y.16.0/20 umzustellen. Das Remotenetz bleibt dynamisch und wird der Zywall erst beim Einwahl durch den Client bekannt.
Gruß
sk
P.S. Ggf. muss auch das Firewallregelwerk an den beteiligten Zywalls angepastst werden.
Zitat von @nixlos:
würdest Du mir noch die Alternative mit Policy-Routen noch verraten?
... Vielleicht ist dieser nicht so "riskant" wenn bei der VPN Umstellung etwas schief geht sitze ich nen Tag im Auto
würdest Du mir noch die Alternative mit Policy-Routen noch verraten?
... Vielleicht ist dieser nicht so "riskant" wenn bei der VPN Umstellung etwas schief geht sitze ich nen Tag im Auto
Ist in der Tat ungefährlicher, wenn man für Durchführung der Änderungen selbst durch den zu ändernden VPN-Tunnel zugreift.
Per Default haben Policyrouten eine höhere Priorität als die solche, die die Zywall automatisch aus der Phase2-Policy der Tunnelkonfiguration ableitet. Oder anders ausgedrückt: Man kann letztere per Policyroute "übersteuern". Voraussetzung dafür ist allerdings, dass man in der IPSec-Phase2-Policy das Policy-Enforcement deaktiviert hat (was aber die Default-Einstellung ist).
Wie geht das nun?
Auf den Zywalls der Homeoffices erstellst Du unter Configuration->Network->Routing->Policy-Route jeweils folgende neue Regel:
Incoming Interface = any
Source Address = any
Destination Address = x.y.16.0/20
Service = any
Next Hop = VPN-Tunnel
VPN Tunnel = <der Tunnel zur Zentrale>
Achte darauf, dass die (globale) Option "Use Policy Route to Override Direct Route" NICHT aktiviert ist, denn diese erhöht die Priorität der Policyrouten über die der direkt verbundenen Netze!
Auf der Zywall in der Zentrale sind 3 Policyrouten erforderlich. Für jedes Homeoffice eine mit dem jeweiligen Remotenetz der Außenstelle als Ziel. Zwar weiss die Zywall bereits aus der Tunneldefinition, dass dieses Zielnetz hinter dem Tunnel liegt, jedoch assoziiert sie diesen Weg nur für das lokale Netz der Zentrale als Source, da nur dieses Netz bisher in der IPSec-Phase2-Policy erfasst ist.
Alternativ kannst Du auch eine "Concentrator-Konfiguration" einrichten. Dann sparst Du Dir die Policyrouten in der Zentrale.
Die Konfiguration des Client-to-Site-VPNs würde ich wie zuvor beschrieben anpassen. Zywall-seitig könnte man zwar auch hier mit einer Policyroute arbeiten, aber es bringt keine Vorteile. An die Client-Konfiguration musst Du ohnehin in jedem Fall ran, um die vorgetäuschte lokale IP zu konfigurieren.
Gruß
Steffen