Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 4 subscribers
  • Views 1318 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Route / Zugriff über VPN Tunnel in ein drittes bzw. weiteres Netzwerk

Markus Schneider

Guten Morgen liebe Community.

Ich hätte da mal ein Problem bzw. damit einhergehend eine Frage... :)


Folgende Situation:

Ich habe mehrere Standorte bzw. Netzwerke. 

Standort A (Hauptstandort):
Netz: 192.168.14.0/24
Gateway/FW: 192.168.14.254 (Sophos SG135)

Standort B (Filiale)
Netz: 192.168.15.0/24
Gateway/Router: 192.168.15.254 (Fritzbox 7590)

Standort C (Filiale)
Netz: 192.168.16.0/24
Gateway/FW: 192.168.16.254 (Fritzbox 7590)


Alle Filialen (es gibt noch weitere) sind sternförmig, über den jeweiligen Router (i.d.R. eine Fritzbox), mit einem Site2Site VPN Tunnel
mit der Sophos UTM des Hauptstandortes verbunden.

Soweit so gut. Die Filialen haben Zugriff aus ihrem jeweiligen Netzwerk auf das Netzwerk des Hauptstandortes (z.B. 192.168.14.0 <-> 192.168.15.0)
und umgekehrt.

Nun wird es (leider) notwendig, dass die Filialen auch Zugriff untereinander bekommen. Also z.B. 192.168.15.0 <-> 192.168.16.0. Nun möchte ich
ungern sämtliche Filialen mit einer Sophos UTM ausstatten, um dann zwischen allen Filialen auch noch jeweils eine Site2Site VPN Verbindungen einzurichten.

Vermutlich wird man hier wohl mit einem (statischen) Routing in der Sophos UTM des Hauptstandortes arbeiten bzw. eine Lösung realisieren können.

Nach dem Schema:

Wenn eine Anfrage aus dem Netz 192.168.15.0 in das Netz 192.168.16.0 erfolgt, dann leite diese Anfrage entsprechend weiter (192.168.15.0 <-> 192.168.14.254 <-> 192.168.16.0).

Nun meine Frage. Ist dieses so (einfach) möglich, und wenn ja, wie könnte eine passende Konfiguration aussehen.

Für Vorschläge oder weiterführende Infos wäre ich sehr dankbar! :)

Viele Grüße
Markus



This thread was automatically locked due to age.
  • 0

    Moin,

     

    eigentlich musst Du nur den FBs die anderen Netze der Filialen bekannt machen. Die UTM routet ja schon zu den Standorten.

  • 0 in reply to ThorstenSult

    Moin,

    zunächst vielen Dank für den Hinweis.

    Ich habe in der Fritzbox des Standortes C (192.168.16.0) einmal eine statische IPv4 Route hinzugefügt:

    Netzwerk: 192.168.15.0 (Netz des Standortes B)
    Subnetz: 255.255.255.0
    Gateway: 192.168.16.254 (Fritzbox des Standortes C)

    Die Fritzbox VPN Config habe ich im Bereich "accesslist" noch um das Netz "192.168.15.0" erweitert bzw. permitted und die
    VPN Verbindung noch mal neu erstellt.

    accesslist = "permit ip any 192.168.14.0 255.255.255.0","permit ip any 192.168.15.0 255.255.255.0";


    In der Sophos UTM, vom Netz des Hauptstandortes (Standort A - 192.168.14.0), lässt die Firewall sämtlichen Verkehr zwischen
    den beiden Netzen der Standorte B + C zu (192.168.15.0 <-> any <-> 192.168.16.0).


    Leider ist aber noch keinen Zugriff von Standort C zum Standort B möglich. Eine Routenverfolgung aus dem Netz vom Standort B zu einem Host im Netz des Standortes C erreicht lediglich die lokale Fritzbox bzw. das Gateway von Standort B (192.168.16.254).

    Gruß Markus

  • 0 in reply to Markus Schneider

    Hallo Markus,

    Herzlich willkommen hier in der Community !

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    Hub and Spoke Site-to-Site VPNs has a link back to the thread in the German Forum where I originally learned this from Gert Hansen, the original guru of VPNs at Astaro.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to Markus Schneider

    Moin,

     

    die FB am Standort B muss ja aber auch die Route zum Standort C haben. Sind die Netze in den VPN-Profilen an der UTM in den lokalen Netzen eingetragen? Wenn möglich, mache ein paar Screenshots.

  • 0 in reply to ThorstenSult

    Guten Morgen,

    es sieht so aus, als könnte man das Problem über eine Route in den jeweiligen Fritzboxen nicht lösen.

    Im Übrigen kann man in der Fritzbox in einer Route nicht die jeweils lokale Fritzbox als Gateway eintragen sondern
    nur ein anderes Gateway aus dem gleichen Subnetz. Ich denke das Routing Konzept von AVM ist ein anderes, als
    das was mir das vorschwebt.

    Insofern sehe ich hier wohl als einzige Möglichkeit, alle Standorte per VPN (z.B. über die Fritzboxen) mit einander zu verbinden.

    Gruß Markus

Unfiltered HTML