Aussenstelle mit SG im RED Modus anbinden

Hallo,

Also RED Site to Site hat einige Vorteile gegenüber dem klassischen IPsec Site to Site.

Du hast das einfache Management. Du hast ein Interface (!). Damit kannst du viel besser Routing Protokolle verwenden.

"RED Modus" bedeutet, dass du die RED Site to Site einsetzen möchtest?

Der Vorteil hier ist eben noch zusätzlich, dass du anhand von Multipath noch Traffic auf WAN oder im Tunnel raus senden kannst.

Gruß

Hallo Luca,

"RED Modus" bedeutet, dass du die RED Site to Site einsetzen möchtest?

Naja, im Prinzip genau so. Also dachte ich mir im VPN Gateway in der Hauptstelle im RED Management anstatt eine RED auszuwählen 10,15, oder 50 die Option UTM zu wählen.

Wenn Du das als Site-to-Site bezeichnen möchtest, dann ürde ich das so machen wollen.

Ich dachte mir es wäre einfache zu handhaben vor allem sollte die Aussenstelle mit eine dynamischen WAN IP ausgestattet ist was ich noch nicht weiss oder die RED beim Dienstleister LAN dynamische IP zuweisung bekommt. Bei einer festen IPsec Konfiguration wäre ich dann angeschmiert.

Ich nehme an das ich das Management der SG dann auch problemlos durch den GRE Tunnel (RED) durchführen kann.

Gruß Ster

Hallo Luca,

"RED Modus" bedeutet, dass du die RED Site to Site einsetzen möchtest?

Naja, im Prinzip genau so. Also dachte ich mir im VPN Gateway in der Hauptstelle im RED Management anstatt eine RED auszuwählen 10,15, oder 50 die Option UTM zu wählen.

Wenn Du das als Site-to-Site bezeichnen möchtest, dann ürde ich das so machen wollen.

Ich dachte mir es wäre einfache zu handhaben vor allem sollte die Aussenstelle mit eine dynamischen WAN IP ausgestattet ist was ich noch nicht weiss oder die RED beim Dienstleister LAN dynamische IP zuweisung bekommt. Bei einer festen IPsec Konfiguration wäre ich dann angeschmiert.

Ich nehme an das ich das Management der SG dann auch problemlos durch den GRE Tunnel (RED) durchführen kann.

Gruß Ster

Hallo Ster,

(Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

"Ich nehme an das ich das Management der SG dann auch problemlos durch den GRE Tunnel (RED) durchführen kann."

I do this with both IPsec and RED tunnels with different clients.

Luca, since 9.1, you can achieve the same routing capabilities by binding the IPsec Connection to a WAN interface.  You might be interested in an article that I copied into the UTM Wiki: Sophos UTM multiple S2S IPsec VPN mit Failover – Tutorial (DE).  One day, I'll add an English translation, but there are so many screen caps in English that I've not been motivated.

MfG - Bob (Bitte auf Deutsch weiterhin.)

das entfernte Netz wird zwar eigene Komponeten enthalten (gemanagter Switch mit clients) steht aber in einer totalen Fremdumgebung. Auch der Internetzugang zu unseren Komponeten steht nicht unter unserer Kontrolle. So dachte ich es ist mir egal ob ich vom unseren Dienstleister eine seiner LAN Adressen mit dhcp bekomme oder nicht. Hauptsache mein Gerät kommt ins Internet. Aber ich will im Gegensatz zu einer RED volle Kontrolle über die Ethernetports. Bei den Red's sind ja nur einfache Switche verbaut so kann ich einzelne Interface nicht abschalten.

Ansonsten hätte es auch eine RED getan aber ich kann den physikalischen Zugriff nicht kontrollieren.

For your english brain  ;)

The remote network will contain its own components (managed switch with clients) but is in a total external environment. Also the Internet access to our components is not under our control. So I thought I do not care if I get from our service provider one of its LAN addresses with dhcp or not. Main thing my device comes to the internet. But I want in contrast to a RED full control over the Ethernet ports. With the Red's only simple switches are installed so I can not switch off individual interface. Otherwise it would have done a RED but I can not control the physical access

Ich habe nicht gesagt dass ich Deutsch nicht verstehe, Ster ! [;)]  Nur ist es dass, wenn ich technische Probleme lösen möchte, habe ich jetzt Schwierigkeiten gedanken auf Deutsch zu kreiren.

This is not helped by the fact that I lived over five years in Paris after a year working for IBM Deutschland in Berlin.  When I turn off my English-speaking brain, I really have to struggle to not think in French.  A day or two back in my grandmother's Heimatland would solve that problem though!

MfG - Bob
PS By the way, your English is excellent.  Spelling is perfect.  Grammar mistakes are the kind I often use in informal conversation like we have here.  You've either spent a lot of time around Americans or you watch too many movies. [:D]

ich wollte es Dir nur leichter machen den Hintergrund zu verstehen weil mir konstruktive Anregungen wichtig sind zumal Du Dich etwas mehr als nur ein bisschen auskennst.

[:)]

Ster

Bin mittlerweile schon einen Schritt weiter und habe den Versuchsaufbau grundlegend eingerichtet. Dabei ist mir auf gefallen das  die Paket die aus dem Tunnel kommen nicht durch Filteregeln  auf der Client UTM geregelt werden können bzw müssen. Ich habe natürlich zuerst die internal-IP der Client UTM erreichbar machen wollen und dabei ist dieses Verhalten aufgefallen.  "Ergänzung": Diese Verhalten gilt nur für das Internal Interface. Alle nach der Ersteinrichtung angelegten Interface müssen wir gewohnt mit Firewallrules geregelt werden.

Der Test ist abgeschlossen und wir werden das Gebilde in die Produktion überführen.

Im Gegesatz zu einer klassischen RED müssen auf beiden Seiten wie bei einem Site2Site Tunnel zwei Firewalls administrierrt werden. Bei einer RED entfällt  das separate Einrichten der entfernten Gegenstelle.

Sollten die Regeln umfangreich sein, spricht das eher für die RED. Natürlich ist eine UTM auf der Remoteseite besser zu managen und zu überwachen. Zudem kann unbenutzte Ports deaktivieren etc.