Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 5 subscribers
  • Views 21367 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Site-to-Site VPN zwischen zwei UTM auf ein gemeinsames Netzwerk

Patrick Mayer

Hallo Sophos Community,

 

ich zerbreche gerade mein Hirn an der funktionsweise der Site-to-Site VPN zwischen zwei UTMs.

Ich wollte wie in der Anleitung eine Site-to-Site VPN zwischen zwei Standorten herzustellen um zwischen mehreren VMs an unterschiedlichen Standorten Daten auszutauschen.

Hierfür müssen die Maschinen im selben Netzwerk sein. Sobald ich aber die NAT regeln aktiviere kann ich weder auf die lokale UTM zugreifen, noch auf die Maschine auf der anderen Seite.

 

Meine Konfiguration sieht ähnlich wie in der Anleitung aus, es gibt auf beiden Seiten ein Klasse C Netz welches via Site-to-Site VPN zu einem Netz werden soll. Die Gefahr das es IP-Adressen Konflike gibt besteht nicht, da die Maschinen alle eine feste IP-Adresse bekommen und diese auch Dokumentiert werden.
Sophos A hat ein Netz 192.168.10.xy, Sophos B hat ein Netz 192.168.20.xy. Die VPN lässt sich auch aufbauen. Haben die Maschienen im jeweiligen Netz eine IP-Adresse ( NAT deaktiviert) können beide Maschinen miteinander über die unterschiedlichen Netzwerke kommunizieren.

Ich habe mir mal hierfü eine kleine Zeichnung gemacht... ( Ob ich es hier auch richtig verstanden habe ist das andere... )

Das lustige ist, wenn die NAT aktiv ist, kommt folgende Meldung wenn ein Ping auf die lokale Sophos(192.168.50.1) abgesetzt wird:
"Antwort von 192.168.50.1: Zielhost nicht erreichbar"

Vielen dank für eure Hilfe!

 

Grüße Patrick!



This thread was automatically locked due to age.
  • 0

    Hallo Patrick,

    Erstmal herzlich willkommen hier in der Community !

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    Please show pictures of the Edits of the IPsec Connection and Remote Gateway from both UTMs.  Also, pictures of the NAT rules from one side.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson

    Hallo BAlfons,

     

    So sieht es momentan aus:

     

    Site-A:

    Site-B:

    VPN-Net-A: 192.168.10.0/24

    VPN-Net-B: 192.168.20.0/24

    VSA/VPN-Network / VSA-Management-Network: 192.168.50.0/24

     

    Danke schonmal im Vorraus.

  • 0 in reply to Patrick Mayer

    You're very close, Patrick.  You need to change NAT rule 2 in A & B so that the source of the packets is changed, not the destination.

    A: 1-to-1 : 192.168.50.0/24 -> 192.168.20.0/24 : from 192.168.10.0/24

    B: 1-to-1 : 192.168.50.0/24 -> 192.168.10.0/24 : from 192.168.20.0/24

    Geht's besser so ?

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson

    Meinst du mit Regel 2 das Bild Nummer 2 oder die Position Nummer 2?

    Wie ist die Regel einzutragen? Am besten wäre für das Verständniss eine von Oben nach unten anordnung ;)

  • 0 in reply to Patrick Mayer

    Hallo,

     

    es existiert ein KBA, der diese Konfiguration beschreibt:

    https://community.sophos.com/kb/en-us/115579

     

    Gruß

    __________________________________________________________________________________________________________________

  • 0 in reply to LuCar Toni

    Hallo Luca,

    Wie eingangs bereits erwähnt, hab ich diese Anleitung bereits genutzt und bin zu keinem Ergebnis gekommen.

    Vielleicht liegt es auch an meinem Verständniss.

    Ich habe nun auf zwei Seiten je eine Windows Testmaschine aufgesetzt. Diese können Sich über das 10er bzw. 20er Netztwerk pingen ( Sofern für dieses Netzwerk Konfiguriert) Aber sobald beide im 50er Netz sind kann ich maximal die lokale UTM pingen. Weiter geht der Ping leider nicht.

  • 0 in reply to Patrick Mayer

    Hier die Regel für Site B:

     

    MfG - Bob

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson

    sagt mal, läuft sowas in der Praxis auch wirklich robust? Vorhaben wäre es, ca. 20-30 Systeme in jedem RZ zu hosten und das Netz dabei zu strecken.

Unfiltered HTML