Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

default route über site-2-site Tunnel - wie genau?

Hallo Spezialisten,

ich quäle mich nun schon eine Weile rum und verstehe es nicht...

Gegeben:
Intraselect-Vernetzung eiiger Standorte mit any-to-central-Konfiguration, d.h. eine Zentrale und von dort aus wird jede Filiale konnektiert.
Darauf sitzen VPN-Tunnel mit Astaros (um den Traffic vom Intraselect-Anbieter abzuschotten). Hierzu sitzt im Rechenzentrum eine ASG320, in den Filialen jeweils eine ASG110/120 welche zum Rechenzentrum die Tunnel aufbauen. Die Rechner an den unterschiedlichen Standorten sehen sich untereinander. Somit ist hier kein Problem. Vom Rechenzetrum aus greifen die Server via Festanbindung auf das Internet zu. Die Filiealen haben kein eigenes Internet.

Gewünscht:
Gemeinsame Internet-Nutzung über eine zentrale Anbindung (Standleitung) im Rechenzentrum, um 
a) in den Filialen keine eigenen DSLer zu haben
b) den Traffic an einer Stelle shapen zu können
c) den Traffic an einer Stelle filtern zu können
d
e
f
...

Gesucht:
Lösung, wie ich über das VPN eine Default-Route administrieren kann.
Über policy-Routen habe ich es schon mal probiert, mich dabei aber zwei mal erfolgreich selbst vom System ausgesperrt....

Wie geht das denn nun genau?

Finde leider auch keine passende FAQ, bzw. Howto.

Bitte um Hilfe.

Merci
Mike


This thread was automatically locked due to age.
  • Hi Mike,

    habs mal testweise schnell von mir zu Haus über VPN über unseren Firmenserver mit folgenden Parametern eingerichtet:
    - Den Proxy bei mir lokal ausgeschaltet
    - Bei meinem Client nicht die lokale Astaro, sondern die Firmen-ASG als Proxy angegeben, den Gateway aber auf der lokalen ASG lassen
    - auf meiner ASG im Paketfilter für die Clients den Proxy-Port zum Zugriff auf die lokale Adresse meiner ASG freigeschaltet
    - auf der entfernten Firmenfirewall im Packetfilter den Zugriff meines LAN's über den Proxy-Port auf die lokale Adresse der entfernten Firewall freigeschaltet
    - Im HTTP Proxy der Firmenfirewall den Zugriff meines lokalen LAN's gestattet. 

    Dann sollte es eigentlich über die zentrale Firewall über VPN laufen...
    Ich hoff ich hab auf die Schnelle nichts übersehen [:)]

    Gruß
    Robert

  • Gewünscht:
    Gemeinsame Internet-Nutzung über eine zentrale Anbindung (Standleitung) im Rechenzentrum, um 
    a) in den Filialen keine eigenen DSLer zu haben
    b) den Traffic an einer Stelle shapen zu können
    c) den Traffic an einer Stelle filtern zu können
    d
    e
    f
    ...

    Gesucht:
    Lösung, wie ich über das VPN eine Default-Route administrieren kann.
    Über policy-Routen habe ich es schon mal probiert, mich dabei aber zwei mal erfolgreich selbst vom System ausgesperrt....


    Ich kann mich erinnern, dass dieses Thema (def. GW über VPN) schon mal bei der V5 aufgekommen ist und es meines Wissens zumindest damals keine Lösung dafür gab.

    So wie Du es vor hast (Hub & Spoke) würde man für den einen Tunnel zur Zentrale eher einen preiswerten Router einsetzen.

    Wenn Du wirklich den ganzen Traffic über die Zentrale "schaufeln" willst, jedoch ein paar Funktionen der dezentralen ASG's noch nutzen möchtest , dann hier mal ein paar Stichpunkte zur Configuration.

    - IPSEC / Remote Gateway (Zentrale) / Remote Networks (Any)
    - SMTP / Advanced / Parent Proxy (Zentrale) + Smarthost (Zentrale)
    - Web /  Advanced / HTTP Parent Proxy (Zentrale)
    - Network / DNS / Forwarders + Request Routing (Zentrale)
    - ... und hier und da noch ein bischen Finetuning
  • Wenn Du wirklich den ganzen Traffic über die Zentrale "schaufeln" willst, jedoch ein paar Funktionen der dezentralen ASG's noch nutzen möchtest , dann hier mal ein paar Stichpunkte zur Configuration.


    Naja, wollen ist so ein bisschen der falsche Ausdruck.
    "Müssen" kommt eher hin.
    Die ASGs sind vorhanden, die Zentralisierung ist/wird neu.


    - IPSEC / Remote Gateway (Zentrale) / Remote Networks (Any)


    Oh Mann.. der Wald.... wo ist der Wald?
    Danke. und dabei ist das auch noch so logisch (ASG320 nehm und mir damit vor die Stirn hau)[:$]


    - SMTP / Advanced / Parent Proxy (Zentrale) + Smarthost (Zentrale)
    - Web /  Advanced / HTTP Parent Proxy (Zentrale)
    - Network / DNS / Forwarders + Request Routing (Zentrale)
    - ... und hier und da noch ein bischen Finetuning


    Das war mir ohnehin klar. nur die delault-Route wollte nicht ins Hirn.
    Naja, jetzt rennt's in der Testumgebung. Kann ich morgen die Standorte umstellen.

    Danke vielmals!

    Gruss
    Mike