Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 38 subscribers
  • Views 4096 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN Tunnel mit Default Route möglich?

erdenkind
Hallo,

wir haben eine große ASTARO im Einsatz. In der Außenstellen steht eine Funkwerk R1200. Der IPSecVPN funktioniert grundsätzlich einwandrei. Nun gibts aber eine Spezialanforderung: es muss jeder Netzwerkverkehr auf Seite der Gegenstelle in den VPN Tunnel. Das lässt sich auf der Funkwerk mit der Einstellung der Default Route auch so konfigurieren (Default auf VPN Tunnel). Leider bekomme ich das Setup aber auf der Astaro nicht zum laufen: hier können ja explizit einzelne Netzwerke an den Tunnel gebunden werden. Aber ein Netzwerk mit z.B. 0.0.0.0/0.0.0.0 nimmt die GUI nicht an...die Funkwerk propagiert das 0.0.0.0/0.0.0.0 als SA...

Gibts hier eine praktikable Lösung?

Hintergrund: die Außenstelle darf nur über den Tunnel kommunizieren, Firewall steht auf Seite der Astaro.


This thread was automatically locked due to age.
Parents
  • 0
    Wenn ich richtig verstanden habe...

    https://community.sophos.com/products/unified-threat-management/astaroorg/f/54/t/39025

    Gruß - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hi erdenkind,

    ich habe mich mit IPSec-VPN auf der v7 noch nicht befasst aber unter SSL-VPN kannst du Any als erreichbares Netz festelgen und aller Traffic landet auf der Astaro. Zusätzlich ist in den Settings dann noch die Astaro als DNS hinterlegt.

    Evtl. hilfts.

    Gesundes neues noch.

    Steffen
  • 0 in reply to trialrider
    Hallo,

    das war nicht so ganz, was ich wollte...nochmals zum Verständnis:


    Astaro Außenstelle steh mit Astaro Rechenzentrum über IPSec-VPN in Verbindung. Der Internet-Traffik in der Außenstelle darf nur ber einen zentralen Proxy im Rechenzentrum abgewickelt werden. Hierzu muss also auf der Auenstellen-ASTARO eine Default Route in den VPN Tunnel zeigen. Es existiert selbstverständlich noch eine Hostroute, die auf das VPN Gateway im Rechenzetrum ins Internet zeigt, da ja sonst der VPn Tunnel nicht zustande kommen würde...aber generell geht default über den VPN.

    Dieses Setup klappt mit Funkwerk/Checkpoint, sollte also auch mit den etwas höhere-preisigen Astaros möglich sein...oder?

    Zur Info: Wenn ich eine Funkwerk R1200 ans andere Ende des Tunnels zum Rechenzentrum setze, dann kommt auf der Astaro eine Fehlermeldung im IPSec-Log nach dem Moto" SA 0.0.0.0/0.0.0.0 error"...also scheint die RZ-Astaro schon mit dem Announcement default ein Thema zu haben...das sollte doch auch machbar sein...!?!




    Gruß

    Björn
  • 0 in reply to erdenkind
    Hi Björn,

    meiner Meinung nach brauchst Du keine Default Route für den IPsec-Traffic in der Außenstelle.
    Wir haben das hier mit Traffic-Lists gemacht. Wir haben in den Außenstellen auch Bintecs stehen und in der Zentrale ne Astaro.

    VPNs schauen bei uns so aus:

    z.b. die Außenstelle hat das Netz 192.168.50.0/24
    die Zentrale 172.16.1.0/24

    Bintec-Konfiguration:
    in der Peerconfig - Trafficlist
    Local: 192.168.50.0/24
    Remote 
    (natürlich darf man die pre-ipsec-Rules nicht vergessen)

    Astaro:
    Local: 
    Remote: 192.168.50.0/24 (die Definition eben)

    somit wird von der Außenstelle jeglicher Traffic der nicht im Subnet 192.168.50.0/24 ist über den Tunnel in die Zentrale geschickt.

    Gruss
    Thomas
Reply
  • 0 in reply to erdenkind
    Hi Björn,

    meiner Meinung nach brauchst Du keine Default Route für den IPsec-Traffic in der Außenstelle.
    Wir haben das hier mit Traffic-Lists gemacht. Wir haben in den Außenstellen auch Bintecs stehen und in der Zentrale ne Astaro.

    VPNs schauen bei uns so aus:

    z.b. die Außenstelle hat das Netz 192.168.50.0/24
    die Zentrale 172.16.1.0/24

    Bintec-Konfiguration:
    in der Peerconfig - Trafficlist
    Local: 192.168.50.0/24
    Remote 
    (natürlich darf man die pre-ipsec-Rules nicht vergessen)

    Astaro:
    Local: 
    Remote: 192.168.50.0/24 (die Definition eben)

    somit wird von der Außenstelle jeglicher Traffic der nicht im Subnet 192.168.50.0/24 ist über den Tunnel in die Zentrale geschickt.

    Gruss
    Thomas
Children
No Data
Unfiltered HTML