Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 38 subscribers
  • Views 2130 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN Verbindung

maverick87
Hallo Zusammen,

ich habe ein kleines Problem mit einer VPN (IPSEC) Verbindung. Habe unser Netzwerk gestern auf ein 2 Stufiges Firewallsystem umgestellt. Mein erste FW ist an das Internet angeschlossen und hat eine Externe(DSL) eine Interne und eine Netzwerkkarte für die DMZ.

Meine 2 Firewall hängt mit dem externen Interface an der Internen Netzwerkkarte der 1 Firewall. An der Internen Netzwerkkarte der 2 Firewall ist das Interne Netz angeschlossen in dem sich meine Server befinden.

Nun möchte ich eine VPN Verbindung für den externen Zugriff über Mobile Geräte auf das Interne Netzwerk der 2 Firewall erstellen. 

Leider weis ich nicht genau wie ich die VPN Verbindung einrichten soll so dass die 2 Firewall die IPSEC anfragen entgegen nimmt. Momentan laufen alle Versuche auf der 1. Firewall die mit dem Internet verbunden ist auf.

Hat jemand eine Idee?

Danke schon einmal!


This thread was automatically locked due to age.
  • 0
    Sind das 2 Astaro Systeme? Warum legst Du Deine DMZ nicht zwischen die beiden Firewalls? Wo liegt der Sinn dieser Konfiguration?

    Was Deine Frage betrifft gibts mehrere Möglichkeiten. Wenn Du den Tunnel an der "internen" Firewall terminieren willst ist es am einfachsten an der "externen" Firewall IPSec-Passthrough zu konfigurieren, sprich der Firewall beizubringen das sie IPSec-Anfragen an die "interne" Firewall weiterleiten soll. Leite also die IPSec Gruppe an die "interne" Firewall weiter.
  • 0
    Ja dies sind 2 Astaro Systeme. 
    Wegen der Konfiguration, ich habe nur auf Anweisung von "Oben" gehandelt. Hätte es auch anders gemacht aber OK.

    Danke für die schnelle Hilfe.
  • 0 in reply to maverick87
    Die DMZ würde ich zwischen beide Firewalls legen, zumal es keinen Sinn macht  zwei Systeme vom gleichen Hersteller zu verwenden, denn was sollte den "Sicherheitsspezialisten" davon abhalten, wenn er das erste System übernommen hat, nicht auch das zweite zu übernehmen?! Zumal das ja dann fast keine Hürde mehr darstellt.
  • 0 in reply to netz.werk
    Bei 2 Firewalls und einem IPSec Tunnel, hat du ein "routing" Problem zwischen dem IPSec-Tunnel und der 2ten Firewall bzw. dem Netz dahinter.
    Das kann man mit einem Transit-Netz und paar Snat/Dnat Regeln lösen.
    Dazu müsste man aber schon was mehr über dein Netzwerk wissen.

    Gregor Kemter
  • 0 in reply to gkemter
    OK, danke erstmal für eure Hilfe.
  • 0 in reply to maverick87
    Wenn man es elegant und einfach machen will...

    https://community.sophos.com/products/unified-threat-management/astaroorg/f/68/t/58783
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    @BAlfson 

    Was hat das mit diesem Problem zu tun?
  • 0 in reply to netz.werk
    [Entsschuldige, aber ich muss auf Englisch...]

    With the IPSec and SSL VPNs, you can specify the "Local Networks" for remote access.  If there are routes between the two Astaros, the Internal (Network) of the "inside" Astaro is available to the Remote Access user if it is included in the definition of "Local Networks" in the "outside" Astaro.

    I agree that the solution you and Georg propose is the answer to the correct question - that is indeed what he should be doing.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML