Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL VPN Frage

Hallo zusammen.

Besteht die Möglichkeit sich per SSL VPN auf einer ASTARO einzuwählen und das Netz hinter einer zweiten ASTARO, die per Site-To-Site VPN verbunden sind,  zu erreichen?


This thread was automatically locked due to age.
Parents Reply Children
  • naja , so ganz trivial ist das nicht..., aber machbar.

    Bei Remote Access  -> SSL müssen alle Netze eingetragen werden ,
    welche durch den SSL Client erreicht werden sollen.

    Dann muss man noch den VPN Pool (SSL) (oder das VPN-User-Objekt)  auf die jeweiligen VPN-Tunnel-Netze maskieren.
    (Network Security -> Nat -> Masquerading)

    Sollte dann ohne extra Routen funktioniern.

    Gregor Kemter
  • Hallo nochmal,

    danke für die Antworten.

    Also ich habe jetzt unter Remote Access -> SSL das zusätzliche Netz eingetragen.
    Es wird auch beim Herstellen der VPN Verbindung die entsprechende Route hinzugefügt.

    Allerdings kann ich unter Network Security -> Nat -> Masquerading nur ein Interface auswählen, kein VPN-Tunnel-Netz??

    Wie mache ich das?

    Danke.

    Christoph
  • Richtig Masquerading geht nur auf Interfaces.
    Dann sollte es mit einer SNAT Regel gehen.
    Erstell dir ein Netzwerk-Objekt mit einer freien IP (/32) aus dem lokalen Netz der Astaro.
    Die SNAT Regel:
    Traffic Source : Dein User-Objekt
    Traffic Service : Any
    Traffic Destination : VPN-Tunnel-Netz
    Nat Mode : SNAT Source
    Source : das erstellte Netzwerk-Objekt.
  • Hm, das scheint so nicht zu klappen...

    Nochmal kurz zur Info:

    Das Netz der ASTARO(1) auf die ich mich per SSL VPN einwähle: 192.168.0.0/24
    Das Netz der zweiten ASTARO(2): 192.168.165.0/24

    Ich habe jetzt auf der ASTARO(1) ein Netzwerkobjekt 192.168.0.100 erstellt.

    Dann die SNAT Regel:

    Traffic Source: Mein Userobjekt (10.242.0.6)
    Traffic Service: Any
    Traffic Destination: 192.168.165.0/24
    Nat Mode: SNAT Source
    Source: 192.168.0.100

    Stimmt das so?

    Gruß
    Christoph
  • Ja das stimmt so. Hab das bei mir gerade ausprobiert.
    Entsprechende Paketfilter Regel hast du erstellt ?
  • Warum macht Ihr das überhaupt mit NAT? Das sollte doch auch ohne gehen, solange das Routing stimmt. Ich würde nur NAT machen, wenn es nicht anders geht - denn es beschränkt die initiale Kommunikation Remotenetz -> VPN-Client. Mit SNAT muss jeder Verbindungsaufbau vom VPN-Client initiiert werden. Ein simpler Ping aus dem Remotenetz zum VPN-Client klappt so schonmal nicht...
  • Warum macht Ihr das überhaupt mit NAT? Das sollte doch auch ohne gehen, solange das Routing stimmt.

    Kannst du das genauer erklären ?
    Mir ist nicht klar, was du mit statischen routen bei einem IPSEC Tunnel erreichen willst ?
    Der IPSEC Tunnel routet nur die Netze welche auch Bestandteil des Tunnels sind. Oder man müsste die VPN Tunnel auf beiden Astaros noch um das Client SSL-Netz erweitern..