Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 38 subscribers
  • Views 5640 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Subnetze über einen VPN Tunnel routen

x-tec
Hallo Miteinander,

Ein Kunde hat folgenden Wunsch, den ich denke ich aus technischen Gründen nicht realisieren kann. Wollte nur eure Meinung dazu hören.

Unser Kunde hat eine ASG-Firewall und besitzt einen IPSec Tunnel zu einem Dienstleister.
Der Dienstleister hat nun auf seiner Seite ein neues Subnetz eingerichtet (Das alte bleibt bestehen). Nun soll es über einen einzigen Tunnel möglich gemacht werden auf diese beiden Subnetze zuzugreifen. Die beiden Netze haben völlig verschiedene Netz-Ids. Daher kann ich auch nicht mit Vergrößerung der Subnetzmaske das andere Netz "mitnehmen". Gibt es denn irgendeine Möglichkeit über den VPN-Tunnel diese beiden Subnetze erreichbar zu machen? Ich meine mich erinnern zu können, dass es allein schon wegen der IPSec Spezifikation nicht gehen kann. Kann man dieses "Sicherheitsfeature" irgendwie aushebeln?


Danke!


This thread was automatically locked due to age.
  • 0
    Bei dem IPSec tunnel kann man bei Remote Gateways die Remote Netzwerke eintragen. Hier einfach ein neues Objekt hinzufügen tunnel neu aufbauen und das sollte es gewesen sein.
    Natürlich muss die Gegenstelle auch das Netz freigegeben haben.

    Gruß
    Christian
  • 0 in reply to piccolo696
    das hinzufügen eines remote netzes im remote gateway stellt einen eigenen zweiten vpn tunnel her! genau das "muss" ich ja vermeiden.
  • 0
    Gibt es einen bestimmten Grund wieso du keinen zweiten Tunnel aufbauen kannst / darfst?
    Die andere Möglichkeit wäre mit dem SSL Client zu arbeiten, allerdings weiss ich nicht wie der sich bei Site-to-Site Verbindungen verhält...

    Gruß
    Christian
  • 0 in reply to piccolo696
    weil der Dienstleister sich weigert einen zusätzlichen Tunnel einzurichten..außer IPSec ist kein Tunnel mit dem Dienstleister möglich.

    Das heisst aber, dass ich mich nicht geirrt habe und es eigentlich nicht möglich ist über einen einzigen IPSec Tunnel mehrere Subnetze zu routen oder?
  • 0
    Es sieht mal so aus ... aber zu 100% kann ich dir das auch nicht beantworten. Ich setze für Standortvernetzungen Bintec ein und der kann es! Wie und ob das mit der Astaro funktioniert kann ich dir nicht sagen.
  • 0 in reply to piccolo696
    Also eigentlich gehts doch gar nicht ohne zweiten Tunnel (oder SA's im Astro Slang). Wenn ein Source Netz mit zwei Dest. Netzten verbindest, hast du immer 2 SA's - der Dienstleister muss doch eigentlich auch das zweite Netz in die Tunnelkonfig aufnehmen - da ergibt sich das doch per se, oder irre ich mich jetzt?.

    Vielleicht ist es ja auch nur ein 'Sprachproblem'.

    Gruß
    Manfred
  • 0 in reply to Hallowach2
    was der dienstleister für eine Firewall hat weiß ich nicht, eigentlich müsste er das nur tun. aber dann ist eben ein zweiter tunnel offen was nicht erwünscht ist.
  • 0 in reply to x-tec
    Hm, wenn ich das richtig deute, hat der Dienstleister doch das neue Subnetz aufgemacht - was schlägt er denn vor um beide Netze durch den Tunnel zu bekommen? Wie haben es andere Kunden des DL gelöst?

    Was ich mit 'Sprachproblem' meine. ist ein menschliches Verständigungsproblem. Vielleicht möchte er keine zweite Tunnelkonfig einrichten, sondern eben den bestehenden Tunnel um das neue Subnetz erweitern und nennt das dann 'keinen zweiten Tunnel aufmachen', obwohl es technisch ja so ist.

    Oder er möchte den Tunnel ohne PFS und ohne 'strict routing' machen - ich meine dazu steht was in der Hilfe von Astrao, obwohl ich nicht weiß ob und wie das funktionieren soll.

    Gruß
    Manfred
  • 0 in reply to x-tec
    was der dienstleister für eine Firewall hat weiß ich nicht, eigentlich müsste er das nur tun. aber dann ist eben ein zweiter tunnel offen was nicht erwünscht ist.


    Wenn der Kunde beim Dienstleister auf einen Host in dem neuen Subnetz zugreiffen soll, dann geht das mit snat/dnat/masq. (wenn es eine n:n Verbindung sein soll, dann wirds zur fleissarbeit)

    Ist aber im Prinzip nix anderes wie :
    Ich (Dienstleister) hab Tunnel zu Kunde A mit 192.168.100.0
    und bekomme jetzt einen neuen Kunden B auch mit 192.168.100.0

    Oder:
    Ich habe einen Tunnel zum Kunden A 192.168.100.0 und muss in die KundenDMZ rein 192.168.101.0 und dieses Netz ist nicht Bestanteil des Tunnels.

    Beides geht mit einigen Regeln auf beiden Seiten


    Gregor Kemter
  • 0 in reply to gkemter
    ich meine mich zu errinnern, dass nur der Dienstleister Zugriff von seinem Server aus auf den Server des Kunden bräuchte und nicht andersrum...dann würds ja mit ner snat/masq-Regel gehen.
    Danke für den Tipp. Ich kläre das mal...
Unfiltered HTML