Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Routing Internet und VPN

Hallo,

wir haben bei uns zwei Internetanbindungen, wovon die eine für VPNs genutz wird und die andere fürs "surfen" etc.

Nun hatte ich per Policy Routing es so eingerichtet, dass Http/s über diese 2. Schnittstelle läuft, jedoch geht auch der traffic der für die vpn-netzwerke bestimmt ist dann dort lang und erreicht natürlich nichts.

Finde bei dem Policy Routing jedoch auch keine möglichkeit zu sagen, dass er durch die VPN geht?

Was gibts da für möglichkeiten?


This thread was automatically locked due to age.
  • wie ist das PR eingerichtet? - http(s) mit ziel ANY ?! - dann versuch's mal mit dem ziel INTERNET

    gruss
  • Hallo,

    ja das Ziel war mit "any" eingerichtet, kann aber auch mit "INTERNET" keinen unterschied feststellen. Also selbe Wirkung, der betreffende Verkehr (http/s) wird nicht mehr duch die VPN geleitet.
  • dann zurueck zur frage: wie ist das PR eingerichtet?
  • Eingerichtet ist 

    Schnittstellenroute
    Quellschnittstelle: interne Schnittstelle
    Quelle:Internes Netz -> Dienst: 80/443 -> Ziel:Internet -> Schnittstelle2


    Weitere Richtlinien sind nicht eingerichtet.
  • Wenn der Verkehr von der zweiten Schnittstelle geschickt werden sollte und man die HTTP/S Proxy benutzt, anstatt ein Policy Route, ein SNAT benutzt werden soll:
    'Any -> Dienst: 80/443 -> Internet : SNAT von Schnittstelle2 (Address)'

    Ich meine, dass kein Policy Route bedacht wird, wenn der Proxy benutzt ist.  Das darf ganz falsch sein, aber so verstehe ich's.

    MfG - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • ist der http proxy im einsatz? - wenn ja, ist quelle die externe schnittstelle, nicht die interne;
    sh auch: http://portal.knowledgebase.net/display/2n/kb/article.asp?aid=290074&n=10&s=1

    @Bob: afaik you need both of them - the PRoute to re-route the traffic, and the SNAT to give the traffic the "correct" source address..

    greetz
  • hi, der proxy ist zwar aktiviert , läuft aber eher über masq. .

    Die Lösung mit dem mit dem SourceNAT funktioniert einwandfrei.
    Eine Policy Route ist nicht weiter nötig, der Verkehr für die VPN läuft richtig über den VPN tunnel und Internet "Surfing" über den zweiten Anschluss.


    Edit: aso ich nehms zurück auf die Art Empfängt er zwar auf der zweiten aber sendet weiterhin auf der ersten

    Problem ist, dass die Policy Routes sich in der Reihenfolge vor die ipsec Routes stellen. Ich sehe aber keine möglichkeite diese Reihenfolge zu ändern.