Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 38 subscribers
  • Views 4717 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Policy Base Routing Problem mit VPN Tunnel ...

mipo
Hallo zusammen,

ich bastel schon seit einiger Zeit an dem Problem, finde aber einfach keine Lösung. Habe
hier im Forum Beiträge gefunden, die ähnliches beschreiben, kann das aber nicht auf meine
Problemstellung umsetzen.

Die Astaro geht normalerweise über das External Interface zu einem weiteren Router ins
Internet. Das funktioniert seit Jahr und Tag einwandfrei. Nun möchte ich ein zusätzliches
Netz von meinem ISP per VPN zuführen. VPN ist erforderlich, da der Standard DSL Provider
nur dynamische IP Adressen zur Verfügung stellt. Dieses Netz liegt am eth2 Interface an
und versorgt eigentlich die angeschlossenen Testserver. 

Mir ist aufgefallen, dass sobald der VPN Tunnel steht, das Surfen (also Proxy wie auch
über NAT (Masquerading)) über den Tunnel geht. Der "Default Traffic" aus den Internen
Netzen soll natürlich über das External Interface => DSL Telekom laufen. Der Traffic der
am VPN Interface (eth2) rein und raus geht soll über den VPN Tunnel. Als "Optimum" soll
einzelnen Arbeitsplätzen im LAN (Internal eth0) der Traffic über den VPN Tunnel explizit
erlaubt werden können.

Internal eth0    => 192.168.1.254/24
External eth1    => 192.168.10.254/24   Default GW: 192.168.10.2 (Router)
VPN      eth2    => 94.94.94.62/26        (IP verfremdet)


Meine Idee:

Policy Route:
=============
Route Type:             Gateway Route
Source Interface:      >
Source Network:        IP-Network               (Group: 192.168.1.x, 2.x und 3.x)
Service:                   Any
Destination Network:  Internet                    (0.0.0.0/0 = Astaro Typ)
Gateway:                 ROUTER                    (192.168.10.2)

Meines Erachtens müsste doch sämlicher Traffic aus einem der Netze die in der
IP Network Group definiert sind, auf den ROUTER geroutet werden. Macht er aber
nicht ...

Beim VPN Tunnel:
[x] Automatic Firewall Rules

Remote Network: 0.0.0.0/0
Local Network:    94.94.94.0/26


Ist mein Vorhabenso so verwegen, dass dies nicht möglich ist?

Würde mich wirklich über Hilfe sehr freuen! Vielen Dank!!

viele Grüße
Michael


This thread was automatically locked due to age.
  • 0
    Ich sehe nicht warum eine Policy Route nötig sei - kannst Du bitte Bilder von 'IPsec Connection' und 'Remote Gateway' zeigen?

    MfG - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hallo Bob

    ich hatte schon die Idee, mit unterschiedlichen Metriken zu arbeiten. Doch ich hab bisher
    keine Möglichkeit gesehen, diese hier manuell festzulegen ... 

    Nochmals zum Verständnis:

    An External eth1 hängt ein LANCOM ADSL Router mit Verbindung zur Telekom.
    An Internal eth0 hängt logischerweise das lokale LAN ... (NAT + Proxy)
    An VPN       eth2 hängt im ein Switch, an dem mehrere öffentliche IP Adressen
                            (für Testserver, /26er Netz) zur Verfügung gestellt werden sollen. 

    Das /26er Netz wird per VPN Tunnel herangeführt.

    Ziele:

    Die Anwender auf dem LAN (NAT/Masquerading + Proxy) sollen über die Telekom surfen,
    aber auch eine eingehende Verbindung (per DynDNS URL) in die FW möglich muss möglich
    sein. Klassisches DNAT ...

    Das Netz, dass per IPSec VPN Tunnel (Site-to-Site) herangeführt wird, soll an eth2 zur Verfügung
    stehen. Server die an eth2 angeschlossen sind, sollen über den Tunnel ins Internet gehen. Nicht
    zu erwähnen brauche ich, mache es aber trotzdem, dass eingehende Verbindungen über diesen
    Tunnel weitergeroutet werden. Hier sollte ein Paketfilter ggf. für eingehende wie für ausgehenden
    Traffic greifen können.

    Bestimmte Arbeitsplätze (im Moment nur einer) sollen per NAT/Masquerading (+Proxy, wenn das
    möglist ist!) wahlweise über "External" raus oder über den Tunnel ins Internet. => Therma Fern-
    wartung, Freischaltung von einer bestimmten statischen IP Adresse in der Ziel Firewall. 

    ---
    Ich vermute, dass die Firewall ja im Prinzip zwei Gateways ins Internet "0.0.0.0/0" hat. Einmal über
    den Default Gateway und dann nach Aufbau des VPN Tunnels über die "Remote Networks" Definition.
    Doch ich muss doch hier ein gezieltes Routing hinbekommen können?!

    Unter Local Networks habe ich mein Netz, dass per VPN Tunnel zugeführt wird eingetragen. 94.94.94.0/26 (verfremdet, klar).

    Die Änderung "Strict Routing" und "Automatic Firewall Rules" bewirken keine (sichtbare) Änderung des momentanen Routing Verhaltens. 

    Wer kann mir helfen? Danke im Voraus!!!

    vG Michael
  • 0
    Ist Windows Firewall abgestellt?

    MfG - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Ist Windows Firewall abgestellt?

    MfG - Bob


    Hi Bob,

    na klar. Aber was hätte die mit dem Routing der Astaro zu tun?!

    vG Michael
  • 0 in reply to mipo
    Keiner von euch hat eine Lösung oder gar eine Idee? :-((


    vG Michael
  • 0 in reply to mipo
    Hi Bob,

    na klar. Aber was hätte die mit dem Routing der Astaro zu tun?!

    vG Michael


    Gar nichts - weiss nicht warum ich das gefragt habe! [:)]

    Da ich Deine Konfiguration gesehen habe, glaube ich, dass es eine Astaro Bug gibt, weil der Verkehr von 192.168.0.0/22 nicht beeinflusst werden sollte.

    Ist das Problem erst mit der V8.201 aufgetreten ?  Wenn doch, dann vielleicht kannst Du dieses Problem lösen, als verwandte Probleme gelöst worden sind: die 'IPsec Connection' und 'Remote Gateway' löschen, und dann die Konfiguration von neuem schaffen.

    MfG - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hallo Bob,

    leider kann ich nicht sagen, ob dieses Fehlverhalten(?) in einer früheren Version schon einmal
    aufgetreten ist. Der VPN Tunnel ist neu ...

    Ich habe auch ein wenig "gespielt". Ich habe den VPN Tunnel nicht mehr an das Interface
    direkt gekoppelt sondern ein Label (Network Definition, Network) mit gleichen Werten gegeben wie das Hardware Interface. Somit bleibt der Tunnel stehen, wenn ich die Netzwerkkarte ein und aussschalte ... Wenn ich nun die Netzwerkkarte ausschalte oder ihr eine andere Adresse gebe (z.B. 1 Oktett von 94 auf 95) tritt der Fehler nicht mehr auf.

    Ich suche seit Tagen vergeblich eine Möglichkeit eine Metric der Astaro beizubringen. Haben die das wirklich wegprogrammiert? Jedem vernünftigem Router, Windows Büchse oder Linux kann ich beim Routing eine solche Metric verpassen. Hab hier im Forum schon gesucht, leider nix gefunden. Vielleicht wäre dies eine Möglichkeit, einfach durch Priori-
    sierung die Standarddatenpakete aufs Standardinterface zu routen.

    vG Michael
Unfiltered HTML