Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 38 subscribers
  • Views 4720 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Policy Base Routing Problem mit VPN Tunnel ...

mipo
Hallo zusammen,

ich bastel schon seit einiger Zeit an dem Problem, finde aber einfach keine Lösung. Habe
hier im Forum Beiträge gefunden, die ähnliches beschreiben, kann das aber nicht auf meine
Problemstellung umsetzen.

Die Astaro geht normalerweise über das External Interface zu einem weiteren Router ins
Internet. Das funktioniert seit Jahr und Tag einwandfrei. Nun möchte ich ein zusätzliches
Netz von meinem ISP per VPN zuführen. VPN ist erforderlich, da der Standard DSL Provider
nur dynamische IP Adressen zur Verfügung stellt. Dieses Netz liegt am eth2 Interface an
und versorgt eigentlich die angeschlossenen Testserver. 

Mir ist aufgefallen, dass sobald der VPN Tunnel steht, das Surfen (also Proxy wie auch
über NAT (Masquerading)) über den Tunnel geht. Der "Default Traffic" aus den Internen
Netzen soll natürlich über das External Interface => DSL Telekom laufen. Der Traffic der
am VPN Interface (eth2) rein und raus geht soll über den VPN Tunnel. Als "Optimum" soll
einzelnen Arbeitsplätzen im LAN (Internal eth0) der Traffic über den VPN Tunnel explizit
erlaubt werden können.

Internal eth0    => 192.168.1.254/24
External eth1    => 192.168.10.254/24   Default GW: 192.168.10.2 (Router)
VPN      eth2    => 94.94.94.62/26        (IP verfremdet)


Meine Idee:

Policy Route:
=============
Route Type:             Gateway Route
Source Interface:      >
Source Network:        IP-Network               (Group: 192.168.1.x, 2.x und 3.x)
Service:                   Any
Destination Network:  Internet                    (0.0.0.0/0 = Astaro Typ)
Gateway:                 ROUTER                    (192.168.10.2)

Meines Erachtens müsste doch sämlicher Traffic aus einem der Netze die in der
IP Network Group definiert sind, auf den ROUTER geroutet werden. Macht er aber
nicht ...

Beim VPN Tunnel:
[x] Automatic Firewall Rules

Remote Network: 0.0.0.0/0
Local Network:    94.94.94.0/26


Ist mein Vorhabenso so verwegen, dass dies nicht möglich ist?

Würde mich wirklich über Hilfe sehr freuen! Vielen Dank!!

viele Grüße
Michael


This thread was automatically locked due to age.
Parents Reply Children
  • 0 in reply to mipo
    Keiner von euch hat eine Lösung oder gar eine Idee? :-((


    vG Michael
  • 0 in reply to mipo
    Hi Bob,

    na klar. Aber was hätte die mit dem Routing der Astaro zu tun?!

    vG Michael


    Gar nichts - weiss nicht warum ich das gefragt habe! [:)]

    Da ich Deine Konfiguration gesehen habe, glaube ich, dass es eine Astaro Bug gibt, weil der Verkehr von 192.168.0.0/22 nicht beeinflusst werden sollte.

    Ist das Problem erst mit der V8.201 aufgetreten ?  Wenn doch, dann vielleicht kannst Du dieses Problem lösen, als verwandte Probleme gelöst worden sind: die 'IPsec Connection' und 'Remote Gateway' löschen, und dann die Konfiguration von neuem schaffen.

    MfG - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hallo Bob,

    leider kann ich nicht sagen, ob dieses Fehlverhalten(?) in einer früheren Version schon einmal
    aufgetreten ist. Der VPN Tunnel ist neu ...

    Ich habe auch ein wenig "gespielt". Ich habe den VPN Tunnel nicht mehr an das Interface
    direkt gekoppelt sondern ein Label (Network Definition, Network) mit gleichen Werten gegeben wie das Hardware Interface. Somit bleibt der Tunnel stehen, wenn ich die Netzwerkkarte ein und aussschalte ... Wenn ich nun die Netzwerkkarte ausschalte oder ihr eine andere Adresse gebe (z.B. 1 Oktett von 94 auf 95) tritt der Fehler nicht mehr auf.

    Ich suche seit Tagen vergeblich eine Möglichkeit eine Metric der Astaro beizubringen. Haben die das wirklich wegprogrammiert? Jedem vernünftigem Router, Windows Büchse oder Linux kann ich beim Routing eine solche Metric verpassen. Hab hier im Forum schon gesucht, leider nix gefunden. Vielleicht wäre dies eine Möglichkeit, einfach durch Priori-
    sierung die Standarddatenpakete aufs Standardinterface zu routen.

    vG Michael
Unfiltered HTML