Sichere Verbindung zweier Standorte (mit/ohne) VPN

Hallo mcdollar,

so aus reinem Interesse, gibt es einen triftigen Grund an beiden Standorten das selbe Subnetz zu nutzen?


Cu, Abyss_X

Hallo

Bei den selben Subnetzen wirst du glaube ich ein Problem bekommen. Wenn du z.b. einen Server ansprechen willst, der auf der anderen Seite ist, dann würde der lokale Rechner nur im lokalen Netzwerk suchen und nicht das Gateway nutzen.

Bridge. Am besten über den RED Mode auf der einen Seite.
Leider hat Sophos die ipsec Interfaces "abgeschafft" und bietet die tap Devices nicht in der Bridgekonfiguration an.

Was aber irritiert: dedizierte Leitung ohne Internetbreakout? Warum dann zwei UTMs? Warum dann enc als VPN?

Bei gleichen Netzen/Masken hilft Bridge nicht weiter.
Müsste aber mit ipsec Tunnel und 1:1 nat und 2 Transfer-Netzen gehen.
Eventuell geht's mit weniger Aufwand, aber dazu müsste man wissen, ob A und B in beide Richtungen zugreifen müssen.

(Sorry, my German-speaking brain won't create thoughts.[:(])

I have done this before exactly because the same subnet was needed in both locations.  We used a RED tunnel between the two UTMs and bridged the needed subnet.  This works as K.N. suggests because RED is almost layer-2, so ARP requests transit the tunnel.

MfG - Bob (Bitte auf Deutsch weiterhin.)

Hallo mcdollar,

so aus reinem Interesse, gibt es einen triftigen Grund an beiden Standorten das selbe Subnetz zu nutzen?


Cu, Abyss_X

Hallo Abyss_X,

ja gibt es, da in Lokation A der VCenterServer unf ein VsphereCluster steht und in Lokation B ein weiterer Vsphere Cluster aufgebaut werden soll, der vom selben VCenterServer verwaltet wird.

Hallo Bob,
soweit mir bekannt ist, funktionieren die RED's doch nur über das Internet. Die Verbindung geht nicht über das Internet - es ist eine Art Darkfibre.

Hallo K.N.,

eine Absicherung wird benötigt wegen Übertragung sensibler Daten und man ja auch bei einer dedizierten Leitung nicht genau weis, wer alles bei den zwischengeschalteten Komponenten mit dran hängt (außer NSA [:D])

Hallo gkemter,
ja, wäre super wenn es in beide Richtungen geht.


Aber wie es aussieht, werde ich wohl das Management-Netz Subnetten und hoffen, dass der VCenterServer die andere Seite trotzdem findet.

Danke  allen bis hier, wenn jemand doch noch eine zündende Idee hat - her damit


Martin

Die Verbindung geht nicht über das Internet - es ist eine Art Darkfibre.

If that's true, then you should be able to bridge the dark fiber interface in both locations to the Netz A interface, without the need for the RED tunnel.  The RED tunnel would work over that connection, but appears to be unnecessary unless you want to encrypt the traffic through the fiber.  In any case, you would need to attend to the DHCP setup when the two Netz A are bridged.

MfG - Bob (Bitte auf Deutsch weiterhin.)

Oh, wie unsensibel von mir - vermute kein Internetbreakout und empfehle den RED Tunnel [:(]

Der vCenter braucht keine Broadcasts, folglich wird nicht nur das "subnetting" funktionieren, sondern auch ein VPN mit "Transfernetz" und dem 1:1 NAT, aber die Direktadressierung und DNS "funktionieren" dann nicht wie gewohnt. Oder Switche, die ihren Uplink verschlüsseln...

@gkemter
Genau für "sowas" sind Bridges besten geeignet, insbesonder mit dem RED (Mode).

Ich bin eigentlich auch der gleichen Meinung wie K.N. das sich der vCenter Server nicht im selben Subnetz wie die vSphere Cluster befinden muss.

Cu, Abyss_X