Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • +1 person also asked this people also asked this
  • Locked Locked
  • Replies 5 replies
  • Subscribers 10 subscribers
  • Views 1927 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Remote Access IPSec VPN - Configuration without WAN Port

Jörg Falch1

Hallo zusammen,
wir haben Folgende Situation:
Auf der Externen Firewall liegen unsere WAN Schnittstellen an. Eine freie WAN IP steht für die Konfiguration zur Verfügung.
Auf der Firewall Intern soll das IPSec VPN konfiguriert werden. Dies ist jedoch nur unter Angabe einer WAN Schnittstelle möglich.


Wie müssen die beiden Firewalls konfiguriert werden, damit der Verbindungsaufbau funktioniert?

English Version:

Our WAN interfaces are on the external firewall. A free WAN IP is available for configuration.
The IPSec VPN should be configured on the internal firewall. However, this is only possible if a WAN interface is specified.
How do the two firewalls have to be configured so that the connection can be established?



Vielen Dank für Eure Vorschläge.

Best Regards,
Flo


This thread was automatically locked due to age.
  • 0

    Du wirst in dem Fall vermutlich die Schnittstelle von "Fw-Intern", die zu "Fw-Extern" zeigt als WAN-Zone deklarieren müssen.

    Wenn dann die Default SNAT IPv4 Masquerading Regel deaktiviert wird passiert auch kein zusätzliches NAT auf "FW-Intern" in Richtung "Fw-Extern"/WAN.
    Auf "Fw-Extern" wirst Du dann noch UDP 500 und UDP 4500 auf die IP vom "WAN-Interface" von "Fw-Intern" naten müssen, damit das Ganze überhaupt dort ankommt.

    Regards,

    Kevin

    Sophos CE/CA (XG, UTM, Central Endpoint)
    Gold Partner

  • 0 in reply to kerobra

    Nur mal so interessehalber, wozu benötigt man eine solche eigenartige Firewall-Konstellation?

  • 0

    Damit die VPN Clients die Gegenstelle finden, muss als WAN IP die public IP auf der FW-extern angegeben werden, die ihr für diese Verbindung vorgesehen habt.

    Das Interface zum Transfernetz ist natürlich der Zone WAN zuzuordnen.

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to R Richter

    Warum diese Frage?
    Mehrstufige Firewalls, bei welchen nur die 1.Stufe eine öffentliche IP hat, sind gerade in Deutschland nicht unüblich. (und wenn die 1.Stufe nur eine Fritzbox ist ...)


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte
    dirkkotte said:
    Warum diese Frage?

    Aha, fragen jetzt verboten? Was hälst Du denn von dem alten Sprichwort, "es gibt keine dummen Fragen, sondern nur dumme Antworten"?

    Und klar, sind Routerkaskaden nicht unüblich (weil die Fritten quasi verschenkt werden und man kein Geld für ein dediziertes Modem ausgeben will), unüblich ist aber dass das Transfernetz zwischen den Teilen als VPN-Tunnel aufgebaut werden soll. Dafür bammelt der Kollege dann sein Homeoffice zumindest nach obiger Skizze ohne VPN an den Borderrouter - schon komisch und ausreichend Anlass danach zu fragen, was er damit bezwecken will.

    Aber ich werde es mir verkneifen, hier zukünftig nochmal nach irgendwas zu fragen - dumme Antworten kann ich mir selbst geben.

Unfiltered HTML