Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

XGS -> Multiwan -> Portale eigene Adresse; VLANs eigene Adressen

Hallo zusammen,

wir haben nun von UTM auf XGS migriert. An für sich eine tolle Sache wäre da nicht der erhöhte Konfigurationsaufwand.

Bei der UTM konnte ich über die "Multipath Rules" je nach Verwendungszweck eigen Ip´s pro Netz festlegen.

Irgendwie fehlt mir das ganze nun auf der XGS. Sicherlich muss ich hier und da umdenken brauche aber einen gedanklichen Anstoß.

Derzeit:

WAN1 -> 2 Subnetze (externe IPs)

WAN2 -> 1 Subnetz (externe IPs)

Ziel:

Userportal -> WAN1 -> xx.xx.xx.xx/32

VLANxx -> WAN1 -> xx.xx.xx.yy/32

VPN -> WAN1 -> xx.xx.xx.xy/32

Irgendwie komme ich nicht zu meinem Ziel.

Habe schon einiges durchgelesen: SNAT, DNAT über CLI, usw.

OS: SFOS19.5

Kann jemand helfen um mein Verständnis diesbezüglich zu erweitern?

Danke und LG



This thread was automatically locked due to age.
Parents
  • Multipath = Sd-WAN. 
    MASQ = SNAT 

    Das bedeutet, wie auf der UTM, machst du eine SD-WAN Regel, um das Routing zu bestimmen. Und wenn das Interface noch ein Alias hat (bei bei der UTM), baust du dafür noch zusätzlich eine SNAT Regel (wie bei der UTM). 

    Multipath wurde aber nur für ausgehenden Verkehr genutzt in der UTM. Du sprichst ja viel von eingehenden Verkehr.

    Bei SFOS nutzt die Firewall für alle Ports beispielsweise VPN oder User Portal einfach auf allen Ports. Das bedeutet, wenn du Port 4443 für VPN nutzt, schaltet die Firewall das auf allen Ports frei. Du kannst somit einfach alle Ports nutzen, ohne es definieren zu müssen. Dann hängt es vom Client (wie bei der UTM), welches Interface der Client nutzt. 

    __________________________________________________________________________________________________________________

Reply
  • Multipath = Sd-WAN. 
    MASQ = SNAT 

    Das bedeutet, wie auf der UTM, machst du eine SD-WAN Regel, um das Routing zu bestimmen. Und wenn das Interface noch ein Alias hat (bei bei der UTM), baust du dafür noch zusätzlich eine SNAT Regel (wie bei der UTM). 

    Multipath wurde aber nur für ausgehenden Verkehr genutzt in der UTM. Du sprichst ja viel von eingehenden Verkehr.

    Bei SFOS nutzt die Firewall für alle Ports beispielsweise VPN oder User Portal einfach auf allen Ports. Das bedeutet, wenn du Port 4443 für VPN nutzt, schaltet die Firewall das auf allen Ports frei. Du kannst somit einfach alle Ports nutzen, ohne es definieren zu müssen. Dann hängt es vom Client (wie bei der UTM), welches Interface der Client nutzt. 

    __________________________________________________________________________________________________________________

Children