VPN IPsec Tunnel mit Internetzugang über eine Firewall

Als Laie frage ich einmal, warum nutzt Du einen Tunnel und nicht Site-to-Site VPN? Ist mit der Sophos blitzschnell angelegt und man braucht sich nicht um Routing und Firewallregeln kümmern, das wird automatsich erledigt. Funktioniert bei mir völlig transparent für mehrere Netze seit Jahren ohne jegliche Probleme, selbst Backups laufen darüber (z.Z. mit ca. 500 Mbit/s):

Lediglich den von Dir gewünschten Internetzugang auf nur einer Seite (geht ja ohnehin nicht, da ohne Internet kein VPN und kann sich daher lediglich auf die entsprechenden Protokolle beziehen) müsste man nachträglich implementieren. Dies sollte kein Problem darstellen, da beide Firewalls aus allen Netzen erreichbar sind.

IPSEC VPN ist site-to-site. Du kannst dort beim connection type einfach unter 3 Typen auswählen. Ich habe tunnel gewählt. Das Verhalten bei mindestens einem anderen typ ist gleich.

RED's funktionieren gleich und die funktionieren bei mir.

Hi Wolfgang Ritter1 ,

ich hoffe es geht Dir gut

Mit route base vpn und SD_WANroute ist es möglich, den Datenverkehr wie gewünscht zu routen

Wenn Sie ein NAT-Gerät als Upstream-Gerät mit Sophos haben, müssen Sie überprüfen, ob der Datenverkehr auch an Ihren ISP-Router weitergeleitet wird.

Bitte probieren Sie den untenstehenden Link aus, der Ihnen helfen könnte, Ihre Anforderungen zu erfüllen:

Help routing specific device traffic across layer 2 connection 

Mit freundlichen Grüßen

Hallo Bharat J

Zuerst einmal Danke für die Antwort. Ich habe versucht den Informationen vom Link zu folgen und bereits bei den zwei ersten Bildern gescheitert.

Wenn ich auf meiner FW Branch das Tunnelinterface von der FW HO 3.3.3.2 mit PING kontaktiere kommt keine Antwort zurück. Ein PING auf das FW Branch Tunnelinterface ist erfolgreich.
Ebenfalls erfolgreich sind alle anderen PING in den Netzwerken Branch 192.168.11.0 und HO 192.168.10.0

Mir ist unklar wieso nur dieses Interface nicht ansprechbar ist. Der Tunnel ist aktiv. Ein statischer route über diese Tunnelinterfaces ist eingerichtet.

Ich habe in meinem Log unter VPN Einträge gefunden die mir komisch vorkommen. Es wird eine VPN Verbindung aufgebaut und auch gleich wieder beendet. Der Status der VPN wird mit Grün angezeigt.

Hast Du eine Idee warum der Ping nicht erfolgt und oder warum die VPN Verbindung sich beendet, aber anscheinend doch vorhanden ist.

Besten Dank
Wolfgang

Leg eine SD-WAN Regel für Internetv4 an, das sollte dann passen :) 

Das würde ich gerne tun. Habe es auch schon versucht. Bei mir stellt sich nur die Frage, warum kann ich das zweite Tunnelinterface nicht mit PING ansprechen?

Es scheint, dass der ISP-Router Ihrer Zweigstelle den Datenverkehr für ipsec vpn verwirft und der Tunnel unterbrochen wird

Haben Sie 192.168.30.2 mit 213.10.10.10 mit allen auf dem ISP-Router erlaubten Ports vernetzt?

Aktualisieren Sie in der Sophos-Firewall die ipsec vpn-Tunnel-Einstellungen mit der lokalen und der entfernten ID, falls nicht hinzugefügt.

Quellennachweis: doc.sophos.com/.../index.html 

Überprüfen Sie die Schritte zur Behebung von IPsec-VPN-Problemen zwischen den Standorten

 Sophos Firewall: Troubleshooting site to site IPsec VPN issues 

Mit freundlichen Grüßen 

I habe eine ID, die Frage ist sie richtig. Da ich die Verschlüsselung mittels Zertifikaten mache, habe für die ID ANSI DN gewählt.

Bitte überprüfen Sie die Protokolle wie angeleitet, um das Problem einzugrenzen

Ich habe den Verdacht, dass der ISP-Router in der Zweigstelle ein Problem bei der Beendigung des IPSec-VPN-Tunnels verursacht.

Bitte verwenden Sie DDNS als Gateway sowohl für die Hauptniederlassung als auch für die Zweigniederlassung, um den Tunnel stabil zu machen.

Warum nutzt du Local und Remote Subnet im Route based Tunnel? Lass das mal weg.