Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Replies 11 replies
  • Subscribers 9 subscribers
  • Views 248 views
  • Users 0 members are here
Options
Suggested

SSL VPN Remote Access Zugriff auf entfernten Standort

Christian Niemann

Hallo Zusammen,

ich benötige einmal eure Hilfe. Ich habe einen Kunden der per VPN im Außenstandort drucken möchte, also in dem LAN eine bestimmte IP erreichen muss. Ich beschreibe hier den aktuellen Zustand:

Firewall A (Hauptstandort) >> 192.168.29.0

xfrm: 3.3.3.3

SSL Remote Access VPN: 192.168.31.0

ipsec route based VPN site to site Verbindung A <> B

Firewall B (Außenstandort) >> 192.168.1.0

xfrm: 3.3.3.4

eine statische Route ist gesetzt bei Firewall A, sodass das 1er Netz über die route based VPN erreicht wird.

Firewallregeln sind gesetzt auf A und B, dass das 31er (SSL Netz) ebenfalls das 1er Netz erreichen darf.

Leider komme ich per SSL VPN nur bis zu der Schnittstelle auf der Firewall A und das Erreichen des Netzes über die vorhandene ipsec ist nicht möglich.

generell funktioniert aber die ipsec Verbindung, also aus dem LAN der Firewall A erreiche ich die Firewall B

Ich denke ich hab noch ein routing Problem, jedoch komme ich gerade nicht drauf was gesetzt werden muss. Könnte mir jemand dazu einmal Hilfestellung geben?



Added TAGs
[edited by: Erick Jan at 11:56 AM (GMT -7) on 27 Sep 2024]
Parents
  • 0

    Hallo, was sagt ein tracert, wo hört es auf?

    Hast du hier auch die entsprechenden Geräte/Netze eingetragen? Dies muss Analog zur SSL VPN Firewall Regel sein.

    Das Netze der SSL VPN muss auch in der Lokalen Firewall Regel, sowie am entfernten Standort erlaubt sein, sowie in der IPSec Verbindung eingetragen werden, auf der lokalen Firewall muss das SSL Netz auch bei lokal eingetragen sein. Sowie auf der anderen Seite Firewall B bei entfernten Netz.

    Grüße

    Patrick

  • 0 in reply to Patrick81

    Trace hört schon bei 192.168.31.1 (Firewall A) auf

    - permitted Network in denn SSL Settings ist gesetzt

    - Netz ist ebenfalls in den Firewall regeln eingetragen und erlaubt

    - die ipsec tunnelt any to any und es ist eine statische route gesetzt, dass das 192.168.1.0 Netz über das xfrm interface erreicht wird

  • 0 in reply to Christian Niemann

    Hallo, sorry vielleicht habe ich dich falsch verstanden. Firewall A und Firewall B sind via  IPSec IKEv2 verbunden? Oder Via RED Tunnel/xfrm?

    Wenn es sich doch um eine IPSec Side-to-Site handelt. kannst du die statische route löschen, da das Routing hier erzeugt wird in der IPSec konfig. Zum Beispiel so.

    Wenn du tatsächlich xfrm verwendest, müsste ich das selber testen, da ich recht wenig mit arbeite, außer halt mit den klassischen RED20 etc.

    Vielleicht hat einer der anderen Kollegen hier noch einen Tip?

    Grüße

    Patrick

  • 0 in reply to Patrick81

    Hi,

    ich hatte extra auf xfrm und route based ipsec umgestellt, da ihc mit policy based das problem hatte, dass die Performance in einer richtung unterirdisch und sehr langsam war. So wie jetzt sind beiden Sieten im erwarteten Bereich bei der Performance

    anbei die screenshots:

  • 0 in reply to Christian Niemann

    Ok, das mit der Performance kann ich für mein Teil nicht sagen. Aber ich habe wahrscheinlich auch andere Situationen. Es ändert ja nichts dran das es gerne so konfigurieren möchtest.

    Wenn zur Firewall B gehst und die VPN steht und du bist in der Übersicht Side-to-Side VPN, rechts der grüne Ball, wenn du auf den Info Button klickst. Siehst da beide Netze und sind auch beide "Bälle" grün?

  • 0 in reply to Christian Niemann

    Nur noch mal um sicherzugehen,

    Die Rück-Route zum 31er (SSL Netz)  ist auf Firewall B auch eingetragen?


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

Reply Children
No Data
Unfiltered HTML