Advisory: Support Portal Maintenance. Login is currently unavailable, more info available here.
hallo liebe Forumleser,
ich habe eine Frage und derzeit einen kleinen Hirnhänger glaube ich - vielleicht kann mir einer von euch helfen. Derzeit habe ich ein existentes IPSec S2S Netzwerk. der Zugriff von beiden Seiten auf die andere Seite läuft einwandfrei.
Jetzt hatte ich die Idee, dass ich die IPSec Verbindung als VLAN ins LAN verschicke und dort über die WLAN Infrastruktur als separate SSID auszustrahlen - Hintergrund der Geschichte - das IPSec Netzwerk soll wirklich aus dem jetzigen (W)LAN separiert werden, damit nicht jeder auf das Remotenetz kommt.
Ich weiss, es gibt die Option "Bind tunnel to local interface" aber ich bin mir nicht wirklich sicher, was diese Option macht?
Weiss hier jemand vielleicht von euch einen Rat?VIelen Dank im Voraus, lg Bernhard
Hallo Bernhard,
viel zu kompliziert gedacht!
Bessere Lösung: die "Automatic firewall rules" an dieser "IPsec Connection" ausschalten (Haken weg). Dann kannst du mit ganz normalen Firewallregeln steuern, wer von wo nach wo darf. Das mache ich immer so.
Mit freundlichem Gruß, Regards from Germany,
Philipp Rusch
New Vision GmbH, GermanySophos Silver-Partner
If a post solves your question please use the 'Verify Answer' button.
hi Philipp,
vielen Dank für deine Antwort - aber ich glaube, das ist nicht ganz das was ich suche - oder ich verstehe deinen Lösungsansatz nicht. Vielleicht hätte ich einfach mehr oder genauer erklären sollen.
Ich habe einen IPSec Tunnel, der läuft. DIe Sophos läuft bei mir auf einer VMWare - hier würde ich gerne ein Internface zuteilen das mit einem VLAN getagged wird - das Tagging soll dann über die Switche laufen und am ENde vom Tag auf einem openWRT Accesspoint auflaufen, der mir das VLAN in eine SSID "übersetzt"
somit wäre nur die SSID berechtigt in das IPSec Netzwerk zuzugreifen -> warum? Ich möchte mit einem Laptop in der FIrma und zu Hause im gleichen WLAN arbeiten können (ich weiss, ist nicht das gleiche, aber so ist es am leichtesten erklärt?)
Danke, lg Bernhard
(Sorry, my German-speaking brain isn't creating thoughts at the moment. )
IPsec site-to-site tunnels don't have an associated virtual NIC like the SSL VPN S2S tunnels do. Years ago, it was possible to set up a GRE tunnel, so that might work for you, depending on what you have on the other end.
I tend to agree with Philipp, though. You could make a firewall rule that allows all traffic from the other site, but not one that allows any traffic from the internal network to the other site. Then you can create a local SSID and make a firewall rule that allows traffic from that WLAN to the other site. You would need to add the WLAN subnet to the IPsec tunnel.
MfG - Bob (Bitte auf Deutsch weiterhin.)