Advisory: Support Portal Maintenance. Login is currently unavailable, more info available here.

IPSec S2S als Interface verwenden (VLAN -> WLAN SSID)

hallo liebe Forumleser,

ich habe eine Frage und derzeit einen kleinen Hirnhänger glaube ich - vielleicht kann mir einer von euch helfen. Derzeit habe ich ein existentes IPSec S2S Netzwerk. der Zugriff von beiden Seiten auf die andere Seite läuft einwandfrei.

Jetzt hatte ich die Idee, dass ich die IPSec Verbindung als VLAN ins LAN verschicke und dort über die WLAN Infrastruktur als separate SSID auszustrahlen - Hintergrund der Geschichte - das IPSec Netzwerk soll wirklich aus dem jetzigen (W)LAN separiert werden, damit nicht jeder auf das Remotenetz kommt.

Ich weiss, es gibt die Option "Bind tunnel to local interface" aber ich bin mir nicht wirklich sicher, was diese Option macht?

Weiss hier jemand vielleicht von euch einen Rat?

VIelen Dank im Voraus, lg Bernhard

  • Hallo Bernhard,

    viel zu kompliziert gedacht!

    Bessere Lösung: die "Automatic firewall rules" an dieser "IPsec Connection" ausschalten (Haken weg). Dann kannst du mit ganz normalen Firewallregeln steuern, wer von wo nach wo darf. Das mache ich immer so.

    Mit freundlichem Gruß, Regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • hi Philipp,

    vielen Dank für deine Antwort - aber ich glaube, das ist nicht ganz das was ich suche - oder ich verstehe deinen Lösungsansatz nicht. Vielleicht hätte ich einfach mehr oder genauer erklären sollen.

    Ich habe einen IPSec Tunnel, der läuft. DIe Sophos läuft bei mir auf einer VMWare - hier würde ich gerne ein Internface zuteilen das mit einem VLAN getagged wird - das Tagging soll dann über die Switche laufen und am ENde vom Tag auf einem openWRT Accesspoint auflaufen, der mir das VLAN in eine SSID "übersetzt"

    somit wäre nur die SSID berechtigt in das IPSec Netzwerk zuzugreifen -> warum? Ich möchte mit einem Laptop in der FIrma und zu Hause im gleichen WLAN arbeiten können (ich weiss, ist nicht das gleiche, aber so ist es am leichtesten erklärt?)

    Danke, lg Bernhard

  • Hallo Bernhard,

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. Frowning2)

    IPsec site-to-site tunnels don't have an associated virtual NIC like the SSL VPN S2S tunnels do.  Years ago, it was possible to set up a GRE tunnel, so that might work for you, depending on what you have on the other end.

    I tend to agree with Philipp, though.  You could make a firewall rule that allows all traffic from the other site, but not one that allows any traffic from the internal network to the other site.  Then you can create a local SSID and make a firewall rule that allows traffic from that WLAN  to the other site.  You would need to add the WLAN subnet to the IPsec tunnel.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA