Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 5 subscribers
  • Views 848 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Site-to-Site VPN - Split-Tunneling

sushi2000xy

Hallo zusammen,

ich habe eine kurze Frage zu Split-Tunneling bei Site-To-Site VPN-Verbindungen:
Kann man anstelle des Datenverkehrs, der durch den VPN-Tunnel geleitet werden soll (Whitelist) es andersherum definieren und nur die Ziele hinterlegen, die den Tunnel NICHT passieren und stattdessen direkten Zugang über den WAN-Anschluss haben (Blacklist)?

Hintergrund: Aktuell sind Außenstellen mit RED angebunden. Dortige Telefonanschlüsse erfordern nun, das VoIP-Verkehr direkt ins Internet geht (da die Anbieter den abgehenden Anschluss prüfen). Mit "Split-Tunneling" kann ich zwar einstellen, das interner Datenverkehr weiterhin über die Zentrale läuft - sämtlicher anderer Verkehr geht nun jedoch ungefiltert direkt über das RED ins Internet (inkl. dem VoIP-Datenverkehr, was jedoch erwünscht ist).
Planen nun den Austausch der RED durch eine kleine SG/XG mit der sich das realisieren lassen soll - ich jedoch bis jetzt nicht zu 100% herausfinden konnte, ob dem wirklich so ist...



This thread was automatically locked due to age.
  • 0

    Hallo,

    eine Blacklist-variante kann ich mir nicht wirklich vorstellen.

    Mit einer kleinen Firewall kann ganz dediziert angegeben werden, was durch den Tunnel geht und was nicht. Mittels policy-Route sollte die Voip-traffic am Tunnel vorbeigeleitet werden können. Außerdem könnte ein lokaler Internetzugang mit Regeln und Schutz realisiert werden.

    Ich würde das vorher aber testen (lassen).


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    Hallo Dirk,

    Danke für dein Feedback.
    Habe mittlerweile festgestellt, das die Frage unsinnig ist, war in Gedanken noch zu sehr bei der RED...
    Mit "richtiger" Firewall stellt man (wie bei der RED) die für den Tunnel erlaubten Quell- und Zielnetze ein, ggf. noch ein Routing, damit der Tunnel auch benutzt wird. Jeglicher anderer Datenverkehr bleibt an der Firewall hängen - solange man keine Ausnahmen erstellt. Letzteres würde man denn für den VoIP-Datenverkehr machen.

  • 0 in reply to sushi2000xy

    Hallo,

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. Frowning2)

    The other thing you might consider would be a RED tunnel and using Multipath Rules to select specific traffic to go through a specific interface.  It's possible that you could use an XG for that, but I'm not sure whether an XG-to-UTM RED tunnel ability is included in the free Base license that includes VPN.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML