Thread Info
  • State Suggested Answer
  • Locked Locked
  • Replies 19 replies
  • Answers 1 answer
  • Subscribers 6 subscribers
  • Views 3182 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

2 Standorte gleiches internes Netz, Site-to-Site IPsec

Holger Kirst
Hallo zusammen,
ich möchte gern zwei Standorte über zwei UTM miteinander verbinden.
UTM1 hängt hinter einer Fritz!Box als Exposed Host (DynDNS) und UTM2 hat eine Feste IP an Glasfaser.
Intern haben beide das gleiche Netz 192.168.169.0
Ich bin nach dieser Anleitung vorgegangen:
Der Tunnel steht auf grün.
UTM1 hat 192.168.180.0
UTM2 hat 192.168.190.0
Darüber läuft die IPsec-Verbindung.
Das 1:1 NAT habe ich entsprechend der Anleitung angelegt.
Trotzdem kann ich keine Adresse vom jeweils anderen Standort erreichen.
Also von Standort 1 (192.168.169.1) zu Standort 2 (192.168.169.230) ist nicht möglich
und umgekehrt auch nicht.
ich finde einfach den Fehler nicht.
Vielen Dank für eure Hilfe !
Standort 1:
Standort 2:
Gruß Holger


This thread was automatically locked due to age.
Parents
  • 0

    Hallo Holger,

    Herzlich willkommen hier in der Community !

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. Frowning2)

    Here's another resource that describes the solution you're trying: More VPN between same subnets.

    If you still need help, please insert pictures of the Edits of the IPsec Connection and Remote Gateway from each Standort.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson

    Hallo Bob,

    hier einige weitere Screenshots:

    Standort 1:

    Standort 2:

    Kannst Du einen Fehler finden ?

    Vielen Dank für deine Hilfe !

    Gruß Holger

  • 0 in reply to Holger Kirst

    In Standort 1, sind VPN_UTM2 und VPN_UTM1 umgekehrt.

    MfG - Bob

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson

    Sorry, Bilder verwechselt. Hier die richtigen Screenshots von Standort 1:

    Der Tunnel ist grün, trotzdem kann ich von Standort 1 nicht 192.168.169.230 an Standort 2 erreichen.

    MfG Holger

  • 0 in reply to Holger Kirst

    If ping is enabled, do you get a response if you ping 192.168.190.230 from Standort 1?

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to Holger Kirst

    Moin Holger

    Deine Konfiguration sieht eigentlich gut aus.

    Die Frage ist, wie sprichst Du die Gegenseite an?

    Wenn Du von Standort A ein System in Standort B erreichen willst, musst Du die IP nutzen, die Du dem Standort B in Standort A für das System zugeornet hast.

    Beispiel: 192.168.169.1-A will 192.168.169.1-B erreichen -> Du musst also die Fake-Netz-IP von Standort B ansprechen: Ping 192.168.190.1

    Du solltest in den NAT-Regeln und in den automatischen Firewallregeln das Logging aktivieren (in den NAT-Regeln unter "advanced"  "Log initial packets" -> die werden im Log als weiße Linien angezeigt und in den automatischen FW-Regeln unter "advanced" "Log traffic" -> die werden dann grün angezeigt).

    Noch ein Hinweis: Deine ssl-Pool-Netze erreichen sich über Dein Konstrukt gegenseitig (allerdings nur, wenn sie sich unterscheiden). Aber sie erreichen nicht das gegenüberliegende LAN.
    Hier musst Du ebenfalls noch mit 1:1-Regeln arbeiten. Am einfachsten genauso wie bei deiner LAN-Übersetzung.

    Oh - und noch ein Hinweis: Wenn Du ICMP in den Logs sehen willst, musst Du unter "Firewall", Reiter "ICMP" den Haken bei "Gateway forwards pings" rausnehmen und auch die traceroute-Haken entfernen (das hat Bob bestimmt auch in seinen "Rulz" beschrieben).

    LG, Janbo

    ---

    janbo.noerskau@comedia.de UTM lover ;-)

Reply
  • 0 in reply to Holger Kirst

    Moin Holger

    Deine Konfiguration sieht eigentlich gut aus.

    Die Frage ist, wie sprichst Du die Gegenseite an?

    Wenn Du von Standort A ein System in Standort B erreichen willst, musst Du die IP nutzen, die Du dem Standort B in Standort A für das System zugeornet hast.

    Beispiel: 192.168.169.1-A will 192.168.169.1-B erreichen -> Du musst also die Fake-Netz-IP von Standort B ansprechen: Ping 192.168.190.1

    Du solltest in den NAT-Regeln und in den automatischen Firewallregeln das Logging aktivieren (in den NAT-Regeln unter "advanced"  "Log initial packets" -> die werden im Log als weiße Linien angezeigt und in den automatischen FW-Regeln unter "advanced" "Log traffic" -> die werden dann grün angezeigt).

    Noch ein Hinweis: Deine ssl-Pool-Netze erreichen sich über Dein Konstrukt gegenseitig (allerdings nur, wenn sie sich unterscheiden). Aber sie erreichen nicht das gegenüberliegende LAN.
    Hier musst Du ebenfalls noch mit 1:1-Regeln arbeiten. Am einfachsten genauso wie bei deiner LAN-Übersetzung.

    Oh - und noch ein Hinweis: Wenn Du ICMP in den Logs sehen willst, musst Du unter "Firewall", Reiter "ICMP" den Haken bei "Gateway forwards pings" rausnehmen und auch die traceroute-Haken entfernen (das hat Bob bestimmt auch in seinen "Rulz" beschrieben).

    LG, Janbo

    ---

    janbo.noerskau@comedia.de UTM lover ;-)

Children
No Data
Unfiltered HTML