Thread Info
  • State Not Answered
  • Replies 5 replies
  • Subscribers 4 subscribers
  • Views 216 views
  • Users 0 members are here
Options
Suggested

Dienst über VPN Umleitgen

autowolf

Hi,

ich muss Datenverkehr über einen anderen Internetanschluss übertragen, da dieser Providergebunden ist.

Hierzu muss ein Server über den VPN über das HQ in das Internet.

Konkret geht es um eine TK Anlage die den SIP Trunk nur über die IP des HQs aufbauen kann.

Hier mal der Weg:

Server --> BO Sophos SG  --> VPN IPSEC --> HQ Sophos SG --> Internet

Wie kann ich das konfigurieren, dass nur dieser Server über den VPN über die HQ Sophos in das Internet kommt, da ich die WAN IP vom HQ verwenden muss.

Der Rest des BO Netz soll bei der BO Sophos in das Internet abbiegen, was auch funktioniert.




[edited by: autowolf at 1:04 PM (GMT -7) on 18 Jun 2022]
  • 0

    Hallo,

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. Frowning2)

    NOTE 22-06-2022: I misunderstood "ich muss Datenverkehr über einen anderen Internetanschluss übertragen" to mean another local connection, so this suggestion won't work.

    You don't say if the new internet connection will also be used for other purposes.  It's been a long time since I worked on this issue, but the following is what I remember.

    In the BO UTM, bind the IPsec Connection to the new Anschluss.  Now, you can make a Multipath rule like:

         Server -> Any -> Internet IPv4 : via new connection

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0

    OK hacken im IPSec ist gesetzt.

    Aber einen weitern Anschluss habe ich nicht zur auswahl.

    Muss ich noch ein Interface anlegen? Aber wie?

    Meine Multipath Regel kann ich nur anlegen, wenn ich eine Interface Gruppe habe

  • 0 in reply to autowolf

    I misunderstood "ich muss Datenverkehr über einen anderen Internetanschluss übertragen" to mean another local connection, so my suggestion above won't work.

    The easiest way I can think of would be to put the server on an additional interface of the UTM, call it "DMZ".  Now, you can make separate site-to-site connections for the "Internal (Network)"  and "DMZ (Network)" traffic with HQ.  For the DMZ connection, Remote Networks will be "Any" and, for Internal, I suppose that Remote Networks will be only the LANs at HQ.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0

    The easiest way I can think of would be to put the server on an additional interface of the UTM, call it "DMZ".  Now, you can make separate site-to-site connections for the "Internal (Network)"  and "DMZ (Network)" traffic with HQ.  For the DMZ connection, Remote Networks will be "Any" and, for Internal, I suppose that Remote Networks will be only the LANs at HQ.

    Verstehe ich nicht ganz.

    Server --> BO Sophos DMZ --> IPSEC VPN -->  HQ Sophos SG Internet

    das DMZ läuft auf 10.0.10.x/24

    BO IPSEC VPN Config

    local: 10.0.10.x

    Remote: any

    HQ IPSEC VPN Config

    local: ?

    Remote: 10.0.10.x

    Muss ich dann keine Route mehr einstellen?

  • 0 in reply to autowolf

         HQ IPSEC VPN Config

         local: Any

    Remote must always match Local on the other side and vice versa.

    When you configure a site-to-site tunnel in UTM, the routes are generated automatically.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML