site to site VPN

Hallo,

Ich will mich mit der XG Version anfreunden, habe aber folgendes Problem:

Auf der einen Seite eine UTM mit FullGuard Lizenz, auf der anderen Seite eine XG mit einer Home Lizenz.

Die UTM steht direkt im Internet mit der IP 181.223.172.138

Die XG steht hinter einer FW und erhält durch DHCP die Adresse 192.168.100.33

Dadurch muss ich den Tunnel von der XG zur UTM aufbauen. Das funktioniert auch.

Ziel ist, dass ich von einem Netz der UTM 10.100.115.0/24 auf mehrere Netze der XG 10.200.115.0/24; 10.200.112.0/24; 10.250.113.0/24 und 10.250.114.0 /24 zugreifen kann.

Ich kann den VPN auch aufbauen, auf beiden Seiten ist er „grün“ aber die Netze sind nicht erreichbar.

Auf der UTM habe ich zwei FW Regel: von 10.100.115.0 – any Service – nach alle Netze 10.200.1xy.0 ; und von allen Netze 10.200.1xy.0 – any Services – nach 10.100.115.0

Auf der XG eine Regel: Quelle: any Zonen, Quellnetzwerk alle 10.200.1xy.0 netze und 10.100.115.0, jederzeit, Ziel any Zone, Zielnetzwerk wieder alle wie bei der Quelle, any Service

Ich habe viele Dinge schon probiert, nichts hat funktioniert. Durch Tracert habe ich gesehen, dass der Verkehr bei der XG über 192.168.100.33 und NAT weiter geleitet wird. (nach 5 oder 6 Hops ist dann Schluss) oder ich erhalte die Fehlermeldung 10.100.115.1 ist nicht erreichbar.

Ich gehe von einen Routing-Problem aus. Aus diesen Grund habe ich bei Richtlinienrouten ausprobiert:

UTM: Gateway-Route; Quellschnittstelle: Schnittstelle vom 10.100.115.0 Netz, Quellnetzwerk 10.100.115.0/24; Dienst Any; Zielnetzwerk; hier habe ich das ganze 10.100.0.0/16 Netz genommen und Gateway den Gateway der XG 192.168.100.33.

XG: Bei der XG habe ich einen Gateway angelegt. – die IP Adresse der UTM 181.223.172.138

Dann eine SD_WAN-Route: Quell Netzwerk: Beliebig, Ziel Netzwerk auch hier das ganze 10.200.0.0/16 Netz, Dienste Beliebig, Primäre und Reserve-Gateways ausgewählt und den zuerst angelegten Gateway ausgewählt. (181.223.172.138) und Nur über angegebene Gateways routen angehackt.

Ergebnis: Zielhost nicht erreichbar?

Hat jemand eine Idee?

Danke Georg