[UTM 9 SG-115][SSL VPN] Anleitung Split-Tunneling einrichten

Question

Guten Tag, 
 wir haben eine UTM 9 SG-115, nutzen SSL VPN und m&ouml;chten Split-Tunneling einrichten. 
 Die besondere Anforderung w&auml;re, dass im Split-Tunneling nur der Datenverkehr zu bestimmten Webseiten &uuml;ber das VPN geleitet wird. Der restliche Datenverkehr soll &uuml;ber die lokale Internet-Leitung des Benutzers laufen. Wir m&ouml;chten gerne in eine Liste angeben k&ouml;nnen, welche Webseiten-Aufrufe &uuml;ber das VPN geleitet werden. 
 Ein Beispiel: Wenn das VPN beim Benutzer aktiv ist, soll nur der Datenverkehr zur Webseite http://www.youtube.com &uuml;ber das VPN geleitet werden. Ein Aufruf der Webseite http://www.sophos.com soll &uuml;ber die lokale Internet-Leitung laufen. 
 Ist dies prinzipiell m&ouml;glich? Wenn ja, w&auml;re es sch&ouml;n eine kurze Anleitung oder falls vorhanden einen Link zu einer How-to-Seite von Sophos zu bekommen. 
 Wir haben selbst schon etwas recherchiert, haben aber nur L&ouml;sung zu &bdquo;allgemeinem&ldquo; Split-Tunneling gefunden, wo also der allgemeine Datenverkehr &uuml;ber die lokale Interleitung l&auml;uft und nur der Datenverkehr in ein Firmennetzwerk &uuml;ber das VPN. Wir sind uns unsicher, ob diese L&ouml;sung f&uuml;r unser Problem passt.

Janbo Noerskau · Answer

Moin Janin 
 Ich verstehe Dich so, dass Du erst mal wissen willst, ob es &uuml;berhaupt geht und ob es schon jemand Erfahrungen gemacht hat. 
 Das "prinzipiell" m&ouml;glich. Ich habe das so im Einsatz. Unter "Local Networks" tr&auml;gst Du alle Netze (und Hosts) ein, die Du durch den Tunnel erreichen willst. Das kann auch &ouml;ffentliche IPs beinhalten (hier ben&ouml;tigst Du f&uuml;r Dein Einwahlnetz die von Bob beschriebene Maskierungsregel unter NAT/Masquerading) und ggf. nat&uuml;rlich Firewall- und/oder Proxy-Regeln. Die von Dir beschriebenen FQDNs (www.youtube.de) legst Du als DNS-Group-Objekt an. Die aufgel&ouml;sten IPs des Objektes werden w&auml;hrend der Einwahl gepr&uuml;ft und die IPs in das Routing des Tunnels &uuml;bernommen. Nachtr&auml;gliche (dynamische) Anpassungen w&auml;hrend der SSL-VPN-Session finden nicht mehr statt - erst wieder beim n&auml;chsten Aufbau. Du kannst die Objekte auch gruppieren (in Gruppen verschachteln) -> so entstehen Deine "Listen". Aber ACHTUNG: Die Menge der IPs/ Netze, die als Routen &uuml;bergeben werden k&ouml;nnen, ist begrenzt. Ich vermute, so auf ca. 30 Adressen -> Du solltest nach der Einwahl mal die lokale Routing-Tabelle auf dem Client pr&uuml;fen (Du bekommst keine Fehlermeldung, wenn der CLient keine Routen mehr eintr&auml;gt/ bekommt - dann ist einfach nur Schluss). Anmerkung: &Auml;nderst Du etwas an den Objekten, die Du im Einwahlprofil verwendest, wird die Konfig neu geladen -> da fliegen dann jedes Mal alle eingew&auml;hlten Benutzer raus. 
 Hinter dem ganzen Konzept liegt gar keine Magie -> es ist absoluter "Standard": - Objekte f&uuml;r Netze und IPs konfigurieren, die zur UTM geroutet werden sollen (split tunneling) - von da an gilt die Routingtabelle der UTM -> &ouml;ffentliche IPs gehen weiter ins Internet - Maskierungsregeln f&uuml;r die Absenderadressen nicht vergessen (VPN-Pool) - Proxy- und/oder Firewallregeln nicht vergessen (das gilt ja aber auch schon f&uuml;r den Zugriff auf die internen Netze des UTM-Standortes) 
 Viel Erfolg ;-) Janbo

[UTM 9 SG-115][SSL VPN] Anleitung Split-Tunneling einrichten

Top Replies