Internet Traffic von VPN Netzen über Zentrale Firewall routen

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
w.blecker
Beiträge: 27
Registriert: 10 Feb 2014, 14:43

Internet Traffic von VPN Netzen über Zentrale Firewall routen

Beitrag von w.blecker »

Enen schönen gruß an alle :)

Ich haben folgendes Projekt:

Wir haben eine Zentrale Watchguard Firewall mit total Security Lizenz. An der hängt ein Lancom Gateway 7100+ . Von dort aus gehts ins Internet und da enden auch die VPN der Außenstellen. Dort gibt es allerdings nur einen Lancom VPN Router (fast alles 1781 oder 881 VPN).

skizziert etwa so

Intranet --- Watchguard --- Lancom 7100+ <----- Ike VPN ------> Lancom 1781VA --- Außenstelle .

Jetzt würde ich gerne den Internetverkehr der Außenstellen über die Watchguard routen um dessen Sicherheitsfunktionen mit zu benutzen. Wie mache ich das denn .. ich muss ja SA Regeln haben für jedes Netz (Bisher wird da nur ein IP Netz geroutet, da legt man halt die SA regeln über die Lancom Firewall an und fertig .. aber das geht hie ja nicht)

Hat jemand eine Idee wie man sowas aufbauen könnte'?
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: Internet Traffic von VPN Netzen über Zentrale Firewall routen

Beitrag von Dr.Einstein »

Relativ einfach: (Annahme, Außenlokationen verwenden aktuell keine Schnittstellen- / Routing-Tags, keine Firewallregeln)
  • In den Außenlokalen die aktuelle Default-Route Richtung Internet von Tag 0 auf Tag 1 umstellen
  • In den Außenlokalen eine neue Default Route anlegen, Rotuing Tag 0, die auf den VPN zeigt (Maskierung deaktiviert)
  • In den VPN Peereinstellungen der Außenlokationen den Routing Tag von 0 auf 1 umstellen
In der Standard IKEv2 Konfiguration von Lancom werden SA's mit ANY <-> ANY gebildet. Also kein Handlungsbedarf.

An der Zentrale musst du dir mal anschauen, wie dort das Routing aufgesetzt ist. Eventuell sieht es dort 1:1 aus wie bei den Außenlokationen, d.h. Default Route Internet umbiegen auf neues Tag 1, VPNs anpassen auf 1. Die neue Default Route zeigt dann allerdings nicht ins Internet, sondern auf die interne IP deiner Watchguard (Achtung, du kannst hier statt dem DropDown auch IPs manuell eintragen).

Gruß Dr.Einstein
Antworten