Hallo zusammen!
Ich bastelle jetzt schon den ganzen Tag und komme nicht weiter; ich hoffe einer von euch kann mir helfen.
Wir haben in der Zentrale einen 1781VA, über den sich die Außenstellen mit ihren 1781EW+ ins Firmennetz einwählen. Eingerichtet wurde das ganze mit dem Assistenten "Zwei lokale Netze verbinden (VPN)". Zusätzlich gibt's in der Firewall (DENY-ALL-Logik) zu jeder VPN-Verbindung einen "ALLOW_IN_FROM..." und einen "ALLOW_OUT_TO_..." Eintrag. Klappt soweit alles prima!
Ich habe jetzt ab und an die Situation, dass ich von einer Außenstelle (AS1) in eine andere (AS2) müsste. Eine Vollvermaschung kommt nicht in Frage, daher möchte ich gerne über den zentralen 1781VA gehen. Ich dachte, dass ich das mit einem Routingeintrag im AS1 auf das Netz von AS2 und den entsprechenden Freigaben in den Firewalls der betroffenen Router erledigen kann, komme aber immer nur in die Zentrale und nicht weiter :/
Habt ihr einen Tipp für mich?
Danke schon mal!
Route von Außenstelle zu Außenstelle
Moderator: Lancom-Systems Moderatoren
Re: Route von Außenstelle zu Außenstelle
Hi tweiss,
Gruß
Backslash
das funktioniert so nur, wenn du die Filialen im IPSec als "any-to-any" Verbindung einrichtest. Wenn du sie hingegen z.B. mit automatischer Regelerzeugung einrichtest, dann mußt du zuätzliche VPN-Regeln erstellen, die den gegenseitigen Zugriff erlauben (unter VPN -> Allgemein -> Netwerkregeln -> IPv4-Regeln/IPv4-Regelliste) und den jeweilgen Verbindungen zuweisen. Dabei ist das "lokale Netzwerk" aus Sicht der Filialverbindung immer das Netzwerk der jeweils anderen FilialeIch dachte, dass ich das mit einem Routingeintrag im AS1 auf das Netz von AS2 und den entsprechenden Freigaben in den Firewalls der betroffenen Router erledigen kann, komme aber immer nur in die Zentrale und nicht weiter :/
Gruß
Backslash
Re: Route von Außenstelle zu Außenstelle
Hallo Backlash,
danke für die ausführliche Antwort!
Der Wizard hat als IPv4-Regel bei den 2 Verbindungen zwischen Zentrale und AS1 die Regel "WIZ-ANY-TO-ANY" hinterlegt, sprich 0.0.0.0/0 auf 0.0.0.0/0. Bei den Verbindungen zwischen Zentrale und AS2 aber "GENERIC-RAS-ACCESS-FOR-WIZ", also 0.0.0.0/0 auf 0.0.0.0/32 !?? Ich habe das korrigiert.
In der Doku habe ich noch gelesen, dass sich das tatsächliche Routing quasi aus der Schnittmenge der Routingangaben der VPN-Verbindung und denen der Firewall-Regeln mit dem Häckchen bei "Diese Regel wird zur Erzeugung von VPN-Netzbeziehungen (SAs) verwendet" berechnet. Nachdem ich diese entsprechend erweitert habe, hat's dann geklappt!
Vielen Dank nochmal!
danke für die ausführliche Antwort!
Der Wizard hat als IPv4-Regel bei den 2 Verbindungen zwischen Zentrale und AS1 die Regel "WIZ-ANY-TO-ANY" hinterlegt, sprich 0.0.0.0/0 auf 0.0.0.0/0. Bei den Verbindungen zwischen Zentrale und AS2 aber "GENERIC-RAS-ACCESS-FOR-WIZ", also 0.0.0.0/0 auf 0.0.0.0/32 !?? Ich habe das korrigiert.
In der Doku habe ich noch gelesen, dass sich das tatsächliche Routing quasi aus der Schnittmenge der Routingangaben der VPN-Verbindung und denen der Firewall-Regeln mit dem Häckchen bei "Diese Regel wird zur Erzeugung von VPN-Netzbeziehungen (SAs) verwendet" berechnet. Nachdem ich diese entsprechend erweitert habe, hat's dann geklappt!
Vielen Dank nochmal!