Jump to content

Routing über VPN


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

ich hoffe, daß ich mit meinem Problem hier richtig bin!?

 

Wir haben ein Netzwerk mit festen IP-Adressen.

Die Verbindung ins Internet erfolgt durch eine Standleitung über die sich auch die

Außendienstmitarbeiter über VPN über die jeweiligen Provider (MSN, T-Online, etc.)

einwählen können.

 

Zusätzlich besteht eine weitere Standleitung zu einer Filiale. (auch mit festen IP-Adressen).

(die Adreßräume vom lokalen Netz und der Filiale unterscheiden sich)

 

Sobald im lokalen Netz eine Anfrage mit einer IP-Adresse der Filiale gestartet wird,

wird über eine Route in der Firewall die Verbindung zu der Filiale hergestellt.

Ansonsten wandern alle anderen Anfragen über die Internet-Standleitung nach "Draussen".

 

Nun zum Problem:

 

Die Außendienstmitarbeiter müßten nun bei einer Anfrage an das Netz der Filiale über VPN in das lokale Netz und anschließend in das Filialnetz geroutet werden.

 

Ich hoffe, daß Problem verständlich beschrieben zu haben und

bedanke mich für evtl. Lösungsvorschläge.

 

Gruss

Link zu diesem Kommentar

In der Firewall der Zentrale musst Du die Routingtabellen und Regeln anpassen und zwar so, dass der Außendienst-VPN-Bereich auch in die Filiale geroutet werden kann.

 

Das wäre das einfachste.

 

Es ist aber (wie immer) abhängig davon, welche Art VPN aufgebaut wird und welche Kisten daran beteiligt ist.

 

Eine weitere VPN-Verbindung in die Filiale ist eigentlich nicht notwendig.

 

grüße

 

dippas

Link zu diesem Kommentar

Ich denke, dass das Firmengateway eine zusätzliche Regel benötigt, die es erlaubt, dass die Roadwarrior nicht nur in das Firmennetz, sondern auch in die Filiale dürfen (der Weg über den Tunnel ist dem Firmengateway bekannt). Zusätzlich muss das Filialgateway eine Route über den Tunnel in das virtuelle Netzwerk der Roadwarrior (die Roadwarrior sind dem Firmengateway bekannt). Die Geräte in der Filiale haben ja wahrscheinlich das Filialgateway als DFefault Gateway eingetragen. Wenn die VPN-Clients kein Split-Tunneling konfiguriert haben, sollte an ihnen nichts mehr konfiguriert werden müssen.

Link zu diesem Kommentar

also ob das mit ISA geht kann ich nicht sagen, wenn dann aber wohl an allen enden ISA.

 

wie auch immer, wie gesagt, so einfach ischt des net. woher soll der filialrouter denn wissen wo er die pakete hinschicken soll. dieser router hat ja keine route zu dem virtuellen VPN client nur der "echte" VPN router kennt diesen. daher, auch wie bereits erwähnt, arbeitet CICSO mit einem trick der alle router sozusagen alle in ein LAN stellt, zumindest auf einer virtuellen IP adresse und dafür kennt ja der jeweilige lokale router dann die router, das ganze nennt sich dann EIGRP. ich habe damit schon ganze nächte verbracht. mittlwerweile hat CISCO auch was neueres das dynamisch das fullmash im netz aufbaut. ist aber glaube ich auch nicht nur PnP, da ist einiges zu konfigureiren.

 

die meissten "standard" VPN geräte wie Netgear usw. die können das nicht.

Link zu diesem Kommentar

Wäre schon gut zu wissen, was eingesetzt wird. Vielleicht kennt ja jemand diese Konfiguration ...

edit: Es funktioniert sowohl mit PPTP als auch mit IPSEC (getestet in einer Life-Umgebung mit einer Watchguard Firebox X-700 mit Fireware Pro in der Hauptstelle und einer Watchguard Firebox X5 Edge in der Filiale. Tunnel zwischen Hauptstelle und Filiale, VPN-Client verbindet sich mit Hauptstelle und bekommt mit PPTP und IPSEC(virtueller Adapter) eine Adresse aus dem internen Bereich der Hauptstelle) Auf dem Filialgateway ist keine Route notwendig, auf dem Firmengateway musste ich eine Tunnelregel anpassen ...

Link zu diesem Kommentar
also ob das mit ISA geht kann ich nicht sagen, wenn dann aber wohl an allen enden ISA.

Nein, Hauptsache ein VPN vom ISA zur anderen Seite. Was dort hängt spielt ja keinen Tango, kann auch eine PIX sein (so von uns bereits eingerichtet).

Das ist rein eine Frage, ob die Firewall das Routing, von aussen kommend in einen Tunnel nach wo anders hin aussen, zulässt, und das kann ISA 2004 definitiv.

 

grizzly999

Link zu diesem Kommentar

Hallo,

 

der VPN-Server ist eine Watchguard Firebox 1000 mit Vers. 7.2xxx

Der VPN-Tunnel wird mit IPSEC aufgebaut.

 

Der Adreßbereich in den sich die Außendienstmitarbeiter einwählen ist kpl.

für evtl. Anfragen an die Filiale in der Firewall geroutet.

 

Wenn es denn tatsächlich funktionieren soll, bräuchte ich nocht einen Tip,

welche Tunnelregel wie angepaßt werden soll.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...