Netzwerkskizze Ausgangslage
Mit einem SSL-VPN Roadwarrior auf ein Netzwerk hinter einer IPSec Site-to-Site Verbindung zugreifen
Letzte Anpassung: 10.2021
- Neu:
- Neuer Artikel
Vorherige Versionen: -
Ausgangslage
- Ein Netzwerk am Standort A ist über eine IPSec-Site-to-Site-Verbindung mit einem Netzwerk an Standort B verbunden
- Es besteht eine SSL-VPN-Verbindung von einem Roadwarrior zu dem Netzwerk an Standort B
Ziel:
- Das Interne Netzwerk an Standort A soll für den Roadwarrior über die SSL-VPN-Verbindung zu Standort B erreichbar sein.
Konfiguration:
- Standort A:
Internes Netzwerk: 192.168.218.0/24 - Standort B:
Internes Netzwerk: 192.168.219.0/24 - Roadwarrior:
SSL-VPN-Verbindung zu Standort B
Transfernetz-IP: 10.10.10.0/24
IPSec Site-to-Site Verbindung einrichten
Ein Anleitung zur Konfiguration einer IPSec-Site-to-Site Verbindung gibt es in diesem Wiki.
SSL-VPN Verbindung einrichten
Ein Anleitung zur Konfiguration einer SSL-VPN Verbindung für Roadwarrior gibt es in diesem Wiki.
Anpassen der Konfiguration
SSL-VPN-Verbindung bearbeiten
Standort B
Anpassen der SSL-VPN-Roadwarrior Verbindung unter Schaltfläche der Verwendeten Verbindung, Reiter Allgemein
| Beschriftung | Wert | Beschreibung |  |
|---|---|---|---|
| Servernetzwerke freigeben: | »192.168.219.0/24»192.168.218.0/24 | In diesem Beispiel wurde das interne Netzwerk des Standortes B (192.168.219.0/24) bereits durch die SSL-VPN-Verbindung freigegeben. Zusätzlich muss nun noch das interne Zielnetzwerk an Standort A, auf das der Roadwarrior zugreifen soll freigegeben werden. | |
| Angaben mit der Schaltfläche Speichern übernehmen | |||
| SSL-VPN Verbindung neu starten mit der Schaltfläche | |||
Netzwerkobjekt am Standort B anlegenStandort B | |||
| Name: | IPSec Ziel | frei wählbarer Name |  |
| Typ: | Netzwerk (Adresse) | Wichtig: Die SSL-VPN-Verbindung bekommt nicht mit, daß es sich um eine weitere VPN-Verbindung handelt. Daher darf hier kein VPN-Netzwerk ausgewählt werden! | |
| Adresse: | 192.168.218.0/24 | Die Netz-IP des internen Zielnetzwerkes, auf das zugegriffen werden soll | |
| Zone: | external | external | |
| Gruppen: | Ggf. kann das Netzwerkobjekt einer Gruppe hinzugefügt werden | ||
| Netzwerkobjekt mit dieser Schaltfläche speichern und hinzufügen | |||
Konfiguration mit Anpassung der IPSec-Verbindung
Das Transfernetz des Roadwarriors muss auf beiden UTMs in der Phase 2 der IPSec Verbindung eingetragen werden.
Konfiguration unter Schaltfläche der verwendeten Verbindung, Bereich Subnetze, Schaltfläche
Anpassen der IPSec-Verbindung
| Standort A | |||
| Beschriftung | Wert | Beschreibung |   |
|---|---|---|---|
| Lokales Netzwerk: | 192.168.218.0/24 | Das lokale Zielnetzwerk muss am Standort A als Lokales Netzwerk eingetragen werden | |
| Remote Netzwerk: | 10.10.10.0/24 | Das Transfernetz des Roadwarriors (hier 10.10.10.0/24) muss am Standort A als Remote-Netzwerk eingetragen werden | |
| Subnetze hinzufügen mit Speichern und schließen Änderungen der Phase 2 übernehmen ebenfalls mit der Schaltfläche IPSec-Verbindung neu starten mit der Schaltfläche | |||
| Standort B | |||
| Beschriftung | Wert | Beschreibung |   |
| Lokales Netzwerk: | 10.10.10.0/24 | Das Transfernetz des Roadwarriors (hier 10.10.10.0/24) muss am Standort B als Lokales Netzwerk eingetragen werden | |
| Remote Netzwerk: | 192.168.218.0/24 | Das interne Zielnetzwerk (in Standort A) muss am Standort B als Remote-Netzwerk eingetragen werden | |
| Subnetze hinzufügen mit Speichern und schließen Änderungen der Phase 2 übernehmen ebenfalls mit der Schaltfläche IPSec-Verbindung neu starten mit der Schaltfläche | |||
Standort B
Quelle |
 SSL-VPN-RW-Network |
Netzwerkobjekt des Roadwarrior-Netzwerkes |
Ziel |
 IPSec Ziel |
Netzwerk, auf das zugegriffen werden soll |
Dienst |
 xyz |
Gewünschter Dienst oder Dienstgruppe |
| # | Quelle | Ziel | Dienst | NAT | Aktion | Aktiv | |||
 |
7 | SSL-VPN-RW-Network |
IPSec Ziel |
default-internet |
Accept | Ein |
Konfiguration mit HideNat-Regel
Besteht kein Zugriff auf die Konfiguration an Standort A, kann auch eine Regel mit HideNat verwendet werden. Dies ersetzt dann die Übergabe der Netz-IP des SSL-VPN-Transfernetzes in Phase 2 der IPSec-Verbindung.
Da hierbei IP-Adressen ausgetauscht werden, kann dies zu Problemen z.B. mit VoIP oder FTP führen.
Standort B
Quelle |
SSL-VPN-RW-Network |
Netzwerkobjekt des Roadwarrior-Netzwerkes |
Ziel |
IPSec Ziel |
Netzwerk, auf das zugegriffen werden soll |
Dienst |
xyz |
Gewünschter Dienst oder Dienstgruppe |
NAT Typ: |
Hidenat | Die Adressen müssen vom Roadwarrior-Netz ind das Zielnetzwerk übersetzt werden |
NAT Netzwerkobjekt |
internal-interface |
| # | Quelle | Ziel | Dienst | NAT | Aktion | Aktiv | |||
|
7 | SSL-VPN-RW-Network |
IPSec Ziel |
default-internet |
HN | Accept | Ein |