Routing über VPN

[webrunner 10]

Hallo,

 

ich hoffe, daß ich mit meinem Problem hier richtig bin!?

 

Wir haben ein Netzwerk mit festen IP-Adressen.

Die Verbindung ins Internet erfolgt durch eine Standleitung über die sich auch die

Außendienstmitarbeiter über VPN über die jeweiligen Provider (MSN, T-Online, etc.)

einwählen können.

 

Zusätzlich besteht eine weitere Standleitung zu einer Filiale. (auch mit festen IP-Adressen).

(die Adreßräume vom lokalen Netz und der Filiale unterscheiden sich)

 

Sobald im lokalen Netz eine Anfrage mit einer IP-Adresse der Filiale gestartet wird,

wird über eine Route in der Firewall die Verbindung zu der Filiale hergestellt.

Ansonsten wandern alle anderen Anfragen über die Internet-Standleitung nach "Draussen".

 

Nun zum Problem:

 

Die Außendienstmitarbeiter müßten nun bei einer Anfrage an das Netz der Filiale über VPN in das lokale Netz und anschließend in das Filialnetz geroutet werden.

 

Ich hoffe, daß Problem verständlich beschrieben zu haben und

bedanke mich für evtl. Lösungsvorschläge.

 

Gruss

[Hirgelzwift 10]

ein vpn ist eine p2p verbindung. das was du vorhast geht nicht so einfach. CISCO hat dafür z.B. mal das EIGRP protokoll entwickelt. damit könnte das gehen.

 

um das zu umgehen muss dein AD mitarbeiter meines wissens nach einen 2. tunnel zur filiale aufbauen.

[dippas 10]

In der Firewall der Zentrale musst Du die Routingtabellen und Regeln anpassen und zwar so, dass der Außendienst-VPN-Bereich auch in die Filiale geroutet werden kann.

 

Das wäre das einfachste.

 

Es ist aber (wie immer) abhängig davon, welche Art VPN aufgebaut wird und welche Kisten daran beteiligt ist.

 

Eine weitere VPN-Verbindung in die Filiale ist eigentlich nicht notwendig.

 

grüße

 

dippas

[grizzly999 11]

Was ist denn der VPN-"Server" für ein Gerät?

 

Mit ISA 2004 geht das auf jeden Fall.

 

 

grizzly999

[IThome 10]

Ich denke, dass das Firmengateway eine zusätzliche Regel benötigt, die es erlaubt, dass die Roadwarrior nicht nur in das Firmennetz, sondern auch in die Filiale dürfen (der Weg über den Tunnel ist dem Firmengateway bekannt). Zusätzlich muss das Filialgateway eine Route über den Tunnel in das virtuelle Netzwerk der Roadwarrior (die Roadwarrior sind dem Firmengateway bekannt). Die Geräte in der Filiale haben ja wahrscheinlich das Filialgateway als DFefault Gateway eingetragen. Wenn die VPN-Clients kein Split-Tunneling konfiguriert haben, sollte an ihnen nichts mehr konfiguriert werden müssen.

[Hirgelzwift 10]

also ob das mit ISA geht kann ich nicht sagen, wenn dann aber wohl an allen enden ISA.

 

wie auch immer, wie gesagt, so einfach ischt des net. woher soll der filialrouter denn wissen wo er die pakete hinschicken soll. dieser router hat ja keine route zu dem virtuellen VPN client nur der "echte" VPN router kennt diesen. daher, auch wie bereits erwähnt, arbeitet CICSO mit einem trick der alle router sozusagen alle in ein LAN stellt, zumindest auf einer virtuellen IP adresse und dafür kennt ja der jeweilige lokale router dann die router, das ganze nennt sich dann EIGRP. ich habe damit schon ganze nächte verbracht. mittlwerweile hat CISCO auch was neueres das dynamisch das fullmash im netz aufbaut. ist aber glaube ich auch nicht nur PnP, da ist einiges zu konfigureiren.

 

die meissten "standard" VPN geräte wie Netgear usw. die können das nicht.

[IThome 10]

Wäre schon gut zu wissen, was eingesetzt wird. Vielleicht kennt ja jemand diese Konfiguration ...

edit: Es funktioniert sowohl mit PPTP als auch mit IPSEC (getestet in einer Life-Umgebung mit einer Watchguard Firebox X-700 mit Fireware Pro in der Hauptstelle und einer Watchguard Firebox X5 Edge in der Filiale. Tunnel zwischen Hauptstelle und Filiale, VPN-Client verbindet sich mit Hauptstelle und bekommt mit PPTP und IPSEC(virtueller Adapter) eine Adresse aus dem internen Bereich der Hauptstelle) Auf dem Filialgateway ist keine Route notwendig, auf dem Firmengateway musste ich eine Tunnelregel anpassen ...

[grizzly999 11]

also ob das mit ISA geht kann ich nicht sagen, wenn dann aber wohl an allen enden ISA.

Nein, Hauptsache ein VPN vom ISA zur anderen Seite. Was dort hängt spielt ja keinen Tango, kann auch eine PIX sein (so von uns bereits eingerichtet).

Das ist rein eine Frage, ob die Firewall das Routing, von aussen kommend in einen Tunnel nach wo anders hin aussen, zulässt, und das kann ISA 2004 definitiv.

 

grizzly999

[IThome 10]

Watchguard kann das auch ... :D

[webrunner 10]

Hallo,

 

der VPN-Server ist eine Watchguard Firebox 1000 mit Vers. 7.2xxx

Der VPN-Tunnel wird mit IPSEC aufgebaut.

 

Der Adreßbereich in den sich die Außendienstmitarbeiter einwählen ist kpl.

für evtl. Anfragen an die Filiale in der Firewall geroutet.

 

Wenn es denn tatsächlich funktionieren soll, bräuchte ich nocht einen Tip,

welche Tunnelregel wie angepaßt werden soll.

[webrunner 10]

Hallo,

 

ich hab den Adreßraum der Filiale in das Konfigurationsfile für den Client aufgenommen,

am Client neu importiert und es funzt.

 

Vielen Dank für die Tipps.

[IThome 10]

Siehste, klappt doch ... :)

[webrunner 10]

Wenn man weiß wo man drehen muß... !?!?

[IThome 10]

Du hast es doch gemacht, also wusstest Du es doch ...