Liebes Forum,
wie konfiguriere ich 3 unabhaengige Netzwerke ueber VPN? Die Zentrale ist der Hub und leitet den ganzen Verkehr zwischen den einzelnen Standorten
1 Netzwerk Intranet:
Zentrale 192.168.100.0/24 auf 4 Standorte 192.168.101.0/24, 192.168.102.0/24, 192.168.104.0/24 und 192.168.106.0/24.
2 Netzwerk Technet:
Zentrale 192.168.10.0/24 auf 4 Standorte 192.168.11.0/24, 192.168.12.0/24, 192.168.14.0/24 und 192.168.16.0/24
3 Netzwerk Telefonnetz:
Zentrale 192.168.110.0/24 auf 3 Standorte 192.168.120.0/24 192.168.140.0/24 und 192.168.160.0/24.
Die Regel fuer die VPN funktioniert nun soweit. Im jeweiligen Netz solle der Verkehr uneingeschraenkt funktionieren.
Das Problem ist nun die Verbindung zwischen den Netzwerken darf nicht routebar sein. Bisher kann ich alles in allen Netzwerken erreichen.
Wie kann ich das bewerkstelligen?
Vielen Dank und sonnige Gruesse aus Zuerich
Starmanager
Firewall Konfiguration ueber VPN an entfernte Router
Moderator: Lancom-Systems Moderatoren
-
Starmanager
- Beiträge: 59
- Registriert: 19 Mär 2009, 13:19
Hi Starmanager
du könntest einerseits mit jeder Menge Deny-Regeln in der Firewall den Traffic unterbinden oder aber du arbeitest mit ARF. Dann brauchst du zwar manuelle VPN-Regeln, weil die automatische Regelerzeugung hier nur für maximal ein ARF-Netz funktioniert, aber damit hast du die Vollständige Trennung der Netze:
Hierzu vergibst du den Netzen erstmal untereschiedliche Interface-Tags, z.B. 1 für das intranet, 2 für das Technet und 3 für das Telefon-Netz.
Danach erstellst manuell VPN-Regeln für die jeweiligen Netzbeziehungen:
Als letztes mußt du noch einkommenden Traffic in ihre ARF-Netze zwingen, dafür erstellst du entsprechende Firewallregeln, die den einkommenden Paketen ein Routing-Tag aufzwingen:
Entsprechend mußt du natürlich auch in den Filialen die ARF-Netze taggen und passende VPN- und Firewallregeln erstellen.
Gruß
Backslash
du könntest einerseits mit jeder Menge Deny-Regeln in der Firewall den Traffic unterbinden oder aber du arbeitest mit ARF. Dann brauchst du zwar manuelle VPN-Regeln, weil die automatische Regelerzeugung hier nur für maximal ein ARF-Netz funktioniert, aber damit hast du die Vollständige Trennung der Netze:
Hierzu vergibst du den Netzen erstmal untereschiedliche Interface-Tags, z.B. 1 für das intranet, 2 für das Technet und 3 für das Telefon-Netz.
Danach erstellst manuell VPN-Regeln für die jeweiligen Netzbeziehungen:
Code: Alles auswählen
Name: VPN-INTRANET
[x] Diese regel wird zur Erzeugung von VPN-Regeln herangezogen
Aktion: übertragen
Quelle: 192.168.100.0/24
Ziel: 192.168.101.0/24, 192.168.102.0/24, 192.168.104.0/24 und 192.168.106.0/24.
Dienste: alle Dienste
Name: VPN-TECHNET
[x] Diese regel wird zur Erzeugung von VPN-Regeln herangezogen
Aktion: übertragen
Quelle: 192.168.10.0/24
Ziel: 192.168.11.0/24, 192.168.12.0/24, 192.168.14.0/24 und 192.168.16.0/24
Dienste: alle Dienste
Name: VPN-TELEFON
[x] Diese regel wird zur Erzeugung von VPN-Regeln herangezogen
Aktion: übertragen
Quelle: 192.168.110.0/24
Ziel: 192.168.120.0/24 192.168.140.0/24 und 192.168.160.0/24
Dienste: alle Dienste
Code: Alles auswählen
Name: TAG-INTRANET
Routing-Tag: 1
Aktion: übertragen
Quelle: 192.168.101.0/24, 192.168.102.0/24, 192.168.104.0/24 und 192.168.106.0/24.
Ziel: 192.168.100.0/24
Dienste: alle Dienste
Name: TAG-TECHNET
Routing-Tag: 1
Aktion: übertragen
Quelle: 192.168.11.0/24, 192.168.12.0/24, 192.168.14.0/24 und 192.168.16.0/24
Ziel: 192.168.10.0/24
Dienste: alle Dienste
Name: TAG-TELEFON
Routing-Tag: 1
Aktion: übertragen
Quelle: 192.168.120.0/24 192.168.140.0/24 und 192.168.160.0/24
Ziel: 192.168.110.0/24
Dienste: alle DiensteGruß
Backslash
-
Starmanager
- Beiträge: 59
- Registriert: 19 Mär 2009, 13:19
Hallo Backslash,
vielen Dank fuer die Unterstuetzung,. Nun habe ich alles so eingerichtet und bekomme leider noch Fehlermeldungen.
Keine Regel fuer ID's gefunden - unbekannte Verbindung oder fehlerhafte ID (z.B. Netzwerkdefinition) (Responder, IPSec) [0x3201]
Habe nun die Regeln auf dem Router in der Zentrale umkonfiguriert
Name: VPN-INTRANET
[x] Diese regel wird zur Erzeugung von VPN-Regeln herangezogen
Aktion: übertragen
Quelle: 192.168.100.0/24, 192.168.101.0/24, 192.168.102.0/24, 192.168.106.0/24
Ziel: 192.168.101.0/24, 192.168.102.0/24, 192.168.104.0/24 und 192.168.106.0/24.
Dienste: alle Dienste
Name: VPN-TECHNET
[x] Diese regel wird zur Erzeugung von VPN-Regeln herangezogen
Aktion: übertragen
Quelle: 192.168.10.0/24, 192.168.11,0/24, 192.168.12,0/24, 192.168.14.0/24 und 192.168.16.0/24
Ziel: 192.168.11.0/24, 192.168.12.0/24, 192.168.14.0/24 und 192.168.16.0/24
Dienste: alle Dienste
Name: VPN-TELEFON
[x] Diese regel wird zur Erzeugung von VPN-Regeln herangezogen
Aktion: übertragen
Quelle: 192.168.110.0/24, 192.168.120.0/24 192.168.140.0/24 und 192.168.160.0/24
Ziel: 192.168.120.0/24 192.168.140.0/24 und 192.168.160.0/24
Dienste: alle Dienste
Ist das so technisch vertretbar oder gibt es dann irgendwo eine Sicherheitsluecke?
Nun sind die 4 Standorte ohne Fehlermeldungen am Netz.
Gruss aus dem Schwarzwald
Starmanager
vielen Dank fuer die Unterstuetzung,. Nun habe ich alles so eingerichtet und bekomme leider noch Fehlermeldungen.
Keine Regel fuer ID's gefunden - unbekannte Verbindung oder fehlerhafte ID (z.B. Netzwerkdefinition) (Responder, IPSec) [0x3201]
Habe nun die Regeln auf dem Router in der Zentrale umkonfiguriert
Name: VPN-INTRANET
[x] Diese regel wird zur Erzeugung von VPN-Regeln herangezogen
Aktion: übertragen
Quelle: 192.168.100.0/24, 192.168.101.0/24, 192.168.102.0/24, 192.168.106.0/24
Ziel: 192.168.101.0/24, 192.168.102.0/24, 192.168.104.0/24 und 192.168.106.0/24.
Dienste: alle Dienste
Name: VPN-TECHNET
[x] Diese regel wird zur Erzeugung von VPN-Regeln herangezogen
Aktion: übertragen
Quelle: 192.168.10.0/24, 192.168.11,0/24, 192.168.12,0/24, 192.168.14.0/24 und 192.168.16.0/24
Ziel: 192.168.11.0/24, 192.168.12.0/24, 192.168.14.0/24 und 192.168.16.0/24
Dienste: alle Dienste
Name: VPN-TELEFON
[x] Diese regel wird zur Erzeugung von VPN-Regeln herangezogen
Aktion: übertragen
Quelle: 192.168.110.0/24, 192.168.120.0/24 192.168.140.0/24 und 192.168.160.0/24
Ziel: 192.168.120.0/24 192.168.140.0/24 und 192.168.160.0/24
Dienste: alle Dienste
Ist das so technisch vertretbar oder gibt es dann irgendwo eine Sicherheitsluecke?
Nun sind die 4 Standorte ohne Fehlermeldungen am Netz.
Gruss aus dem Schwarzwald
Starmanager
Hi Starmanager
ich würde sagen, da erlaubst du von den VPN-Regeln her zu viel... Denn die Netze die jetzt sowohl in der Quelle als auch im Ziel stehen, stehen an einer Stelle zuviel... Eine Sicherheitslücke machst du damit aber nicht auf, weil das Routing zwischen den Netzen durch das ARF unterbunden wird...
Gruß
Backslash
ich würde sagen, da erlaubst du von den VPN-Regeln her zu viel... Denn die Netze die jetzt sowohl in der Quelle als auch im Ziel stehen, stehen an einer Stelle zuviel... Eine Sicherheitslücke machst du damit aber nicht auf, weil das Routing zwischen den Netzen durch das ARF unterbunden wird...
Gruß
Backslash
-
Starmanager
- Beiträge: 59
- Registriert: 19 Mär 2009, 13:19
