[gelöst] VPN-Regelerzeugung / Quelle-Ziel

SunSeb · Beitrag von **SunSeb** » 03 Okt 2008, 18:43

Moin,

ich habe eine Frage zur VPN-Regelerzeugung.

Es ist eine Filiale an eine Zentrale über VPN angebunden. Internettraffic der Filiale soll über die Zentrale geleitet werden. Ich habe dies analog zur Knowledge-Base konfiguriert. In der Zentrale habe ich dementsprechend eine Firewall-Regel hinzugefügt, welche das Routing Filiale<->Internet ermöglicht. Die Regel hat als Verbindungsquelle das Internet (also alles) und als Verbindungsziel die Gegenstelle der VPN-Verbindung. Das funktioniert auch wunderbar.
Warum funktioniert die Regeldefinition nicht auch umgekehrt mit Verbindungsquelle der Gegenstelle und Verbundungsziel Internet? Die Regel muß doch bidirektional funktionieren?

Gruß,
SEBastian

backslash · Beitrag von **backslash** » 05 Okt 2008, 16:21

Hi SunSeb,

Firewallregeln sind richtungsabhängig, d.h. wenn du bei einer Deny-All-Strategie zwischen zwei Netzen ungehindert Daten austauschen willst, dann brauchst du zwei Regeln, bei denen jeweils Quelle und Ziel vertauscht sind.

Bei Firewallregeln, die zur Erzeugung von VPN-Regeln dienen, gibt es jedoch nur eine sinnvolle Richtung, bei der das Ziel immer die VPN-Gegenstelle ist. Die umgekehrte Regel (also VPN-Gegenstelle als Quelle) hat keinerlei Bedeutung bei der Erzeugung der VPN-Regeln. Sie mag aber sehrwohl als Firewallregel benötigt werden um bei einer Deny-All-Strategie überhaupt TCP-Verbinungen von der Client-Seite aufbauen zu können.

Gruß
Backslash

SunSeb · Beitrag von **SunSeb** » 06 Okt 2008, 22:01

Hallo backslash,

vielen Dank!

Gruß,
SEBastian