manuelle SA Regeln

[lolman]

Hallo,
ich habe gerade ein Problem beim erstellen von manuellen SA-Regeln für die VPN Verbindung. Die Verbindung will einfach nicht klappen.

Nun zu meiner Umgebung:
Ich verfolge eine Deny-All Strategie. Wobei jeglicher Traffic über VPN und so Sachen wie DNS, NTP, HTTP, HTTPS (etc) zugelassen sind. Der Rest wird geblockt.
Außerdem arbeite ich mit der manuellen SA-Regelerstellung. (und hier hapert es gerade)

Folgende Situation besteht: (siehe Anhang netz.png)

Zentrale1 und Zentrale2 sind über VPN miteinander verbunden (orange).
Office3 und Zentrale2 sind mit VPN verbunden (blau)
Office4 und Zentrale1 sind mit VPN verbunden (rot)

Routingtabelle Router1 (Zentrale1):

Code: Alles auswählen

IP                    Netzmaske             Router
192.168.  2.  0       255.255.255.  0       router4
 10.  1.  0.  0       255.255.  0.  0       router2

SA-Regeln Router1 (zentrale1)

Code: Alles auswählen

Name: VPN-SA_Z1-Z2
[] Regel ist für die Firewall aktiv (Haken raus)
[x] Regel wird zur Erzeugung von VPN-Regeln genutzt (Haken drin)
Aktion:  übertragen
Quelle:  192.168.0.0/24
Ziel:    10.1.0.0/16
Dienste: alle Dienste

Name: VPN-SA_Z1-O4
[] Regel ist für die Firewall aktiv (Haken raus)
[x] Regel wird zur Erzeugung von VPN-Regeln genutzt (Haken drin)
Aktion:  übertragen
Quelle:  192.168.0.0/24
Ziel:    192.168.2.0/24
Dienste: alle Dienste

Routingtabelle Router2: (zentrale2)

Code: Alles auswählen

IP                    Netzmaske             Router
 10.220.  0.  0       255.255.255.  0       router3
192.168.  0.  0       255.255.255.  0       router1

SA-Regeln Router2 (zentrale2)

Code: Alles auswählen

Name: VPN-SA_Z2-Z1
[] Regel ist für die Firewall aktiv (Haken raus)
[x] Regel wird zur Erzeugung von VPN-Regeln genutzt (Haken drin)
Aktion:  übertragen
Quelle:  10.1.0.0/16
Ziel:    192.168.0.0/24
Dienste: alle Dienste

Name: VPN-SA_Z2-O3
[] Regel ist für die Firewall aktiv (Haken raus)
[x] Regel wird zur Erzeugung von VPN-Regeln genutzt (Haken drin)
Aktion:  übertragen
Quelle:  10.1.0.0/16
Ziel:    10.220.0.0/24
Dienste: alle Dienste

Routingtabelle Router3: (office3)

Code: Alles auswählen

IP                    Netzmaske             Router
 10.  1.  0.  0       255.255.  0.  0       router2

SA-Regeln Router3 (office3)

Code: Alles auswählen

Name: VPN-SA_O3-Z2
[] Regel ist für die Firewall aktiv (Haken raus)
[x] Regel wird zur Erzeugung von VPN-Regeln genutzt (Haken drin)
Aktion:  übertragen
Quelle:  10.220.0.0/24
Ziel:    10.1.0.0/16
Dienste: alle Dienste

Routingtabelle Router4: (office4)

Code: Alles auswählen

IP                    Netzmaske             Router
192.168.  0.  0       255.255.255.  0       router1

SA-Regeln Router4 (office4)

Code: Alles auswählen

Name: VPN-SA_O4-Z1
[] Regel ist für die Firewall aktiv (Haken raus)
[x] Regel wird zur Erzeugung von VPN-Regeln genutzt (Haken drin)
Aktion:  übertragen
Quelle:  192.168.2.0/24
Ziel:    192.168.0.0/24
Dienste: alle Dienste

Ich möchte nun aber (ohne ein neues VPN aufzuspannen) von Office3 nach Zentrale1 (über Zentrale2) bzw im 2. Step von Office3 nach Office4 (über Zentrale2 und Zentrale1) routen.
Wie muss ich vorgehen?
Wie müssen die Routingeinträge aussehen?
so in Office3?

Code: Alles auswählen

IP                    Netzmaske             Router
192.168.  0.  0       255.255.255.  0       router2

und so in Zentrale1?

Code: Alles auswählen

IP                    Netzmaske             Router
10 .220.  0.  0       255.255.255.  0       router2

Wie müssen die SA-Regeln aussehen? Ich hatte schon ein wenig rumprobiert, aber irgendwie will das alles nicht so recht klappen.
Wenn ich zb. in Zentrale1 einfach das Netz ändere in:

Code: Alles auswählen

Name: VPN-SA_Z1-Z2
[] Regel ist für die Firewall aktiv (Haken raus)
[x] Regel wird zur Erzeugung von VPN-Regeln genutzt (Haken drin)
Aktion:  übertragen
Quelle:  192.168.0.0/24
Ziel:    10.0.0.0/8
Dienste: alle Dienste

geht garkein Tunnel mehr von Zentrale1 nach Zentrale2.

Wenn ich einfach eine hinzufüge, geht es auch nicht. zB so:

Code: Alles auswählen

Name: VPN-SA_Z1-O3
[] Regel ist für die Firewall aktiv (Haken raus)
[x] Regel wird zur Erzeugung von VPN-Regeln genutzt (Haken drin)
Aktion:  übertragen
Quelle:  192.168.0.0/24
Ziel:    10.220.0.0/24
Dienste: alle Dienste

Ich stehe hier ein wenig auf dem Schlauch. Ich hoffe jemand kann mir helfen.
Danke schon einmal.

[backslash]

Hi lolman,

Ich möchte nun aber (ohne ein neues VPN aufzuspannen) von Office3 nach Zentrale1 (über Zentrale2) bzw im 2. Step von Office3 nach Office4 (über Zentrale2 und Zentrale1) routen.
Wie muss ich vorgehen?
Wie müssen die Routingeinträge aussehen?
so in Office3?

Code: Alles auswählen

IP                    Netzmaske             Router
192.168.  0.  0       255.255.255.  0       router2

ja, und natürlich auch die dazu passende SA

und so in Zentrale1?

Code: Alles auswählen

IP                    Netzmaske             Router
10 .220.  0.  0       255.255.255.  0       router2

ja

Wie müssen die SA-Regeln aussehen? Ich hatte schon ein wenig rumprobiert, aber irgendwie will das alles nicht so recht klappen.
Wenn ich zb. in Zentrale1 einfach das Netz ändere in:

Code: Alles auswählen

Name: VPN-SA_Z1-Z2
[] Regel ist für die Firewall aktiv (Haken raus)
[x] Regel wird zur Erzeugung von VPN-Regeln genutzt (Haken drin)
Aktion:  übertragen
Quelle:  192.168.0.0/24
Ziel:    10.0.0.0/8
Dienste: alle Dienste

geht garkein Tunnel mehr von Zentrale1 nach Zentrale2.

das kann so nicht funktionieren, weil Z1 nun mehr fordert (10.0.0.0/8) als Z2 erlaubt (10.1.0.0/16). Du mußt entweder in Z2 eine Regel erstellen, die Z1 den Zugriff auf das 10.0.0.0/8 Netz erlaubt, oder du mußt in Z1 eine extra Regel für das Netz in O3 erstellen, also entweder ein Z1:

Code: Alles auswählen

Name: VPN-SA_Z1-O3
[] Regel ist für die Firewall aktiv (Haken raus)
[x] Regel wird zur Erzeugung von VPN-Regeln genutzt (Haken drin)
Aktion:  übertragen
Quelle:  192.168.0.0/24
Ziel:    10.220.0.0/24
Dienste: alle Dienste

oder deine Regel in Z1 *und* in Z2

Code: Alles auswählen

Name: VPN-SA_Z2+O3-Z1
[] Regel ist für die Firewall aktiv (Haken raus)
[x] Regel wird zur Erzeugung von VPN-Regeln genutzt (Haken drin)
Aktion:  übertragen
Quelle:  10.0.0.0/8
Ziel:    192.168.0.0/24
Dienste: alle Dienste

und wenn du dann noch O4 erreichen willst, werden es noch mehr Regeln in den Zentralen - bei n Netzen kommst du im worst case auf (n^2)/2 Regeln.
Daher ist es sinnvoll die Netze zusammenzufassen (192.168.0.0/16 und 10.0.0.0/8) und passende SAs dafür zu generieren.

Oder aber du machst es dir einfach und legst neue VPN-Tunnel zwischen O3 und Z1 sowie O3 und O4 an

Gruß
Backslash

[lolman]

Danke für den Hinweis.
Ich probiere das einmal aus!