Verbindung aus Technet nach Intranet

[Starmanager]

Hallo Forengemeinde,

ich habe da eine Frage was das Routing angeht.


Im Standort Zuerich haben wir auf einem 7111VPN Router mehrere Netzwerke eingerichtet.

Technet 192.168.10.0/24
Intranet 192.168.100.0/24
Besucher 192.168.200.0/24
Telefon 192.168.120.0/24

und dieser mit mehreren Aussenstellen via VPN verbunden. Dort haben wir die 1711+VPN Router im Einsatz.

Aussenstelle 1

Technet 192.168.11.0/24
Intranet 192.168.101.0/24
Besucher 192.168.200.0/24
Telefon 192.168.130.0/24

Nun funktionieren die 4 Tunnel einwandfrei und sind durch eine Firewallregel alle sauber getrennt.

Neu moechte ich vom Technet in der Aussenstelle 1 auf das Intranet im Standort Zuerich nur auf den Port 3389 (RDP) auf eine Reihe von Servern zugreifen. Gibt es da eine Moeglichkeit?

Vielen Dank fuer Eure wertvolle Zeit

[MariusP]

Hi,
Hört sich nach einer Aufgabe für Firewallman an.
*SuchscheinwerfermitpassendemOverlayaufstell*
Gruß

[backslash]

Hi Starmanager

am einfachsten wäre es, wenn du im Technet in Zürich noch ein paar Adressen frei hast (so viele, wie Server), denn dann kannst du die Server einfach per N:N-NAT vom Intranet ins Technet mappen...

Ansonsten wird das richtig aufwendig. Hier ein kurzer Anriss dessen, was zu tun ist:

• Du mußt alle Netze in eigene Routing-Kontexte zwingen, d.h. mit unterschiedlichen Interface-Tags versehen, z.B. Technet 1, Intranet 2, Besucher 3, Telefon 4. Das geht über IPv4 -> IP-Netzwerke -> Netzwerk -> Schnittstellen-Tag
• Du mußst die zugehörendne VPN-Verbindungen in die passenden Routing-Kontexte zwingen. Das geht über Kommunikation -> Gegenstelle -> WAN-Tag-Tabelle -> Name der VPN-Verbindung -> Tag
• du mußt in der Routing-Tabelle die Routen zu den VPN-Tunneln mit den passenden Routing-Tags versehen (IP-Router -> Routing -> IPv4-Routing-Tabelle -> Route -> Routing-Tag)

Danach läuft erstmal alles so wie jetzt auch und du kannst dir sogar die Firewallregel, die die Netze trennt, sparen...

Nun mußt du dafür sorgen, daß in der Außenstelle eine Route für das Intranet in Zürich mit dem Tag des Netzes Technet existiert, die auf die Technet-VPN-Verbindung zeigt. Damit dieser Tunnel aufgebaut wird, brauchst du in Zürich nun eine zusätzliche VPN-Regel, die as Aushandeln der dafür nötigen SAs erlaubt:

Code: Alles auswählen

NAME:  VPN-FILIALE-TECHNET-INTRANET

[ ] diese Regel ist für die Firewall aktiv
[x] diese Regel wird zur Erzeugung von VPN-Regeln herangezogen
[ ] weitere Regeln beachten, nachdem diese Regel zutrifft
[ ] diese Regel hält Verbindungzustände nach

Quelle:  Netz Intranet in Zürich (lokales Netz INTRANET)
Ziel:    "Technet"-Gegenstelle der Filiale
Dienste: alle Dienste

Und nun brauchst du noch eine Regel, die den Zugriff auf die Server im Intranet aus dem Filialeen-Technet erlaubt, d.h. die einen Wechesl des Routing-Kontextes durch umtaggen erzwingt:

Code: Alles auswählen

NAME:  ALLOW-RDP-FILIALE-TECHNET-INTRANET

[x] diese Regel ist für die Firewall aktiv
[ ] diese Regel wird zur Erzeugung von VPN-Regeln herangezogen
[ ] weitere Regeln beachten, nachdem diese Regel zutrifft
[x] diese Regel hält Verbindungzustände nach

Routing-Tag: Tag des Intranets (hier also 2)

Quelle:  "Technet"-Gegnstelle der Filiale
Ziel:    IP-Adressen der Server
Dienste: TCP, Zielport 3389

Gruß
Backslash