VPN-Routing über bestimmte WAN-Verbindung

fred7 · Beitrag von **fred7** » 12 Okt 2012, 11:43

Hallo,

ich habe zwei DSL-Leitungen und möchte alle Verbindungen zu VPN-Gateways über eine bestimmte Leitung laufen lassen. Es geht hier nicht um VPN-Verbindungen von Router zu Router sondern von VPN-Clients auf PC's zu irgendwelchen Gateways (z.B. Astaro, CISCO, Forti, ...), auf dem PC ist der VPN-Client das Gateway irgendwo im WAN. Ich habe alle VPN-Ports per Firewall-Regel auf die zweite DSL-Leitung gelegt, mir schient aber das lediglich die Aushandlung der Verbindung über diese Leitung geht, danach sämtlicher Verkehr über die erste Leitung. Was mache ich falsch? Muß ich die Gateways auch alle per Firewall-Route umleiten?

Danke und Gruß,

Fred7

backslash · Beitrag von **backslash** » 12 Okt 2012, 15:16

Hi fred7

Ich habe alle VPN-Ports per Firewall-Regel auf die zweite DSL-Leitung gelegt, mir schient aber das lediglich die Aushandlung der Verbindung über diese Leitung geht, danach sämtlicher Verkehr über die erste Leitung. Was mache ich falsch?

Bei IPSec mußt du nicht nur die UDP-Ports 500/4500 sondern auch das Protokoll ESP auf die zweite Leitung zwingen.

Bei PPTP reicht es aus den TCP-Port 1723 auf die zweite Leitung zu zwingen, da die Firewall PPTP nachhält und somit auch die GRE-Pakete automatisch auf die zweite Leitung schickt.

Gruß
Backslash

fred7 · Beitrag von **fred7** » 12 Okt 2012, 15:48

Danke für Deine Antwort. Ich habe folgende Ports/Protokolle über die zweite Leitung geroutet:

UDP: Port 500/4500
TCP: Port 1701,1723
TCP: 50,51,108

Damit geht es nciht. Was fehlt?

Gruß, Fred7

backslash · Beitrag von **backslash** » 12 Okt 2012, 15:54

Hi fred7

TCP: 50,51,108

das ist falsch... Du mußt die Protokolle 50,51,108 nehmen und nicht die TCP-Ports 50,51,108... Dafür gibt in den Default-Objekten der Firewall extra die Objekte "ESP", "AH" und "IPCOMP"

Gruß
Backslash

fred7 · Beitrag von **fred7** » 12 Okt 2012, 16:18

Das könnte es gewesen sein. Ich hatte auf der Seite Dienste die Option VPN aktiviert, beim umschalten auf Benutzerdefinierte Protokolle erscheint dann UDP Protokoll 50,51,108. Ich habe dort noch zusätzlich das Häkchen bei TCP gemacht, damit scheint es zu funktionieren. Ich dachte das wäre so korrekt (mit nur UDP) da es von der Software vorgeschlagen wird.

Auf jeden Fall mal Danke für die Hilfe.

Gruß, Fred7

fred7 · Beitrag von **fred7** » 12 Okt 2012, 16:24

Kommando zurück, das war's nicht. Ich hatte noch einen anderen Eintrag aus versehen geändert. Alles beim alten also.

Gruß, Fred7

backslash · Beitrag von **backslash** » 12 Okt 2012, 16:36

Hi fred7

wähl doch einfach die *existierenden* Protokoll-Objekte für ESP, AH und IPCOMP aus und dein Problem wird sich in Luft auflösen. Falls diese bei dir nicht existieren sollten, dann klicke unter Firewall/QooS -> Regeln einfach auf "Standard-Objekte prüfen" und lasse sie einfach wiederherstellen...

Dann sieht deine Regel einfach so aus:

Code: Alles auswählen

Routing-Tag: Tag für die zweite Verbindung
Aktion:      übertragen
Quelle:      alle Stationen im lokalen Netz
Ziel:        alle Stationen
Dienste:     Zieldienste: IPSEC, ESP, AH, IPCOMP, PPTP

Gruß
Backslash

fred7 · Beitrag von **fred7** » 12 Okt 2012, 17:36

Also um der Sache auf die Spur zu kommen habe ich mal den ganze Traffic per DENY_ALL abgestellt. Dann habe ich DNS, HTTP und Mail aufgemacht. Was komisch ist: ich kann jetzt VPN-Verbindungen herstellen. Wo gehen die denn durch?

Gruß, Fred7