DMZ über IPsec

speedy-luis

Hallo miteinander!

Wir haben vor Kurzem eine Filiale eröffnet, welche per IPsec-VPN an unseren Hauptstandort angebunden ist.
Der Tunnel funktioniert wunderbar und läuft stabil.
Leider kann ich die DMZ am Hauptstandort von der Filiale nicht erreichen.

Könnt ihr mir sagen, woran das liegt bzw. konfiguriert werden muss, um eine DMZ über eine IPsec-Tunnel zu erreichen?

Gruß Speedy

flix87

da brauch man auf jeden fall mehr infos um da ansetzen zu können (netze, firewallrules und wie sind die tunnel von den netzen her definiert)
ist der tunnel denn so definiert das man die dmz von der filiale aus erreichen kann.
denke mal dmz und hauptstandort netz sind unterschiedlich. also muss auch der tunnel so definiert sein.

speedy-luis

Danke für die Antwort. DMZ und LAN am Hauptstandort sind unterschiedlich, richtig.

Die Netze sehen wie folgt aus:
Hauptstandort:
em0 –> WAN 217.x.x.10/29    GW --> 217.x.x.9/29
em1 --> LAN  192.168.4.1/24
em2 --> DMZ 192.168.5.1/24  GW --> 217.x.x.9/29

Filiale:
em0 --> WAN 62.x.x.10/29      GW --> 62.x.x.9
em1 --> LAN 192.168.10.1/24

Der tunnel ist wie folgt definiert:

Phase1: Interface = WAN ; Remote Gateway = WAN-Adresse Filiale (und umgekehrt)
Phase2: Local Network = LAN subnet ; Remote Network = LAN Adresse Filiale (und umgekehrt)

Ich weis ehrlich gesagt nicht, wie ich den Tunnel konfigurieren muss, damit die DMZ von der Filiale erreicht werden kann.

A Former User

Hallo Speedy,

wie sieht dein Routing aus?

Gruß Sanches

flix87

dann musst du auf beiden pfsensen jeweils noch eine phase 2 hinzufügen mit dem netz der filiale und dem netz der dmz dann sollte es gehen
wenn du schon auf version 2.0 bist kannst du ja einfach noch eine weitere phase 2 einfügen

ipsec ist nicht routingfähig und es muss daher alles genau defniert sein.

speedy-luis

Mit einer weiteren Phase 2 war mir eigentlich klar. Nur weis ich nicht, wie diese konfiguriert wird. Ich verwende die Version 2.0.
Die momentan konfigurierte Phase 2 sieht ja so aus:
Local Network = LAN subnet ; Remote Network = LAN Adresse Filiale (und umgekehrt)

Die "neue" Phase 2 sieht dann wie aus?
Auf Hauptstandort: Local Network = 192.168.5.0/24 ; Remote Network =?
Auf Filiale: Local Network = ? ; Remote Network = 192.168.5.0/24

flix87

Sollte so sein
@speedy-luis:

Auf Hauptstandort: Local Network = 192.168.5.0/24 ; Remote Network =192.168.10.0/24
Auf Filiale: Local Network = 192.168.10.0/24 (bzw LAN Subnet) ; Remote Network = 192.168.5.0/24

immer überlegen welche Netzet sollen miteinander sprechen können hier also filiale mit DMZ

speedy-luis

Danke, funktioniert  :)

Ist eigentlich logisch, dass das so konfiguriert werden muss…