Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Vpn 2 vpn (ipsec)

    Deutsch
    2
    3
    1.0k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • T
      tomelgato
      last edited by

      Ich hab hier grad einen Knopf im Kopf ;)

      Szenario:

      1x VPN Roadwarrior (IPSec Mobile, eigenes Subnet)
      1x DMZ
      1x LAN
      1x VPN to Site 2

      Ich würde gerne den Roadwarriors, einigen DMZ Hosts und dem LAN ermöglichen auf Hosts über das Site 2 VPN zuzugreifen

      Momentan schaffe ich das nur entweder über LAN oder DMZ, je nachdem welches IF ich in der PH2 Definition (Local Subnet) eintrage.

      Wenn ich aber die PH2 beispielsweise ans DMZ Subnet binde kann jeder DMZ Host voll drauf zugreifen ohne das irgendwelche DMZ FW Rules greifen.

      Was wäre die beste Lösung für diese Problematik? PH2 des Site2 VPNs an ein virtuelles IF/Netz binden?

      1 Reply Last reply Reply Quote 0
      • JeGrJ
        JeGr LAYER 8 Moderator
        last edited by

        Ich gestehe, dass ich gerade das Problem nicht sehe. RWs, DMZ und LAN haben eigene Netze sowie eigene Interfaces (vermute ich). Das Site2Site VPN wird wohl auch über IPSEC laufen? Wenn dann alle 3 Netze übers VPN zugreifen können sollen, muss eben bei den VPN Settings zusätzlich zum Local Subnet, bei welchem das Hauptnetz eingetragen werden sollte, das die Site2Site Verbindung ausmacht, noch die beiden anderen Netze mit gepusht werden, damit die andere Seite Rückrouten für die Ursprungsnetze hat. Notfalls einfach die Rückrouten auf der Gegenstelle eintragen und dort übers VPN zurückschicken.

        Wenn das S2S VPN via OVPN realisiert wird, kann man einfach 2 weitere Netze zur Gegenstelle pushen, dann bekommt diese die automatisch nach Verbindungsaufbau.

        Grüße

        Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

        If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

        1 Reply Last reply Reply Quote 0
        • T
          tomelgato
          last edited by

          Hehe, ich sehe mein Problem auch nicht (klar) ;)

          Also:

          LAN: 192.168.2.0/24
          DMZ: 192.168.3.0/24
          RW: 192.168.9.0/2 (ipsec mobile, hier sind in den PH2 Definitionen die Subnets des VPNs eingetragen, das funktioniert soweit … ich sehe entsprechende Zugriffe in den pass Rules)

          Site 2 Site VPN: Mapped auf local 192.168.8.1
          ipsec, ich kann hier an den Gegenstellen nicht viel ändern da vorgegeben
          Über das VPN (es werden später mehrere Site2Site VPNs werden) werden mehrere Subnetze gerouted über mehrfache PH2 Definitionen wie z.B:

          Mode: tunnel
          Local Subnet: LAN
          Local Subnet NAT/BINAT: 192.168.8.1
          Remote Subnet x.x.x.x/24

          In der Config ist das VPN übers LAN erreichbar, nicht jedoch über DMZ und Roadwarrior (entsprechende Rules sind dort drinnen)
          Wenn ich beim Local Subnet statt LAN DMZ nehme dann ist das VPN über die DMZ erreichbar, ich kann aber nicht über DMZ Rules z.B. nur einzelnen DMZ Hosts Zugang ins VPN gewähren, geht alles anden Rules vorbei durch. Dann ist das VPN nicht mehr über LAN oder Roadwarrior erreichbar...

          Deswegen meine Grundidee beim VPN ähnlich wie bei ipsec Mobile als Local Subnet ein eigenes Subnet ala 192.168.7.0 zu definieren ... wie und obs was bringt hab ich noch nicht rausgefunden

          P.S. Derzeit sind die Site2Site VPNs über einen OpenVPN Tunnel und 2 weitere Router an unserem alten Lancom VPN Router angebunden, die Roadwarrior können drauf zugreifen, das LAN und auch die DMZ. Ich versuche jetzt einfach den Lancom und den OpenVPN Tunnel wegzurationalisieren (anderer Standort) und die Site2Sites direkt an die pfsense anzubinden

          1 Reply Last reply Reply Quote 0
          • First post
            Last post
          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.