• Ich hab hier grad einen Knopf im Kopf ;)

    Szenario:

    1x VPN Roadwarrior (IPSec Mobile, eigenes Subnet)
    1x DMZ
    1x LAN
    1x VPN to Site 2

    Ich würde gerne den Roadwarriors, einigen DMZ Hosts und dem LAN ermöglichen auf Hosts über das Site 2 VPN zuzugreifen

    Momentan schaffe ich das nur entweder über LAN oder DMZ, je nachdem welches IF ich in der PH2 Definition (Local Subnet) eintrage.

    Wenn ich aber die PH2 beispielsweise ans DMZ Subnet binde kann jeder DMZ Host voll drauf zugreifen ohne das irgendwelche DMZ FW Rules greifen.

    Was wäre die beste Lösung für diese Problematik? PH2 des Site2 VPNs an ein virtuelles IF/Netz binden?

  • LAYER 8 Moderator

    Ich gestehe, dass ich gerade das Problem nicht sehe. RWs, DMZ und LAN haben eigene Netze sowie eigene Interfaces (vermute ich). Das Site2Site VPN wird wohl auch über IPSEC laufen? Wenn dann alle 3 Netze übers VPN zugreifen können sollen, muss eben bei den VPN Settings zusätzlich zum Local Subnet, bei welchem das Hauptnetz eingetragen werden sollte, das die Site2Site Verbindung ausmacht, noch die beiden anderen Netze mit gepusht werden, damit die andere Seite Rückrouten für die Ursprungsnetze hat. Notfalls einfach die Rückrouten auf der Gegenstelle eintragen und dort übers VPN zurückschicken.

    Wenn das S2S VPN via OVPN realisiert wird, kann man einfach 2 weitere Netze zur Gegenstelle pushen, dann bekommt diese die automatisch nach Verbindungsaufbau.

    Grüße


  • Hehe, ich sehe mein Problem auch nicht (klar) ;)

    Also:

    LAN: 192.168.2.0/24
    DMZ: 192.168.3.0/24
    RW: 192.168.9.0/2 (ipsec mobile, hier sind in den PH2 Definitionen die Subnets des VPNs eingetragen, das funktioniert soweit … ich sehe entsprechende Zugriffe in den pass Rules)

    Site 2 Site VPN: Mapped auf local 192.168.8.1
    ipsec, ich kann hier an den Gegenstellen nicht viel ändern da vorgegeben
    Über das VPN (es werden später mehrere Site2Site VPNs werden) werden mehrere Subnetze gerouted über mehrfache PH2 Definitionen wie z.B:

    Mode: tunnel
    Local Subnet: LAN
    Local Subnet NAT/BINAT: 192.168.8.1
    Remote Subnet x.x.x.x/24

    In der Config ist das VPN übers LAN erreichbar, nicht jedoch über DMZ und Roadwarrior (entsprechende Rules sind dort drinnen)
    Wenn ich beim Local Subnet statt LAN DMZ nehme dann ist das VPN über die DMZ erreichbar, ich kann aber nicht über DMZ Rules z.B. nur einzelnen DMZ Hosts Zugang ins VPN gewähren, geht alles anden Rules vorbei durch. Dann ist das VPN nicht mehr über LAN oder Roadwarrior erreichbar...

    Deswegen meine Grundidee beim VPN ähnlich wie bei ipsec Mobile als Local Subnet ein eigenes Subnet ala 192.168.7.0 zu definieren ... wie und obs was bringt hab ich noch nicht rausgefunden

    P.S. Derzeit sind die Site2Site VPNs über einen OpenVPN Tunnel und 2 weitere Router an unserem alten Lancom VPN Router angebunden, die Roadwarrior können drauf zugreifen, das LAN und auch die DMZ. Ich versuche jetzt einfach den Lancom und den OpenVPN Tunnel wegzurationalisieren (anderer Standort) und die Site2Sites direkt an die pfsense anzubinden