Site-2-Site IPsec mit Transfernetz

Es gibt 1 Antwort in diesem Thema, welches 118 mal aufgerufen wurde. Der letzte Beitrag () ist von DoPe.

    • Neu

    Hallo Zusammen,


    ich habe mit dem Support unserer ERP Anwendung einen Tunnel aufgebaut. Jedoch kommt er nur bis zu meine UDM Pro und ich erreiche das andere Netz nicht.

    Er sagte dann, ich müsste mir eine NAT-Regel einrichten und dann funktioniert das... und da komme ich im Moment nicht weiter....


    Hier mal ein paar Details zum Szenario:


    lokales Netz:

    UDM Pro

    192.168.10.0/24


    VPN-Tunnel:

    192.168.115.0/24


    SOPHOS UTM

    entferntes Netz:

    10.2.36.0/28



    Da die Gegenseite bereits einen VPN-Tunnel zu einem 192.168.10.0/24 Netz hat, war hier die Idee im Tunnel als Transfernetz 192.168.115.0/24 zu verwenden.

    Auf der Gegenseite scheint das auch zu klappen, aber nur bis zu meiner UDM. Jetzt habe ich schon versucht mit Routen und Traffic Regeln das irgendwie hin zu bekommen,

    hat aber bis jetzt nicht geklappt. Ich hatte dann einen reddit Beitrag gefunden, dass man anscheinend auf der UDM über die Web-Oberfläche keine NAT-Regeln eingeben kann.

    Die müsse per SSH gemacht werden und wäre beim nächsten Reboot der UDM wieder weg. Da habe ich mich bis jetzt noch nicht herangetraut.


    Hat Jemand schon mal so ein Szenario gehabt?


    VG,

    Martengo

    • Neu

    Das mit dem NAT ist korrekt. Ob es eine gute Idee ist in einem produktivem System auf OS Ebene rumzufrickeln, wage ich mal zu bezweifeln.


    Irgendwie kommt mir bei eurer Idee mit dem Transfernetz irgendwie auch Zweifel, ob das überhaupt funktionieren kann als echtes Site2Site. Die Sophos hat nach Deinen Ausführungen schon eine Verbindung (und damit auch route) zu 192.168.10.0/24 und ihr baut jetzt das gleiche Netz hinter ein Transfernetz? Damit dann in euer "neues" Netz Daten fließen können, braucht die UTM doch dafür ebenfalls eine route, die ist dann doppelt und nach meinem Verständnis ist dann *TILT* ohne das von euch angestrebte NAT ( wo dann die route unnötig wäre). Allerdings mit dem NAT ist es kein echtes Site2Site, denn dann könnte man aus dem Sophos Netz nicht auf das neue UDM Netz zugreifen wegen dem NAT.


    Übrigens NATed der Wireguard Client der UDM von Haus aus, vielleicht könntet ihr das dann ja eher über Wireguard umsetzen.

    Einmal editiert, zuletzt von DoPe ()