Von einem VPN ins andere...

    Hallo, ich habe folgende Konfiguration:

    UCG Ultra mit einem IPsec site-to-site VPN und mobile Clients die sich um UCG Ultra per Wireguard verbinden.

    Es geht auch im UCG Ultra Netz zu dem site-to-site VPN und von den Wireguard Clients zum UCG Ultra Netzwerk.

    Ich möchte jetzt auch von den Wireguard Clients auf das Netzwerk des site-to-site VPN zugreifen. Wie muss ich das einstellen?

    Danke!

    Da habe ich es versucht, leider ohne Erfolg. Auch wenn 0.0.0.0 drin steht so das der gesamte Verkehr über das VPN läuft geht es leider nicht.

    Es sieht so aus, dass das UCG Ultra den Verkehr nicht weiterleitet vom einen in das andere VPN.

    Ich habe jetzt am Gateway sowohl ein IPsec s2s und ein WG s2s. Wenn ich mich mit dem Smartphone per WG zum Gateway verbinde komme ich auch in der WG s2s Netz. Nur das IPsec s2s geht nicht.

    Kennt das entfernte S2S Netz denn die IPs der VPN Clients? Mit einfach mal Verbindung aufbauen, wirst Du zu keinem Ergebnis kommen, woran es liegt - es funktioniert einfach nicht. Im Prinzip musst Du den Hin- und Rückweg konfigurieren und HOPweise prüfen ob die Hin- und Rückpakete an den einzelnen Hops wunschgemäß geroutet werden. Bei diesem Fehlerbild bläst in den meisten Fällen einer von beiden Routern die Pakete zum Provider ins Internet, der die entsorgt. Mit "Es sieht so aus" ist also nichts klar.

    Bei allem was policy based routing Regeln benötigte, war das definitiv mir Wireguard Einwahlclients nicht möglich, da diese bei den policy based routing Regeln gar nicht auswählbar waren. Mir ist zwar so als ob da irgendwann mal in einer EA Version die Rede von war, aber keine Ahnung ob das inzwischen fertig ist.

    Das ist in jedem Fall ein Routing Problem und ggf. zusätzlich ein Firewall Problem. Sinnvoll ist das Ganze ohnehin nur, wenn sich Mitarbeiter im Firmennetz einwählen und dann darüber die S2S Verbindung in ein Rechenzentrum für irgendwelche Anwendungen mitnutzen sollen, so wie die Mitarbeiter in der Firma selbst es tun. Dann ist aber meist, das Problem, dass man selbst im Rechenzentrum gar nichts konfigurieren kann und der Betreiber es oft nicht macht, ggf. weil es netzwerktechnisch zu IP Subnetzüberschneidungen kommen könnte. Dann kann man das Vorhaben schon begraben.

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login