4
USG 100 Routing 2x VLAN und VPN
Hallo Zusammen
Ich habe folgendes Szenario.
Ich habe eine USG 100 und eine (werden mehrere) USG 20 per Site-to-Site miteinander Verbunden. Das funktioniert auch Wunderbar.
Jetzt ist das so. Auf der USG 20 Seite ist nur ein Subnetz (192.168.100.0), während bei der USG 100 2 VLANs vorhanden sind (VLAN1 = 192.168.10.0, VLAN2 = 192.168.20.0).
Die Site-to-Site verbindung hat als Subnetzs VLAN2 eingetragen, was richtig ist, da die Anwender extern nur auf VLAN2 zugreifen dürfen und das funktioniert wie gesagt auch schon.
Was ich jetzt erreichen will, ist das ich von VLAN1 in den VPN Tunnel kann. Das muss man jetzt vermutlich über eine Policy Route machen.
Routing versteh ich im eigentlich schon im Grobkonzept, aber bisher wollte das nicht funktionieren.
Ich hätte gedacht, dass es so läuft:
Von VLAN 1 in das Subnetz von der USG20. Next Hop VPN Tunnel
und dann noch eine Policy von Incoming VPN Tunnel an vlan 1. Allerdings weiß ich nicht was da als next Hop rein müsste.
Hättet ihr mir einen Tipp? Firewall habe ich bisher mal ausgeschaltet zum Testen.
Danke!
Ich habe folgendes Szenario.
Ich habe eine USG 100 und eine (werden mehrere) USG 20 per Site-to-Site miteinander Verbunden. Das funktioniert auch Wunderbar.
Jetzt ist das so. Auf der USG 20 Seite ist nur ein Subnetz (192.168.100.0), während bei der USG 100 2 VLANs vorhanden sind (VLAN1 = 192.168.10.0, VLAN2 = 192.168.20.0).
Die Site-to-Site verbindung hat als Subnetzs VLAN2 eingetragen, was richtig ist, da die Anwender extern nur auf VLAN2 zugreifen dürfen und das funktioniert wie gesagt auch schon.
Was ich jetzt erreichen will, ist das ich von VLAN1 in den VPN Tunnel kann. Das muss man jetzt vermutlich über eine Policy Route machen.
Routing versteh ich im eigentlich schon im Grobkonzept, aber bisher wollte das nicht funktionieren.
Ich hätte gedacht, dass es so läuft:
Von VLAN 1 in das Subnetz von der USG20. Next Hop VPN Tunnel
und dann noch eine Policy von Incoming VPN Tunnel an vlan 1. Allerdings weiß ich nicht was da als next Hop rein müsste.
Hättet ihr mir einen Tipp? Firewall habe ich bisher mal ausgeschaltet zum Testen.
Danke!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 249195
Url: https://administrator.de/contentid/249195
Printed on: April 25, 2024 at 22:04 o'clock
4 Comments
Latest comment
Moin,
eigentlich sollte deine USG100 das Netz bereits kennen, da der VPN-Tunnel aufgebaut ist und funktioniert. Zusätzlich musst du deiner USG20 beibringen, wo der das Netzwerk VLAN1 findet. Normal definiert man dies, in der VPN-Konfiguration. An Hand der Firewall auf beiden Seiten regelt du, welches Netz wie wo zugreifen darf.
Gruß,
Dani
eigentlich sollte deine USG100 das Netz bereits kennen, da der VPN-Tunnel aufgebaut ist und funktioniert. Zusätzlich musst du deiner USG20 beibringen, wo der das Netzwerk VLAN1 findet. Normal definiert man dies, in der VPN-Konfiguration. An Hand der Firewall auf beiden Seiten regelt du, welches Netz wie wo zugreifen darf.
Gruß,
Dani
Das stimmt ja, man richtet eine Local und eine Remote Policy ein beim VPN Setup. Aber ich kann ja nur ein Subnetz angeben und Range hat bei mir bisher nicht funktioniert.
D.h. jetzt, dass die USG20 von ihrem Subnetz auf die USG 100 in VLAN2 richtig geroutet wird und alles funktioniert. Aber ich wollte von VLAN1 in das Subnetz von der USG 20, was ja nicht definiert wurde beim VPN Setup. Deswegen dachte ich, dass man eine Policy Route brauchen würde, oder gibt es einen anderen weg das ganze zu Realisieren?
D.h. jetzt, dass die USG20 von ihrem Subnetz auf die USG 100 in VLAN2 richtig geroutet wird und alles funktioniert. Aber ich wollte von VLAN1 in das Subnetz von der USG 20, was ja nicht definiert wurde beim VPN Setup. Deswegen dachte ich, dass man eine Policy Route brauchen würde, oder gibt es einen anderen weg das ganze zu Realisieren?
Moin,
du hast Recht... jeder Hersteller tut anders. Folgendes wird beschrieben:
Ich würde behaupten, du brauchst diese Policy Route nur auf der USG20. Denn deine USG100 sollte das Subnetz von USG20 bereits durch den Tunnel kennen.
Gruß,
Dani
du hast Recht... jeder Hersteller tut anders. Folgendes wird beschrieben:
You can have more connection policies for a single p-to-p gateway setting.
For USG to USG you need to declare outgoing policy route (snat = none).
Gruß,
Dani
Ohje, dass ist mir neu. Kann ich übrigens Prüfen, ob er das Subnetz kennt?
Um das einzustellen, muss ich in Phase2 gehen vom VPN und Source Subnetz vom USG20, Destination Subnetz von VLAN1 und SNAT?
None gibt es nicht...
Achja hab es nochmal gestetest mit einer Range die bei beide IPs drin hat in der Remote Policy bzw. Local Policy. Funktioniert jetzt. womit das Problem gelöst wäre.
Trotzdem danke für die Hilfe!!
Um das einzustellen, muss ich in Phase2 gehen vom VPN und Source Subnetz vom USG20, Destination Subnetz von VLAN1 und SNAT?
None gibt es nicht...
Achja hab es nochmal gestetest mit einer Range die bei beide IPs drin hat in der Remote Policy bzw. Local Policy. Funktioniert jetzt. womit das Problem gelöst wäre.
Trotzdem danke für die Hilfe!!
