85807
Mar 23, 2012, updated at Oct 18, 2012 (UTC)
4604
4
1
Policy Routen für einen VPN Client ?
Hallo,
Kann mir wer das so erklären dass ich es hinbekomme?
Habe hier 2 Standorte mit je einer Zyxel USG Firewall. Diese sind über einen VPN-Tunnel verbunden.
Dann habe ich ein Notebook mit einem VPN Client der sich mit Zywall A verbindet.
Jetzt ist es notwendig das NB1 auf ein Subnetz der Zywall B zugreifen kann.
Dazu sind Policy Routen notwendig die auf beiden Firewall eingerichtet gehören.
Ich verstehe noch nicht ganz wie eine Policy Route aussehen muss und wie eingehene Packete eines VPN Client von einer Firewall behandelt werden.
Ich stelle mir das bei der Zywall A so vor: Wenn von "IP NB1" eingehend -> zu "IP-Netz auf Zywall B" dann benutze "VPN Tunnel" ?
und bei Zywall B wäre es eigentlich identisch ?
Kann mir wer das so erklären dass ich es hinbekomme?
Habe hier 2 Standorte mit je einer Zyxel USG Firewall. Diese sind über einen VPN-Tunnel verbunden.
Dann habe ich ein Notebook mit einem VPN Client der sich mit Zywall A verbindet.
Jetzt ist es notwendig das NB1 auf ein Subnetz der Zywall B zugreifen kann.
Dazu sind Policy Routen notwendig die auf beiden Firewall eingerichtet gehören.
Ich verstehe noch nicht ganz wie eine Policy Route aussehen muss und wie eingehene Packete eines VPN Client von einer Firewall behandelt werden.
Ich stelle mir das bei der Zywall A so vor: Wenn von "IP NB1" eingehend -> zu "IP-Netz auf Zywall B" dann benutze "VPN Tunnel" ?
und bei Zywall B wäre es eigentlich identisch ?
Please also mark the comments that contributed to the solution of the article
Content-Key: 182481
Url: https://administrator.de/contentid/182481
Printed on: April 26, 2024 at 21:04 o'clock
4 Comments
Latest comment
Normalerweise ist das nicht richtig was du da sagst. Die Firewall auf der sich der Client remote einwählt sollte immer alle Routen die sie kennt auch automatisch auf den VPN Client übertragen.
Die Einwahl Firewall "kennt" ja logischerweise das Subnetz an der Firewall B ebenfalls über ihren festen VPN Tunnel entweder als statische oder dynamische Route (je nachdem wie es konfiguriert ist) damit das Routing dahin klappt. Folglich kennt auch Firewall A dieses Subnetz und sollte es dynmaisch an den VPN Client senden.
Dort kann man das mit "route print" bei aktiviertem VPN Client auch kontrollieren.
Somit sind niemals in einer Standard VPN Installation PBR Routen erforderlich. Das wäre ziemlich unüblich und auch aus logischer Sicht irgendwie überflüssig.
Supportet dein VPN Client sowas nicht hast du nur die einzige Chance diese Route am Client statisch ala "route add ..." in den VPN Tunnel zu routen. PBR Routing supporten nur entsprechende Router oder Firewalls direkt !
Zum Thema PBR Routing findest du hier einen Thread der das Verhalten erklärt:
Cisco Router 2 Gateways für verschiedene Clients
Die Einwahl Firewall "kennt" ja logischerweise das Subnetz an der Firewall B ebenfalls über ihren festen VPN Tunnel entweder als statische oder dynamische Route (je nachdem wie es konfiguriert ist) damit das Routing dahin klappt. Folglich kennt auch Firewall A dieses Subnetz und sollte es dynmaisch an den VPN Client senden.
Dort kann man das mit "route print" bei aktiviertem VPN Client auch kontrollieren.
Somit sind niemals in einer Standard VPN Installation PBR Routen erforderlich. Das wäre ziemlich unüblich und auch aus logischer Sicht irgendwie überflüssig.
Supportet dein VPN Client sowas nicht hast du nur die einzige Chance diese Route am Client statisch ala "route add ..." in den VPN Tunnel zu routen. PBR Routing supporten nur entsprechende Router oder Firewalls direkt !
Zum Thema PBR Routing findest du hier einen Thread der das Verhalten erklärt:
Cisco Router 2 Gateways für verschiedene Clients