1
VPN Anbindung mehrerer Standorte
Hallo zusammen,
für einen Kunden wurde vor Kurzem eine VPN Lösung aus dem Boden gestampft. Dabei wurden mehrere externe Standorte per VPN an die Zentrale angeschlossen. Realisiert wird dies von einer Juinper Netscreen SSG5 in der Zentrale und Juniper Netscreens 5GT in den Außenstellen. Der Tunnel wird durch Policies aufgebaut. Dies funktioniert bisher eigentlich wunderbar.
Nun soll im Zuge von einigen Umstrukturierungen im betreffenden Unternehmen ein weiterer Standort per VPN angebunden werden, bloß mit dem Unterschied, dass die anderen Standorte ebenfalls mit dem Neuen über die Zentrale kommunizieren müssen. Dies soll ebenfalls durch Policies auf den Netscreens konfiguriert werden.
Nun meine Frage: wie muss man dort vorgehen? Reicht es einfach die weitere Adresse in den Policies einzupflegen (z.B. Src Außenstelle 1; Dest. Zentrale und Außenstelle 10) oder ist dieses nur über eine komplette Umstellung der VPN Struktur zu lösen( also weg von den Policies hin zu virtuellen routern).
Ich hoffe der Ein oder Andere kann mir hier weiterhelfen.
Beste Grüße
Phanni
für einen Kunden wurde vor Kurzem eine VPN Lösung aus dem Boden gestampft. Dabei wurden mehrere externe Standorte per VPN an die Zentrale angeschlossen. Realisiert wird dies von einer Juinper Netscreen SSG5 in der Zentrale und Juniper Netscreens 5GT in den Außenstellen. Der Tunnel wird durch Policies aufgebaut. Dies funktioniert bisher eigentlich wunderbar.
Nun soll im Zuge von einigen Umstrukturierungen im betreffenden Unternehmen ein weiterer Standort per VPN angebunden werden, bloß mit dem Unterschied, dass die anderen Standorte ebenfalls mit dem Neuen über die Zentrale kommunizieren müssen. Dies soll ebenfalls durch Policies auf den Netscreens konfiguriert werden.
Nun meine Frage: wie muss man dort vorgehen? Reicht es einfach die weitere Adresse in den Policies einzupflegen (z.B. Src Außenstelle 1; Dest. Zentrale und Außenstelle 10) oder ist dieses nur über eine komplette Umstellung der VPN Struktur zu lösen( also weg von den Policies hin zu virtuellen routern).
Ich hoffe der Ein oder Andere kann mir hier weiterhelfen.
Beste Grüße
Phanni
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 80747
Url: https://administrator.de/contentid/80747
Printed on: April 23, 2024 at 17:04 o'clock
1 Comment
Nein, es reicht den Standort einfach mit den Policies so anzubinden wie alle anderen auch.
Vermutlich muss aber in der Netscreen (Zentrale und neue Aussstelle, bzw. in den vorhandenen Aussenstellen das IP Netz der neuen Niederlassung) die IP Adressen aller anderer Standorte freigeschaltet werden, damit die VPN Firewall diese auch durchlässt und nicht nur einzig und allein die IP Adressen der Zentrale, denn sonst ist eine any to any Kommunikation aller anderer Standorte mit dieser neuen Niederlassung nicht möglich. IP Adressen ausserhalb der am VPN Tunnel beteiligten werden durch die standard FW Einstellung geblockt, was ja per se so auch Sinn macht.
Das sollte in den Firewall Einstellungen der Komponenten leichtestens machbar sein so das eine Kommunikation aller mit dieser Aussenstelle problemlos möglich ist.
Vermutlich muss aber in der Netscreen (Zentrale und neue Aussstelle, bzw. in den vorhandenen Aussenstellen das IP Netz der neuen Niederlassung) die IP Adressen aller anderer Standorte freigeschaltet werden, damit die VPN Firewall diese auch durchlässt und nicht nur einzig und allein die IP Adressen der Zentrale, denn sonst ist eine any to any Kommunikation aller anderer Standorte mit dieser neuen Niederlassung nicht möglich. IP Adressen ausserhalb der am VPN Tunnel beteiligten werden durch die standard FW Einstellung geblockt, was ja per se so auch Sinn macht.
Das sollte in den Firewall Einstellungen der Komponenten leichtestens machbar sein so das eine Kommunikation aller mit dieser Aussenstelle problemlos möglich ist.
