Komplettrouting einer Niederlassung über S2S VPN

Share

Angebundene Niederlassung über Site to Site VPN ohne lokalen Breakout 

Es ist möglich den ganzen Traffic einer Niederlassung inkl. Internet komplett
über die Hauptstelle zu routen, das kann aus Sicherheitsgründen 

sinnvoll sein.  So kann man zB den Internetzugriff einer Nebenstelle unterbinden oder durch den Sophos UTM Webproxy der Hauptstelle schützen.

Aufbauend auf:
DNS Sophos UTM9
Site-to-site VPN Sophos UTM 9 <-> Lancom
DHCP Relay Site-to-Site VPN

 

Dazu muss man im Lancom eine neue Standard Route mit dem Tag 1 und der Internet-Gegenstelle (DSL/UnityMedia etc) anlegen. Somit sind erst mal 2 Standardrouten im Lancom vorhanden, mit Tag 0 und Tag 1.

Unter IP-Router -> Routing IPv4-Routing-Tabelle
DSL IPv4 Routing Tabelle Lancom
Achtung! Das geht nicht (gut) remote!

 

Danach die Standard-Route von der Internet-Gegenstelle (DSL/UnityMedia etc) mit dem Tag 0 auf die VPN-Gegenstelle HAUPT (=Sophos UTM Hauptstelle) ändern.

IPv4 Routing Tabelle Lancom
Maskierung Route Tag 1 zum Internet an, zur Haupt (Sophos UTM) Tag 0 aus.

Das bewirkt, das aller Traffic des Netzwerkes mit dem Tag 0 (Clientnetzwerk) in die Sophos UTM  geroutet wird. Die Route mit dem Netzwerk der UTM mit der Gegenstelle sollte weiterhin bestehen.

 

Als Nächstes gibt man der oder den VPN Verbindungen den Tag 1 (vorher Tag 0), damit diese weiterhin die Verbindung über das Internetaufbauen können:
Unter VPN -> Allgemein -> Verbindungsliste

Verbinmgsliste Lancom Routing

 

Falls gewünscht ist, dass die Niederlassung auch surfen kann, muss man als weiteres Netzwerk in der Site-to-Site Verbindung der Sophos UTM (Astaro) das Internet hinzufügen:
Unter Site-to-Site VPN -> IPSec |Connections| 'Edit'

Site to Site Routing Sophos UTM
IPv6 natürlich nur, wenn dieses auch aktiviert ist und geroutet wird.

 

Danach
unter Web Protection -> Web Filtering  |Global| "Allowed networks" das Remote Netzwerk  hinzufügen.

Sophos UTM WebFiltering Ausnahmen

 

Ohne SSO surft man über das Transparente Profil, für SSO muss man ein neues Web Filtering Profil Profil anlegen oder das Netzwerk zu einem bestehenden hinzufügen.

Für jeder Art der Standortvernetzung (Site to Site VPN) ist dieses Szenario sicher nicht geeignet, kontaktieren sich mich gerne dazu.

 

Münster AD 2013 

Share

Leave a Reply