Ich hatte die Aufgabe, ein „Site to Site“-VPN mit mehreren Gateprotect-Firewalls auf die Beine zu stellen. Der Arzt möchte gerne zwei Standorte remote auf dem Terminalserver in Paderborn arbeiten lassen. Eine Standardanwendung die es nötig macht, das zwei Firewalls an den Standorten sich mit der in der „Zentrale“ verbinden. Gemacht hatte ich das schon mal… allerdings immer nur mit einer Box die sich mit einer anderen verbindet. Das zwei Geräte angebunden werden, war neu…
Ich tat also was ich immer getan habe. Ich habe die Zertifikate vorbereitet. Die Verbindung exportiert und auf der dritten Box importiert. Nach dem Aufbau an einem unbeteiligten Standort war ich bereit für die erste Testphase… Nur die dritte Box leider nicht. Eine Verbindung kam zwar zustande, aber Daten wollten nicht fließen. Und was die Sache noch schlimmer machte: die erste angeschlossene Firewall konnte plötzlich auch nicht mehr mit der „Zentrale“ sprechen. Blöde Konstellation. Habe ich die neu hinzugekommene Verbindung deaktiviert, ging alles wieder. Der Verdacht lag nahe, das ich es mir irgendwo beim Routing besorgt hatte… Aber mir wollte einfach nicht einleuchten wo…
Nach einigem probieren und mehrfacher Kontrolle der Einstellungen habe ich mir heute Support vom Hersteller geholt. Und siehe da – eine Einstellung die mit zwei Boxen problemlos funktioniert, stellt einem bei der dritten Box ein Bein. Schweinerei… Damit mir und jedem anderem der das versucht, so was nicht auch (nochmal) passiert, hier ein kleines Statement dazu – vorab setze ich voraus das die Schritte bis zum „Site to Site“-VPN soweit klar sind und das man sich im Gateprotect-Client auskennt.
Unter „VPN-SSL“ (wann ändern die hier wohl die Bezeichnung auf das korrekte TLS?!) gibt es unter „Einstellungen“ das hier:
In den Defaulteinstellungen lautet der Adressbereich fürs STS 192.168.253.0. Bedauerlicher weise auf jeder der Boxen. Bei zwei verbundenen Maschinen ist das kein Problem. Kommt die dritte hinzu, bringt das den entsprechenden Deamon auf der „zentralen“ Firewall durcheinander. Ansage ist also, diese IP (gelbe Markierung) auf irgendwas zu ändern. Aber bitte auf jeder Box unterschiedlich und bloß nicht in einen Bereich der auf einer der NICs verwendet wird.
Wenn man nicht an anderer Stelle daneben gegriffen hat weil man vielleicht dem Kunden einen Gefallen tun wollte und deswegen nicht alle FritzBoxen und Telekom-Router sofort auf den Müll geworfen hat und es sich jetzt deswegen immer wieder mit dem blöden NAT besorgt, sollte es laufen. Tat es wenigstens bei mir…
In diesem Sinn – gutes Gelingen.
P.S.: Sollte so was nicht in der Anleitung stehen???
Benny