Design-Frage komplexe VPN-Struktur und Def-GW

Dieses Thema im Forum "Bintec" wurde erstellt von rubix88, 14. Oktober 2010.

  1. rubix88

    rubix88 Starter

    Registriert seit:
    14. Oktober 2010
    Beiträge:
    2
    Punkte für Erfolge:
    1
    Ich setze bei einem Kunden eine umfangreiche VPN-Struktur mit diversen Providern und Bintec-Routern ein (ausschließlich R3000/R3002, aktuellste Firmware).
    Die bishere Struktur ist sternförmig aufgebaut mit einer Zentrale und mehreren (60) Filialen, alle im privaten Adress-Range 10.x.x.x. Aller Traffic nach 10.x.x.x wird durch den jeweiligen Tunnel zur Zentrale geroutet und bleibt auch dort, es gibt keine offene Verbindung ins Internet für diese Struktur.
    Jetzt soll parallel dazu eine zweite sternförmige VPN-Struktur zu einer zweiten Zentrale aufgebaut werden, die einen separaten Adress-Range (172.16.x.x) bekommt und physikalisch durch einen jeweils abgetrennten Port am Filialrouter getrennt ist.
    Die Tunnels von den Filialen zu den beiden Zentralen funktionieren bereits für den jeweiligen Adress-Range (10.x.x.x bzw. 172.16.x.x)

    Gibt es eine Möglichkeit die Default-Route für sämtlichen Traffic der neuen Struktur (172.16.x.x) durch den Tunnel zur zweiten Zentrale zu leiten? Dort steht ein ISA-Server, der den Traffic ins Internet managen soll (SecureNAT + Webproxy) und für die neue Zentrale das Default-Gateway ins Internet ist.
    Die Filialen sollen durch die zweite physikalische Struktur quasi einen "offenen" Zugang zum Internet bekommen, der jedoch vom zentralen ISA überwacht wird.

    Die Default-Route für die jeweiligen Filialnetze zeigen jetzt ja auf das jeweilige ISP-Interface. Wie lässt sich sämtlicher Traffic z.B. von en1-3 durch den Tunnel zur zweiten Zentrale leiten?

    Thanx für alle Hinweise.
     
  2. rubix88

    rubix88 Starter

    Registriert seit:
    14. Oktober 2010
    Beiträge:
    2
    Punkte für Erfolge:
    1
    Habe eine Lösung mittlerweile selbst gefunden:

    Am Filial-Router richte ich eine Extended Default-Route ein, die auf das Interface des IpSec-Peers zeigt und nur den Traffic von z.B. en1-3 berücksichtigt. Damit wandert schon mal aller Traffic aus dem "Dirty"-Netz in den Tunnel.

    In der Zentrale habe ich eine Extended Default-Route auf das Gateway des ISP gesetzt damit die Tunnels weiterhin funktionieren. Berücksichtigt wird bei dieser ERoute nur das Interface das zum ISP zeigt.
    Die Default-Route zeigt jetzt auf die IP des ISA-Servers. Damit wandert aller Traffic zum ISA und kann dort entspr. gemanaged und geloggt werden.