DMZ zwischen zwei Zyxel Firewalls / VPN L2TP

Options
Hallo liebe Zyxel Community,

ich bin aktuell dabei eine bestehende USG310 mit einer USG210 zu erweitern. Das Ziel ist es, das zwischen der USG310 und USG210 eine DMZ entsteht.

Die USG310 bezieht das Internet über eine feste statische IP und hat die IP-Adresse 192.168.1.1. Auf der Schnittstelle LAN1 läuft das Netzwerk 192.168.1.x.

 Die USG210 bezieht ihr Internet über die WAN Schnittstelle und ist dadurch an LAN1 von der USG310 angebunden. Die IP-Adresse habe ich statisch auf die 192.168.1.2 gesetzt. Die USG210 gibt auf LAN1 das Netzwerk 192.168.5.x wieder.

Die Kommunikation von der USG210 zum WAN und zum Netz 192.168.1.x scheint zu funktionieren, Ping gehen durch. Ich habe Internet.

Unsere VPN User verbinden sich über L2TP_VPN auf die WAN Adresse der USG310 ein und erhalten eine IP-Adresse aus dem VPN Pool 192.168.250.20 - 50.
Die Kommunikation zur USG210 über die IP 192.168.1.2 funktioniert nicht.
Des Weiteren kann ich, wenn ich über VPN eingewählt bin, kein Gerät unter dem Netzwerk 192.168.5.x erreichen.

Ich habe bereits mehrere statische Routen und Policies gesetzt, allerdings ohne Erfolg.

Die Logs zeigen während eines Tracert nur Default Policy, Block an.

Wie erreiche ich es, dass meine Benutzer, die über VPN eingewählt sind, auf das interne Netzwerk zugreifen können?

Hier noch eine Grafik um zu zeigen, welchen Soll Zustand ich erreichen möchte.

All Replies

  • PeterUK
    PeterUK Posts: 2,730  Guru Member
    First Anniversary 10 Comments Friend Collector First Answer
    edited March 2022
    Options

    You look to be doing double NAT you want to make a routing rule on the USG210 from LAN1 to SNAT none out the WAN1. Then make static route on the USG310 for 192.168.5.0 255.255.255.0 gateway 192.168.1.2

    Edit: and then for 192.168.5.0/24 to get to 192.168.1.0/24 you make a routing rule on USG310 from LAN1 destination 192.168.5.0/24 SNAT none next hop gateway 192.168.1.2 and a firewall from LAN1 to LAN1 If all devices support redirect, if not on the USG210 for routing Advance check Use IPv4 Policy Route to Overwrite Direct Route.

    and to get from L2TP_VPN USG310 to 192.168.5.0/24 you make a routing rule from tunnel L2TP_VPN destination 192.168.5.0/24 SNAT none next hop gateway 192.168.1.2 make firewall rule from L2TP_VPN to LAN1 and on USG210 from WAN to LAN1

    Note VPN users must not be using 192.168.1.0/24 or 192.168.5.0/24 subnets on their routers.
  • Zyxel_Cooldia
    Zyxel_Cooldia Posts: 1,450  Zyxel Employee
    First Anniversary 10 Comments Friend Collector First Answer
    Options
    Hi @albert_94,
    Remote access VPN client cannot access to a subnet which behind NAT router, you could follow PeterUK's suggestion to disable default SNAT on USG210, and create a static route on USG310 for subnet  192.168.5.0 255.255.255.0 to gateway 192.168.1.2.

Security Highlight