Einschleifen eines (VPN-) Routers

[LC4fun]

Hallo,

Ein bestehendes lokales Netzwerk besitzt über einen Lancom 1781VAW Zugang zum Internet und soll um einen weiteren Router "VR1" ergänzt werden, welcher den Zugriff auf nur via VPN erreichbare Dienste ermöglicht (siehe Bild). Da die VPN-Parameter von VR1 nicht zugänglich sind, besteht nur die Möglichkeit den VR1 "einzuschleifen". Doch das ist mir nur teilweise gelungen, deshalb bitte ich Euch um Hilfe.

Konzept:

Code: Alles auswählen

                |-----|
                | VR1 |
                |-----|
                 04 05
                 ^   |
        Net-VDn1 |   | Net-VUp1
                 |   v
                 03 06
|-----|         |-----|         |-----|
| PC1 |01---->02| LC1 |07---->08| VS1 |
|-----|    |    |-----|    |    |-----|
           |               |
           Net-Loc1        Net-Web1

Netze:

• 192.168.1.0/24: Net-Loc1: Lokales Netzwerk
• 192.168.2.0/24: Net-VDn1: Lokales Transfernetz für Downlink zum VPN
• 192.168.3.0/24: Net-VUp1: Lokales Transfernetz für Uplink zum VPN
• xxx.xxx.x.x/xx: Net-Web1: Das Internet

Hosts:

• PC1: Ein PC (zum Testen)
• LC1: Lancom 1781 VAW, das Default-Gateway zum Internet
• VR1: Ein Router, baut eine VPN-Verbindung auf.
• VS1: Ein nur via VPN, welches von VR1 aufgebaut wurde, erreichbarer Server. Er steht im Netz "Net-VPN1/16"

Netzwerkports:

Hinweis: In der IP-Nummer repräsentiert die dritte Stelle das
jeweilige Netz (N) und die 4.te Stelle den jeweiligen Host (H)

==> 192.168.N.H.

• PC1:
  • 01: 192.168.1.10: PC1-Loc1
• LC1:
  • 02: 192.168.1.1: LC1-Loc1
  • 03: 192.168.2.1: LC1-VDn1
  • 06: 192.168.3.1: LC1-VUp1
  • 07: xxx.xxx.x.x: LC1-Web1 # ip vom provider
• VR1:
  • 04: 192.168.2.2: VR1-VDn1
  • 05: 192.168.3.2: VR1-VUp1
• VS1:
  • 08: yyy.yyy.y.y: VS1-Web1 # ip vom provider

------------------------------------------------------------------------
Setup im Lancom:

1. Firmware updaten
2. Reset
3. Mit Setup-Assistent Grundeinstellungen einrichten (Netz: Net-Loc1)
4. Mit Setup-Assistent Internetzugang einrichten (Netz: Net-Web1)
5. Ergebnis: PC1 (s.o.) erreicht das Internet

Nun das "Einschleifen":

1. Das vorhandene Setup gemäß "LANCOM Support Knowledgebase Dokument-Nr. 0705.1814.2409.LGOE - V1.80" (google) um die Netze
   • Net-VDn1
   • Net-VUp1
   erweitern.
2. Im Lancom Route für "Net-VPN1/16" auf Port "VR1-VDn1 (04)" einrichten.

------------------------------------------------------------------------
Test und Symptom:

• auf PC1:
  • ping nach:
    • LC1-VDn1 (03): funktioniert
    • VR1-VDn1 (04): timeout
  • tracert nach:
    • VR1-VDn1 (04):

      Code: Alles auswählen

      1  1 ms  ... ... LC1-Loc1 (02)
      2  *     *   *   timeout
      3  *     *   *   timeout
      

• auf LC1:
  • ping nach:
    • VR1-VDn1 (04): funktioniert
    • VS1-Web1 (08): funktioniert

Offensichtlich funktioniert das Routing jeweils für die beiden
Teilstrecken (siehe Bild):

• 01, 02, 03
• 03, 04, 05, 06, 07, 08

nicht aber für die Gesamtstrecke:

• 01, 02, ..., 07, 08

------------------------------------------------------------------------
Warum ist für Pakete, welche von PC1-Loc1 (01) stammen und das Ziel
VS1-Web1 (08) besitzen, der Übergang von LC1-VDn1 (03) nach VR1-VDn1
(04) unterbrochen? Wie kann ich das Problem lösen?

Schon jetzt: Danke!

LC4fun

[MariusP]

Hi,

Code: Alles auswählen

                |-----|    |-----|
                | VR1 |->08| VS1 |
                |-----|  | |-----|
                 04 05   |
                 ^   |   Net-Web1
                 |   |
        Net-VDn1 |   | Net-VUp1
                 |   v
                 03 06
|-----|         |-----|    
| PC1 |01---->02| LC1 |07---->
|-----|    |    |-----|   
           |           
           Net-Loc1       

ist das nicht eher der Netzaufbau der Gemeint ist oder steht VS1 wirklich hinter LC1?
Und was für ein Router ist VR1?

VR1-VDn1 (04): timeout

Ich glaube da fehlt in LC1 die Rückroute für Pings.
Gruß

[LC4fun]

Hallo MariusP,

Ja, VS1 steht im Internet (alias Net-Web1), d.h. wirklich hinter LC1.

Hm, ich denke mit "Rückroute" bist Du dicht an der Lösung, nur, dass die Rückroute in des Netz "Net-Loc1" nicht im LC1, sondern im VR1 fehlt. Zustimmung?

Falls ja, dann sehe ich jetzt zwei Lösungsansätze:

1. In VR1 eine Route zu "Net-Loc1" via "LC1-VDn1" (03), oder
2. Verzicht auf das Transfernetz "Net-VDn1", d.h. Port 04 wäre zu ändern von "VR1-VDn1" nach "VR1-Loc1".
   Der Port "LC1-VDn1 (03)" samt Routingregel im LC1 kann dann entfallen.

Hm, ich tendiere zu Lösung b), weil das Setup dadurch einfacher wird. Marius, Wie siehst Du das?

Viele Grüße, LC4fun

[MariusP]

Hi,

dass die Rückroute in des Netz "Net-Loc1" nicht im LC1, sondern im VR1 fehlt

Jo, ich bin im VdnRLCS-Jungle etwas durcheinander gekommen.

a. VR1 muss halt wissen, wer den Weg kennt nach PC1 der in NetLoc1 liegt.
b. Wieso gibt es das Netz überhaupt? Denn du hast ja anscheinend LC1 und VR1 beide Male im in 2 Netzen.

LC1:
03: 192.168.2.1: LC1-VDn1
06: 192.168.3.1: LC1-VUp1
VR1:
04: 192.168.2.2: VR1-VDn1
05: 192.168.3.2: VR1-VUp1

Warum baut nicht LC1 die VPN Verbindung mit VS1 auf?
Es scheint mir etwas umständlich das PC1 an VR1 über LC1 eine Anfrage nach VS1 schickt und dann VR1 ein ESP-Paket üebr LC1 nach VS1 schickt.
Alternativ könntest du auch VR1 zwischen PC1 und LC1 schalten.
Gruß

[LC4fun]

Hallo MariusP,

bei

VdnRLCS-Jungle

musste ich lachen . Dabei hatte ich versucht die Sache möglichst klar darzustellen.

a. VR1 muss halt wissen, wer den Weg kennt nach PC1 der in NetLoc1 liegt.

Ich verstehe und konnte zwischenzeitlich in VR1 eine Route für Net-Loc1 realisieren, in dem ich für diese Netz den Port "03" als Zielport vorgegeben hatte. Das hat leider nicht funktioniert. Möglichweise haben wir es auch nicht richtig umgesetzt, denn bei VR1 handelt es ich um einen Zyxel USG 20, den zumindest ich nicht kenne.

b. Wieso gibt es das Netz überhaupt? Denn du hast ja anscheinend LC1 und VR1 beide Male im in 2 Netzen.

Die Lösung entstand in zwei Schritten. Die Ausgangssituation bestand aus dem Standardsetup für ein LAN mit Internetzugang:

Code: Alles auswählen

Setup (A): Ausgangssituation

|-----|         |-----|
| PC1 |01---->02| LC1 |07----> Web (= Internet)
|-----|    |    |-----|    |
           |               |
           Net-Loc1        Net-Web1

Dann kam VR1 hinzu, der ein VPN zu mehreren Servern (unter anderm auch VS1) aufbaut. Diese Server stehen zwar im Internet, besitzen auch öffentliche IP-Adressen, sind aber nur mit Hilfe von VPN-Routern wie z.B. dem VR1 erreichbar.
Der Lieferant des VR1 und Provider für das VPN hat eine Netzwerkkonfiguration vorgeschlagen, bei der sich VR1 in einer Art "DMZ" (bei mir in Net-VUp1) befindet und für die Nutzung des VPN ein separater PC2 abgestellt wird. Damit VR1 funktionieren kann, hat der Lieferant gefordert, dass sich die beiden Ports des VR1 in unterschiedlichen Netzen befinden. Das ist mit Net-VDn1 und Net-VUp1 der Fall. Ich habe dann folgenden Aufbau realisiert:

Code: Alles auswählen

Setup (B) "Mit PC2 als dezidiertem VPN-PC" (funktioniert)

|-----|         |-----|
| PC2 |09---->04| VR1 |
|-----|    |    |-----|
           |        05
           |         |
        Net-VDn1     | Net-VUp1
                     v
                 03 06
|-----|         |-----|                   |-----|
| PC1 |01---->02| LC1 |07----> Web ---->08| VS1 |
|-----|    |    |-----|    |              |-----|
           |               |
           Net-Loc1        Net-Web1

PC2 konnte damit erfolgreich mit VS1 kommunizieren. Gleichzeitig besaß PC1 (wie alle anderen PCs im Netz "Net-Loc1") nach wie vor Internetzugang.

Das Setup (B) besitzt jedoch folgende Nachteile:

1. Es benötigt den zuätzlichen PC2 und
2. PC1 und die anderen PCs in Net-Loc1 können die Dienste von VS1 nicht nutzen.

Ich nahm und nehme immer noch an, dass zur Lösung dieser beiden Probleme das Setup (B) nur wie folgt geändert werden müsse:

1. Port 04 von Port 09 trennen und statt dessen mit Port 03 verbinden.
2. In LC1 alle Pakete, welche für VS1 und seine "Geschwister" bestimmt sind, mit einer Route auf Port 04 auf die Schleife "03 .. 04 .. 05 ..06" leiten, also den Router VR1 "einschleifen".

Es enstand das Setup (C):

Code: Alles auswählen

Setup (C) "Mit eingeschleiftem VPN-Router VR1"

                |-----|
                | VR1 |
                |-----|
                 04 05
                 ^   |
        Net-VDn1 |   | Net-VUp1
                 |   v
                 03 06
|-----|         |-----|                   |-----|
| PC1 |01---->02| LC1 |07----> Web ---->08| VS1 |
|-----|    |    |-----|    |              |-----|
           |               |
           Net-Loc1        Net-Web1

Es sollte also der vom Lieferanten vorgeschlagenen und auch funktionierenden Lösung mit einer kleinen Änderung die Nachteile genommen werden.

Soviel zur Entstehung des Setup (C). Nun zu deinen Fragen im Einzelnen:

Warum baut nicht LC1 die VPN Verbindung mit VS1 auf?

Antwort: Weil nach den Vorgaben des VPN-Providers/VPN-Router-Lieferanten die VPN-Parameter geschützt im VR1 verbleiben müssen, um die Sicherheit des VPN zu gewährleisten.

Es scheint mir etwas umständlich das PC1 an VR1 über LC1 eine Anfrage nach VS1 schickt und dann VR1 ein ESP-Paket üebr LC1 nach VS1 schickt.
Alternativ könntest du auch VR1 zwischen PC1 und LC1 schalten.

Antwort: Im Setup (B) war das für den PC2 auch so, jedoch mit den oben genannten Nachteilen.

Da ich Setup (C) nicht zum Laufen bringen kann, fallen mir noch zwei nicht ganz so elegante Lösungsansätze ein:

1. In PC1 zusätzlich zur Default-Route eine Route speziell für das VPN auf Port 04 setzen, und wenn das auch nicht funktioniert,
2. dem PC1 eine zusätzliche Netzwerkkarte, d.h. in Anlehnung an Setup (B) einen Port 09 spendieren und diesen via Net-VDn1 direkt mit Port 04 verbinden.

MariusP, da bisher außer dir sich keiner an der Lösung beteiligt hat, nehme ich an, dass das Problem "(VPN-) Router einschleifen" nur etwas für "Hardcore-Netzwerker" ist. Vielleicht lag es auch an meinem VdnRLCS-Jungle Deshalb noch mal ein herzliches Danke an Dich

Viele Grüße, LC4fun

[mm2knet]

Ich gehe davon aus, dass der Lancom die Route schon richtig gesetzt hat (Sprich, dass alle Pakete für die Maschinen im VPN an den BlackBoxRouter geschickt werden).

Jetzt sehe ich 3 Möglichkeiten:
1) die Rückroute der Blackbox in das interne Netzwerk auf den Lancom zeigen lassen
2) das interne Interface der Blackbox in das interne Netzwerk hängen, so dass die Datenpakete von allen Clients zum Lancom geschickt werden, der routet es im gleichen Subnetz an den Blackbox Router. Dieser wiederum antwortet direkt an die clients.
3) Die Route vom internen Netzwerk Richtung Server lassen wie bisher und ein Masquerading machen, damit der Blackbox Router keine Route braucht, damit die Daten wieder zurück kommen. Dies sollte aber nur gemacht werden, wenn Lösung 1) nicht funktioniert, weil keine Route eingetragen werden kann und Lösung 2 nicht geht, weil man das interne IP Netz nicht ändern kann.