Über VPN ins zweite Netz der anderen Filiale

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
awado
Beiträge: 47
Registriert: 22 Aug 2012, 11:34

Über VPN ins zweite Netz der anderen Filiale

Beitrag von awado »

Hi!

Versuche seit Tagen einen Weg zu finden, das zweite Netz in der anderen Filiale zu erreichen. Vielleicht sehe ich den Wald vor lauter Kabelbäumen nicht. Folgendes haben wir:

- Zentrale: ein 1781er mit 192.168.0.1
- Filiale 1: ein 1781er mit 192.168.1.1
- Filiale 2: ein 1781er mit 192.168.2.1 und Gastnetz 192.168.3.1 (Tag "1")
- beide Filialen bauen per VPN eine Leitung in die Zentrale auf, inkl. VPN-Regeln in der Firewall, per 1-Klick-Assistent eingerichtet und auch schon manuell

VPN funktioniert wunderbar und ich kann die Netze 192.168.0-2.x untereinander erreichen. Nur sehe ich von 192.168.1.x aus keine Geräte in 192.168.3.x! Ein Trace bleibt in der Zentrale stecken. Setze ich einen Routing-Eintrag in der Zentrale auf das 3er-Netz in der Filiale 2, so steigt mir das VPN zur Filiale 2 ständig aus. In der Filiale 2 kann ich vom 2er-Netz ins 3er-Netz sehen, wie gewünscht. Wo ist der Hund begraben?

Danke schon mal.
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: Über VPN ins zweite Netz der anderen Filiale

Beitrag von Jirka »

Hi,

davon abgesehen, dass ich mich hüten würde, ein Gastnetz in die VPN aufzunehmen, stimmen dann wohl Firewall-Regeln in der Zentrale nicht: https://www2.lancom.de/kb.nsf/1275/8DC3 ... enDocument

Viele Grüße,
Jirka
awado
Beiträge: 47
Registriert: 22 Aug 2012, 11:34

Re: Über VPN ins zweite Netz der anderen Filiale

Beitrag von awado »

Das Gastnetz soll natürlich nicht ins VPN rein. Ich möchte lediglich von der anderen Seite aus wissen, was da im Gastnetz so los ist. Und das ist ja auf dessen 1781er auch durch das Tag durchaus gewünscht und erlaubt.

Das im KB-Artikel beschriebene Szenario funktioniert ja bereits, wie gesagt.
beki
Moderator
Moderator
Beiträge: 109
Registriert: 16 Jan 2017, 13:09
Wohnort: DKB/BY/DE

Re: Über VPN ins zweite Netz der anderen Filiale

Beitrag von beki »

Wie sehen denn deine Routing-Tabellen in den Filialen und der Zentrale aus?

Hast du beachtet, dass die Tunnel zu den Filialen so konfiguriert sein müssen, dass sie nicht nur Netz 192.168.[1,2].0/24 sondern auch Netz 192.168.3.0/24 kennen?

Also ganz unabhängig davon, dass es sich bei dem 3er Netz um ein getaggtes Netz handelt, muss dein (ICMP?) Paket in Filiale 2 ankommen, wenn alles korrekt konfiguriert ist.

Wie das dann mit dem Rückweg aussieht, weiß ich nicht. Ich weiß insbesondere nicht, wie das LANCOM unterscheidet, dass ein Paket aus einem ungleich Null getagtem Netz in ein 0 getagtes Netz darf, weil es ein Antwortpaket ist, und ob dieser Mechanismus in deinem Szenario tut, so wie du es erwartest.
awado
Beiträge: 47
Registriert: 22 Aug 2012, 11:34

Re: Über VPN ins zweite Netz der anderen Filiale

Beitrag von awado »

Die Routing-Tabellen sind wie folgt:

LANCOM Filiale 1 (192.168.1.0)

192.168.0.0 | 255.255.255.0 | 0 | An, sticky für RIP | GW-Zentrale | 0 | Aus
192.168.2.0 | 255.255.255.0 | 0 | An, sticky für RIP | GW-Zentrale | 0 | Aus
192.168.3.0 | 255.255.255.0 | 0 | An, sticky für RIP | GW-Zentrale | 0 | Aus


LANCOM Filiale 2 (192.168.2.0 und 192.168.3.1)

255.255.255.255 | 0.0.0.0 | 1 | An, sticky für RIP | INTERNET | 0 | Aus
255.255.255.255 | 0.0.0.0 | 0 | An, sticky für RIP | GW-Zentrale | 0 | Aus


LANCOM Zentrale (192.168.0.0)

192.168.1.0 | 255.255.255.0 | 0 | An, sticky für RIP | GW-FILIALE1 | 0 | Aus
192.168.2.0 | 255.255.255.0 | 0 | An, sticky für RIP | GW-FILIALE2 | 0 | Aus
192.168.3.0 | 255.255.255.0 | 0 | Aus * | GW-FILIALE2 | 0 | Aus

(Habe die Blockier-Regeln hier weggelassen, da überall Standard.)

Der letzte Eintrag in der Zentrale (*) war mein Ansatz, funktioniert aber leider nicht. Zudem baut Filiale 2 dann das VPN nicht korekt auf und meckert ein fehlendes Proposal an. (Was aber definitiv da ist!)

Der Rückweg eines getagten Pakets sollte eigentlich gewährleistet sein, da ich ja in Filiale 2 vom Intranet ins Gastnetz pingen kann und auch eine Antwort bekomme.
beki
Moderator
Moderator
Beiträge: 109
Registriert: 16 Jan 2017, 13:09
Wohnort: DKB/BY/DE

Re: Über VPN ins zweite Netz der anderen Filiale

Beitrag von beki »

da ich ja in Filiale 2 vom Intranet ins Gastnetz pingen kann und auch eine Antwort bekomme
Jo, aber da ist die Quelle ja auch ein Rechner des INTRANETs, welche das LANCOM sofort erkennt als LAN Adresse. Wenn das Paket aus der anderen Filiale kommt, sieht das anders aus, da ist der Empfänger des Antwortpakets plötzlich im WAN/VPN.

Ich befürchte ich bin hier keine große Hilfe, hier müsste ich mich erst lange reinfuchsen. Warum die 3er Router in der Zentrale das VPN kaputt macht, ist mir nicht klar. Wird da IKEv1 eingesetzt?

Was ich aber noch sagen kann: Soweit ich mich erinnere ist dieses Szenario durchaus komplex. Bei größeren Kunden machen wir sowas mit getunnelten Tunneln, um jeweils die logisch getrennten Netzwerke der Filialen untereinander zu Verbinden. Ich glaube das sind L2TP Tunnel innerhalb eines VPN Tunnels?! Ich weiß es nicht sicher. Jedenfalls etwas derartiges.
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: Über VPN ins zweite Netz der anderen Filiale

Beitrag von Jirka »

Hallo,

also dieses Szenario ist nicht komplex. Einfach den oben von mir angegebenen Knowledgebase-Artikel verstehen und hier entsprechend anwenden, fertig. Dabei darauf achten, dass die Netzbeziehungen im VPN stimmen ('show vpn' auf der Konsole) und dass ggf. Routing-Tags beachtet werden. Des Weiteren lieber eine Route mehr, als eine zu wenig (siehe Filiale 2). Und die Blockierregeln hier nicht aufzuführen ist ja wohl auch wenig zielführend, denn wenn die in Filiale 2 auch existieren, geht da ja schon mal einiges in die Hose.

Viele Grüße,
Jirka
Antworten