Nachdem ich mir jetzt die ersten zehn Seiten hier im Forum durchgelesen habe, bin ich immer noch so schlau wie vorher.
Router 1: 192.168.0.254
Router 2: 192.168.2.1
Beide sind erfolgreich per VPN verbunden.
Ich will jetzt, dass sämtliche Internetzugriffe aus dem Netz hinter Router 1 durch den VPN-Tunnel zu Router 2 geschickt werden, von dort aus mit der IP von Router 2 ins Internet und zurück.
Ich habe probiert, im IP-Router eine entsprechende Regel zu konfigurieren, habe mir daran aber die Zähne ausgebissen ("Zeitüberschreitung der Anforderung" beim ping).
Würde mich über jede Hilfestellung freuen.
Vielen Dank!
2 x 1711+: Internet-Traffic über den Tunnel zwingen
Moderator: Lancom-Systems Moderatoren
Hallo Wolfgang,
beide Router haben pseudodynamische Adressen - sie werden vom Provider selten geändert aber alle Monat einmal wieder. Deswegen habe ich für beide Router DynDNS-Namen registriert und bekomme sie regelmässig aktualisiert.
In der Routingtabelle von Router (1) steht ein Eintrag am Ende mit IP=255.255.255.255, IP-Netzmaske=0.0.0.0 und PEER DSL mit Maskierung auf Ein. Das bedeutet doch, dass aller Traffic, der nicht durch eine weiter oben stehende Regel bereits gerouted wurde, auf die DSL-Leitung geschickt wird, oder?
Ich hatte dann eine Regel angelegt auf Router (1)
In der IP-Routingtabelle des 1711+ (1) hatte ich testweise eine Regel eingerichtet mit denselben Parametern wie oben und dann aber die VPN-Leitung als Peer, keine Maskierung.
Mache ich dann einen tracert zu Router (2), ergibt sich:
Ablaufverfolgung beendet.
Soweit, so gut.
Versuche ich nun aber einen tracert zu www.yahoo.de (in der Annahme, dass die Anfrage über den VPN-Tunnel geht), geschieht folgendes:
Ändere ich testweise den Peer vom Namen der VPN-Verbindung auf die gegenwärtige öffentliche IP-Adresse des Routers (2), ergibt sich dasselbe Bild.
Ich muss gestehen, dass ich ein absolutes Greenhorn bin, was Routing angeht... aber eigentlich ist die Anforderung doch nicht so ausgefallen, oder
?
Vielen Dank,
Oliver
beide Router haben pseudodynamische Adressen - sie werden vom Provider selten geändert aber alle Monat einmal wieder. Deswegen habe ich für beide Router DynDNS-Namen registriert und bekomme sie regelmässig aktualisiert.
In der Routingtabelle von Router (1) steht ein Eintrag am Ende mit IP=255.255.255.255, IP-Netzmaske=0.0.0.0 und PEER DSL mit Maskierung auf Ein. Das bedeutet doch, dass aller Traffic, der nicht durch eine weiter oben stehende Regel bereits gerouted wurde, auf die DSL-Leitung geschickt wird, oder?
Ich hatte dann eine Regel angelegt auf Router (1)
In der IP-Routingtabelle des 1711+ (1) hatte ich testweise eine Regel eingerichtet mit denselben Parametern wie oben und dann aber die VPN-Leitung als Peer, keine Maskierung.
Mache ich dann einen tracert zu Router (2), ergibt sich:
Code: Alles auswählen
Routenverfolgung zu 192.168.2.1 über maximal 30 Abschnitte
1 74 ms 1 ms 1 ms VPN_PIRIYAHPONG.intern [192.168.0.254]
2 152 ms 207 ms 97 ms 192.168.2.1
Soweit, so gut.
Versuche ich nun aber einen tracert zu www.yahoo.de (in der Annahme, dass die Anfrage über den VPN-Tunnel geht), geschieht folgendes:
Code: Alles auswählen
Routenverfolgung zu any-rc.a01.yahoodns.net [87.248.120.148] über maximal 30 Abschnitte:
1 39 ms 96 ms 207 ms VPN_PIRIYAHPONG.intern [192.168.0.254]
2 * * * Zeitüberschreitung der Anforderung.
3 * * * Zeitüberschreitung der Anforderung.
4 * * * Zeitüberschreitung der Anforderung.
5 * * * Zeitüberschreitung der Anforderung.
6 * * * Zeitüberschreitung der Anforderung.
7 * * * Zeitüberschreitung der Anforderung.
8 * * * Zeitüberschreitung der Anforderung.
9 * * * Zeitüberschreitung der Anforderung.
10 * * * Zeitüberschreitung der Anforderung.
11 * * * Zeitüberschreitung der Anforderung.
12 * * * Zeitüberschreitung der Anforderung.
13 * * * Zeitüberschreitung der Anforderung.
14 * * * Zeitüberschreitung der Anforderung.
15 * * * Zeitüberschreitung der Anforderung.
16 * * * Zeitüberschreitung der Anforderung.
17 * * * Zeitüberschreitung der Anforderung.
18 * * * Zeitüberschreitung der Anforderung.
19 * * * Zeitüberschreitung der Anforderung.
20 * * * Zeitüberschreitung der Anforderung.
21 * * * Zeitüberschreitung der Anforderung.
22 * * * Zeitüberschreitung der Anforderung.
23 * * * Zeitüberschreitung der Anforderung.
24 * * * Zeitüberschreitung der Anforderung.
25 * * * Zeitüberschreitung der Anforderung.
26 * * * Zeitüberschreitung der Anforderung.
27 * * * Zeitüberschreitung der Anforderung.
28 * * * Zeitüberschreitung der Anforderung.
29 * * * Zeitüberschreitung der Anforderung.
30 * * * Zeitüberschreitung der Anforderung.
Ablaufverfolgung beendet.
Ich muss gestehen, dass ich ein absolutes Greenhorn bin, was Routing angeht... aber eigentlich ist die Anforderung doch nicht so ausgefallen, oder
?Vielen Dank,
Oliver
Hi tnmlyger
du brauchst in Router 1 zwei Defaultrouten - eine für den Internet-Traffic durch den VPN-Tunnel und eine um den Router 2 als VPN-Endpunkt errichen zu können, da dieser ja eine dynmaische Adresse hat. Der Route für den Internet-Traffic verpaßt du das Routing-Tag 0 und der anderen das Routing-Tag 1.
Jetzt mußt du nur noch dafür sorgen, daß Router 2 als VPN-Tunnelendpunkt über die getaggte Route erreicht wird. Dazu stellst du in der VPN-Verbindungsliste für die VPN-Strecke das Routing-Tag auf 1:
Damit wäre die Konfiguration für Router 1 abgeschlossen.
Nun mußt du dem Router 2 noch sagen, daß er auf der VPN-Strecke Internet-Traffic zulassen soll. Das machst du über eine entsprechende Regel in der Firewall:
Desdweiteren stellst du hier für die VPN-gegenstelle die Regelerzeugung von "automatisch" auf "manuell" um:
danach sollte es funktionieren
Gruß
Backslash
du brauchst in Router 1 zwei Defaultrouten - eine für den Internet-Traffic durch den VPN-Tunnel und eine um den Router 2 als VPN-Endpunkt errichen zu können, da dieser ja eine dynmaische Adresse hat. Der Route für den Internet-Traffic verpaßt du das Routing-Tag 0 und der anderen das Routing-Tag 1.
Code: Alles auswählen
IP-Address IP-Netmask Rtg-tag Peer-or-IP Distance Masquerade Active Comment
-------------------------------------------------------------------------------------------------------------------
255.255.255.255 0.0.0.0 1 INTERNET 0 on Yes Route to reach VPN endpoint
255.255.255.255 0.0.0.0 0 ROUTER2 0 No Yes Default route on VPN channel
Jetzt mußt du nur noch dafür sorgen, daß Router 2 als VPN-Tunnelendpunkt über die getaggte Route erreicht wird. Dazu stellst du in der VPN-Verbindungsliste für die VPN-Strecke das Routing-Tag auf 1:
Code: Alles auswählen
Peer SH-Time Extranet-Address Remote-Gw Rtg-tag Layer dynamic IKE-Exchange Rule-creation
--------------------------------------------------------- / --------------------------------------------------------------- ...
ROUTER2 9999 0.0.0.0 router2.dyndns.org 1 P-ROUTER2 No Main-Mode auto
Damit wäre die Konfiguration für Router 1 abgeschlossen.
Nun mußt du dem Router 2 noch sagen, daß er auf der VPN-Strecke Internet-Traffic zulassen soll. Das machst du über eine entsprechende Regel in der Firewall:
Code: Alles auswählen
[ ] Diese Regel ist für die Firewall aktiv
[x] Diese Regel wird zur Erzwugung von VPN-Regeln herangezogen
Aktion: übertragen
Quelle: alle Stationen
Ziel: Gegenstelle ROUTER1
Dienste: alle DiensteCode: Alles auswählen
Peer SH-Time Extranet-Address Remote-Gw Rtg-tag Layer dynamic IKE-Exchange Rule-creation
--------------------------------------------------------- / --------------------------------------------------------------- ...
ROUTER1 0 0.0.0.0 router1.dyndns.org 0 P-ROUTER1 No Main-Mode manually
danach sollte es funktionieren
Gruß
Backslash