IP von Quellrouter für Zielrouter ändern - bestehende VPN-Verbindung

[Lancom X]

Hallo zusammen,

es geht um zwei 1790VAs, die via VPN verbunden sind.
Router 1 mit IP-Netz 10.10.32.0 und Router 2 mit 192.168.21.0. Im Netz des Routers 2 gibt es einen DC, den ich unter Adresse 192.168.21.2 ereichen kann. Da ich auf den Clients des Routers 1 aber nicht einen DNS-Server ausserhalb des IP-Kreises 10.10.X.X angeben möchte, würde den DC im zweiten Netz gerne mit der IP 10.10.21.2 erreichen.

Im Router 1 habe ich zwei Routen eingerichtet:
192.168.21.0 255.255.255.0 An, sticky für RIP <Gegenstelle Router 2> <Maskierung aus>
10.10.21.0 255.255.255.0 An, sticky für RIP <Gegenstelle Router 2> <Maskierung aus>

Was muss ich beim Router 2 machen, damit von der 10.10.21.2 auf die 192.168.21.2 weitergeleitet wird?
Ich habe es mit N:N-Mapping, Firewalleinträgen probiert, komme aber überhaupt nicht weiter.

Könnt ihr mir weiterhelfen?

Viele Grüße

[backslash]

Hi Lancom X

Ich habe es mit N:N-Mapping,

aber genau das ist der Weg:

Im Router-2 unter IP-Router -> N:N-Mapping -> N:N-NAT-Tabelle

Code: Alles auswählen

Ziel-Gegenstelle:           Name der Gegentelle für Router 1
Original-Quell-IP-Adresse:  192.168.21.2
Netzmaske:                  255.255.255.255
Umges.-Quell-IP-Adresse:    10.10.21.2

eintragen und in Router 1 eine passende Host-Route unter IP-Router -> Routing -> IPv4-Routing-Tabelle

Code: Alles auswählen

IP-Adresse:    10.10.21.2
Netzmaske:     255.255.255.255
Router:        Name der Gegentelle für Router 2
IP-Maskierung  (*) IP-Maskierung abgeschaltet

du kannst auch das ganze Netz mappen:

Im Router-2 unter IP-Router -> N:N-Mapping -> N:N-NAT-Tabelle

Code: Alles auswählen

Ziel-Gegenstelle:           Name der Gegentelle für Router 1
Original-Quell-IP-Adresse:  192.168.21.0
Netzmaske:                  255.255.255.0
Umges.-Quell-IP-Adresse:    10.10.21.0

in dem Fall brauchst du dann im Router 1 die Route zum 192.168.21.0-Netz nicht mehr

Gruß
Backslash

[ftm]

Hi,

mach beim Router 2 ein N:N Mapping.

Code: Alles auswählen

Idx.  Src-Address      Src-Mask         Dst-Station       Mapped-Network
======-------------------------------------------------------------------
1     192.168.21.0    255.255.255.0     Router 1          10.10.21.0

Bei Router 1 änderst du dann die statische Route für den Router 2 von 192.168.21.0/24 auf 10.10.21.0/24. Wenn du bei den VPN Einstellungen die Regelerzeugung auf automatisch hast, dann sollte es ohne weitere Änderung funktionieren. Falls du auf manuell hast, dann musst du die Regel entsprechend anpassen.

Danach sollte der Router 2 respektive dein DC mit 10.10.21.2 ansprechbar sein.

[Lancom X]

Hallo Backslash, hallo ftm,

vielen Dank für eure Antworten.
So wie Backslash es aufgeführt hat, habe ich es (mit 10.10.21.0/24).
Ich bekomme mit ping auf 10.10.21.2 aus dem Netz des Routers 1 die Ausgabe, dass das Zielnetz nicht zu erreichen ist.
Allerdings müsste das Routing funktionieren, da ich diese Antwort von einem weiteren IP-Netz auf Router 2 bekomme.

Die Route 192.168.21.0 in Router 1 kann ich nicht entfernen, da die VPN-Verbindung darüber aufgebaut wird.

Router 1:
192.168.21.0 255.255.255.0 An, sticky für RIP <Gegenstelle Router 2> <Maskierung aus>
10.10.21.0 255.255.255.0 An, sticky für RIP <Gegenstelle Router 2> <Maskierung aus>

Router 2:
10.10.32.0 255.255.255.0 An, sticky für RIP <Gegenstelle Router 1> <Maskierung aus>

Wenn ich die Firewall zum testen ausschalte, funktioniert das Mapping nicht mehr, oder?

Viele Grüße

[ftm]

Die Route 192.168.21.0 in Router 1 kann ich nicht entfernen, da die VPN-Verbindung darüber aufgebaut wird.

Die Route brauchst du nicht mehr, weil für den Router 1 der Router 2 jetzt das 10.10.21.0/24 hat. Du mappst ja entsprechend die Netze am Router 2.
Wie hast du deine VPN Verbindungen eingerichtet? IKEv1 oder v2? Regelerzeugung automatisch oder manuell? Vermutlich liegt da der Hund irgendwo begraben.

Die Firewall hat mit VPN Verbindungen im Normalfall nichts zu tun, außer du hast noch (old school) die SAs darüber angelegt.

[Lancom X]

Die Route brauchst du nicht mehr, weil für den Router 1 der Router 2 jetzt das 10.10.21.0/24 hat. Du mappst ja entsprechend die Netze am Router 2.

Ja, das klingt logisch.
Trotzdem erreiche ich den Router 1 vom Router 2 nicht mehr, wenn ich die Route herausnehme.

Die Regeln sind mit dem Assistenten und IKE2 eingerichtet, also müssten die Regeln automatisch erzeugt worden sein.
Wie kann ich das am besten überprüfen?

Wenn ich von einem Client hinter Router 1 (10.10.32.0) einen Ping auf die 10.10.21.2 setze, bekomme ich ja eine Antwort vom Router 2.
Allerdings nicht vom gewünschten Netz (192.168.21.0) sondern von einem anderen eingerichteten IP-Netzwerk (192.168.50.1).
Das finde ich komisch...

Code: Alles auswählen

Ping wird ausgeführt für 10.10.21.2 mit 32 Bytes Daten:
Antwort von 192.168.50.1: Zielnetz nicht erreichbar.
...
(0% Verlust)

[ftm]

Wenn noch zusätzliche Netze eingerichtet sind, dann kommt man mit der Automatik oft an die Grenzen und muss die SAs manuell eintragen.
Kannst du mal deine Netzstruktur kurz aufzeigen (welcher Router und welches Netz sind wo angeschlossen), vor allem das Routing? Da passen dann wohl auch die Routingeinträge nicht.

[Lancom X]

Hallo zusammen,

ich habe die VPN-Verbindungen überprüft, teilweise korrigiert, die Konfiguration nochmal vorgenommen und die entsprechenden Geräte neugestartet.
Es funktioniert perfekt mit den von euch vorgeschlagenen Konfigurationen.

Also, besten Dank & viele Grüße!