Hallo Zusammen,
ich habe follgendes Szenario,
eine Außenstelle soll mit unserer Zentralen infrastuktur Verbunden werden.Hierzu soll ein Route Based IPSEC VPN aufgebaut werden.
Dazu haben wir auf der Lancom seite als test aufbau vorerst eine externe ip aus unserer Range vergeben. Später wird diese dann in der Außenstelle per DSL agieren.
In der "Außenstelle" die mit dem LANCOM router verbunden ist, ist follgendes Netz konfiguiert. 172.31.1.0/24
Als Route steht hier 172.30.1.0 255.255.255.0 nach Router RZ_VPN (vordefiniert)
Auf der Juniper SSG5, wurde für die Außenstellen ein VPN Netz eingerichtet 172.30.1.0/24
hier habe ich ebenfalls eine Route hinzugefügt, die auf den Tunnel1 zeigt und auf das Netz 172.30.1.0/24
Prinzipiell steht der Tunnel, dennoch kann ich keinerlei Pakete durch den Tunnel schicken.
Ich gehe von einer Routing Problematik aus. Weiß aber nicht genau wo ich anfangen soll.
Hoffe Ihr könnt mir helfen hänge schon einige Tage an dieser Problematik.
Danke und Gruß
LANCOM Site to Site IPSEC VPN zwischen Juniper SSG5
Moderator: Lancom-Systems Moderatoren
-
FireDragon
- Beiträge: 2
- Registriert: 31 Jul 2013, 16:48
Re: LANCOM Site to Site IPSEC VPN zwischen Juniper SSG5
Hallo FireDragon,
Du hast also ein Lancom das eine VPN-Verbindung zu deinem Juniper aufbauen möchte bzw aufgebaut hat.
Hast du denn mal im IP-Router-Trace "tr # ip-r" nachgeschaut auf welche Route die Pakete geschickt werden.
Bei den Paketen die für den Tunnel bestimmt sind, sollte die Gegenstelle "VPNx" (oder wie auch immer sie genannt wurde).
Beispiel mit OAP321 als Name:
[IP-Router] 1900/01/03 01:11:01,960
IP-Router Rx (intern, RtgTag: 0):
DstIP: 192.168.72.1, SrcIP: 172.16.38.6, Len: 84, DSCP/TOS: 0x00
Prot.: ICMP (1), echo request, id: 0x452d, seq: 0x0001
Route: WAN Tx (OAP321)
Am besten du schaust dir auch einen VPN-Status-Trace an "tr # vpn-s", dann kannst du nämlich auch sehen ob die VPN-Verbindung wirklich aufgebaut wird.
Gruß
Du hast also ein Lancom das eine VPN-Verbindung zu deinem Juniper aufbauen möchte bzw aufgebaut hat.
Hast du denn mal im IP-Router-Trace "tr # ip-r" nachgeschaut auf welche Route die Pakete geschickt werden.
Bei den Paketen die für den Tunnel bestimmt sind, sollte die Gegenstelle "VPNx" (oder wie auch immer sie genannt wurde).
Beispiel mit OAP321 als Name:
[IP-Router] 1900/01/03 01:11:01,960
IP-Router Rx (intern, RtgTag: 0):
DstIP: 192.168.72.1, SrcIP: 172.16.38.6, Len: 84, DSCP/TOS: 0x00
Prot.: ICMP (1), echo request, id: 0x452d, seq: 0x0001
Route: WAN Tx (OAP321)
Am besten du schaust dir auch einen VPN-Status-Trace an "tr # vpn-s", dann kannst du nämlich auch sehen ob die VPN-Verbindung wirklich aufgebaut wird.
Entweder er steht oder er steht nicht.Prinzipiell steht der Tunnel
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
-
FireDragon
- Beiträge: 2
- Registriert: 31 Jul 2013, 16:48
Re: LANCOM Site to Site IPSEC VPN zwischen Juniper SSG5
Vielen Dank, für deine schnelle Antwort.
Also Prinzipiell dachte ich das die Verbindung zum Tunnel steht Da im Lancom "LanMonitor" unter dem Punkt VPN. Verbindung erfolgreich seit X stunden.
Der trace vom Router gibt den Router RZ-VPN aus, aber natürlich erst, wenn man vom Rechner ein Ping befehl auf 172.30.1.1 sendet.
Ich hoffe das funktioniert überhaupt so wie ich mir des Vorstelle
Wir haben eben auf der Außenstelle den Adressbereich 172.31.1.0/24
Jetzt sollen die Außenstellen mit unserer Zentrale kommunizieren.
Hier gibt es unteranderem ein DNS mit 10.1.30.30 oder ein Opsi server mit 172.17.x.x
Als gegenstelle hab ich auf der Juniper extra nochmals ein Netz angelegt, die das Netz der außenstelle mit 172.30.1.0/24 knüpft.
Ich dachte wenn das Inferface von 172.30.1.1 von der Juniper verwaltet wird. Weiß ja die Juniper das es die vorhanden Adressen wie vom DNS oder opsi kennen und routet sie dem entsprechend weiter.
Oder habe ich hier ein demensprechenden Denkfehler ?
Also Prinzipiell dachte ich das die Verbindung zum Tunnel steht Da im Lancom "LanMonitor" unter dem Punkt VPN. Verbindung erfolgreich seit X stunden.
Der trace vom Router gibt den Router RZ-VPN aus, aber natürlich erst, wenn man vom Rechner ein Ping befehl auf 172.30.1.1 sendet.
Ich hoffe das funktioniert überhaupt so wie ich mir des Vorstelle
Wir haben eben auf der Außenstelle den Adressbereich 172.31.1.0/24
Jetzt sollen die Außenstellen mit unserer Zentrale kommunizieren.
Hier gibt es unteranderem ein DNS mit 10.1.30.30 oder ein Opsi server mit 172.17.x.x
Als gegenstelle hab ich auf der Juniper extra nochmals ein Netz angelegt, die das Netz der außenstelle mit 172.30.1.0/24 knüpft.
Ich dachte wenn das Inferface von 172.30.1.1 von der Juniper verwaltet wird. Weiß ja die Juniper das es die vorhanden Adressen wie vom DNS oder opsi kennen und routet sie dem entsprechend weiter.
Oder habe ich hier ein demensprechenden Denkfehler ?
Re: LANCOM Site to Site IPSEC VPN zwischen Juniper SSG5
Hallo FireDragon,
Ich selber habe von Junipern keinerlei Ahnung, da muss ich darauf vertrauen das Du ihn richtig konfiguriert hast.
Ich würde vorschlagen das du verfolgst bis wohin die Pakete noch gelangen.
In beiden Richtungen, da ein Ping ja immer auf die Antwort wartet.
"ping 192.168.71.1 -a 192.168.72.1" verwende ich immer. Du musst in diesem Fall bedenken, dass, wenn du keine SRC-IP angibst ("-a IP" als Parameter), die Gegenstelle (ich glaube in diesem Fall der Juniper) sonst nicht weis woher das ping paket stammt und es daher nicht wieder über das VPN zurückschickt.
Guter Fall: "ping 192.168.71.1 -a 192.168.72.1"
[IP-Router] 1900/01/08 16:25:40,125
IP-Router Rx (intern, RtgTag: 0):
DstIP: 192.168.71.1, SrcIP: 192.168.72.1, Len: 84, DSCP/TOS: 0x00
Prot.: ICMP (1), echo request, id: 0x03c5, seq: 0x0000
Route: WAN Tx (1781EF)
Schlechter Fall: "ping 192.168.71.1"
[IP-Router] 1900/01/08 16:26:34,821
IP-Router Rx (intern, RtgTag: 0):
DstIP: 192.168.71.1, SrcIP: 172.16.38.4, Len: 84, DSCP/TOS: 0x00
Prot.: ICMP (1), echo request, id: 0x03cb, seq: 0x0000
Route: WAN Tx (1781EF)
Kommen die ESP-Pakete denn bei deinem Juniper an?
Was macht der Juniper damit?
Verlassen die Pakete den Juniper über VPN?
Kommen die VPN-Pakete bei dem Lancom an?
Verlassen die entschlüsselten Pakete das VPN?
Gute Lancomtraces können sein.
vpn-p
icmp
eth @ IP
ip-r
les doch mal dazu:
http://www2.lancom.de/kb.nsf/1275/9A5D0 ... enDocument
da gibst noch viel mehr trace Anleitungen
Gruß
Marius
Ich selber habe von Junipern keinerlei Ahnung, da muss ich darauf vertrauen das Du ihn richtig konfiguriert hast.
Ich würde vorschlagen das du verfolgst bis wohin die Pakete noch gelangen.
In beiden Richtungen, da ein Ping ja immer auf die Antwort wartet.
"ping 192.168.71.1 -a 192.168.72.1" verwende ich immer. Du musst in diesem Fall bedenken, dass, wenn du keine SRC-IP angibst ("-a IP" als Parameter), die Gegenstelle (ich glaube in diesem Fall der Juniper) sonst nicht weis woher das ping paket stammt und es daher nicht wieder über das VPN zurückschickt.
Guter Fall: "ping 192.168.71.1 -a 192.168.72.1"
[IP-Router] 1900/01/08 16:25:40,125
IP-Router Rx (intern, RtgTag: 0):
DstIP: 192.168.71.1, SrcIP: 192.168.72.1, Len: 84, DSCP/TOS: 0x00
Prot.: ICMP (1), echo request, id: 0x03c5, seq: 0x0000
Route: WAN Tx (1781EF)
Schlechter Fall: "ping 192.168.71.1"
[IP-Router] 1900/01/08 16:26:34,821
IP-Router Rx (intern, RtgTag: 0):
DstIP: 192.168.71.1, SrcIP: 172.16.38.4, Len: 84, DSCP/TOS: 0x00
Prot.: ICMP (1), echo request, id: 0x03cb, seq: 0x0000
Route: WAN Tx (1781EF)
Kommen die ESP-Pakete denn bei deinem Juniper an?
Was macht der Juniper damit?
Verlassen die Pakete den Juniper über VPN?
Kommen die VPN-Pakete bei dem Lancom an?
Verlassen die entschlüsselten Pakete das VPN?
Gute Lancomtraces können sein.
vpn-p
icmp
eth @ IP
ip-r
les doch mal dazu:
http://www2.lancom.de/kb.nsf/1275/9A5D0 ... enDocument
da gibst noch viel mehr trace Anleitungen
Gruß
Marius
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.