Mehrere Netze über bestehende VPN-Tunnel routen

[Neumond]

Hallo,

ich habe folgendes Problem.

Wir haben einen Hauptrouter, dieser baut zu unseren Kundenroutern eine VPN Verbindung auf. Vom Internen Netz können wir auf die Rechner der Kunden zugreifen. Die Kunden können aber nicht auf unser Netz zugreifen.

Nun haben wir einen weiteren Standort bekommen. Von diesem Standort besteht eine VPN-Verbindung zum Hauptrouter. Standort 1 und Standort 2 können miteinander Daten austauschen. Nun möchten wir von Standort 2 über die schon bestehenden VPN-Verbindungen auf die Kunden zugreifen können.

Siehe Szenario im Anhang.


Ich habe bereits die Szenarien die LanCom bereitstellt auf unsere Infrastuktur übernommen.
Knowlegdebase Dokument-Nr. 0407.1415.4227.KAHM - V1.10 Weitere Netze über ein VPN-Tunnel routen
und
Knowlegdebase Dokument-Nr. 1007.2811.4511.RHOO - V1.00 Zwei lokale Netze über mehrere VPN-Tunnel koppeln

Leider funktioniert es nicht.

Wir verwenden bei unseren Kunden und uns verschiedene LanCom Router.

Was wir haben und gemacht haben
(Beispiel an Standort 1, Standort 2 und Kunde 1)

Hauptrouter Standort1:
IP-Router -> Routing -> Routing-Tabelle

Eintrag1
192.168.55.0
255.255.255.0
192.168.55.1

Eintrag2
192.168.1.0
255.255.255.0
192.168.1.1

Firewall/QoS -> Regeln -> Regeln...

Standort1zuStandort2
Allgemein
- Diese Regel ist für die Firewall aktiv
- Diese Regel wird zur Erzeugung von VPN-Regeln herangezogen
- Diese Regel hält die Verbindungszustände nach (empfohlen)
Aktionen
- Objekt = Accept
Stationen
- Verbindungs-Quelle
IP-Netzwerk 192.168.0.0/255.255.255.0
IP-Netzwerk 192.168.55.0/255.255.255.0
- Verbindungs-Ziel
IP-Netzwerk 192.168.0.0/255.255.255.0
IP-Netzwerk 192.168.55.0/255.255.255.0
Dienste/Quell-Dienste
Alle Protokolle/Quell-Dienste
Alle Protokolle/Ziel-Dienste


Standort1zuKunde1
Allgemein
- Diese Regel wird zur Ergänzung von VPN-Regeln herangezogen
- Diese Regel hält die Verbindungszustände nach (empfohlen)
Aktionen
- Objekt = Accept
Stationen
- Verbindungs-Quelle
192.168.0.0/255.255.255.0
192.168.100.0/255.255.255.0
- Verbindungs-Ziel
192.168.1.1/255.255.255.255
Dienste/Quell-Dienste
Alle Protokolle/Quell-Dienste
Alle Protokolle/Ziel-Dienste

Standort2zuKunde1
Allgemein
- Diese Regel wird zur Ergänzung von VPN-Regeln herangezogen
- Diese Regel hält die Verbindungszustände nach (empfohlen)
Aktionen
- Objekt = Accept
Stationen
- Verbindungs-Quelle
192.168.55.0/255.255.255.0
- Verbindungs-Ziel
192.168.1.0/255.255.255.0
Dienste/Quell-Dienste
Alle Protokolle/Quell-Dienste
Alle Protokolle/Ziel-Dienste

Standort 2:
IP-Router -> Routing -> Routing-Tabelle

Eintrag1
192.168.0.0
255.255.255.0
192.168.0.1

Eintrag2
192.168.1.0
255.255.255.0
192.168.1.1

Firewall/QoS -> Regeln -> Regeln...

Standort2zuStandort1
Allgemein
- Diese Regel ist für die Firewall aktiv
- Diese Regel hält die Verbindungszustände nach (empfohlen)
Aktionen
- Objekt = Accept
Stationen
- Verbindungs-Quelle
IP-Netzwerk 192.168.0.0/255.255.255.0
- Verbindungs-Ziel
IP-Netzwerk 192.168.0.1/255.255.255.255
Dienste/Quell-Dienste
Alle Protokolle/Quell-Dienste
Alle Protokolle/Ziel-Dienste

Kunde 1:
IP-Router -> Routing -> Routing-Tabelle

Eintrag1
192.168.0.0
255.255.255.0
192.168.0.1

Eintrag2
192.168.55.0
255.255.255.0
192.168.55.1

Eintrag2
192.168.100.0
255.255.255.0
192.168.0.1

Hat jemand ne Idee?

[ft2002]

Hallo Neumond,

eigendlich ganz einfach was Du da vorhast.

Ich glaube nur Du hast bei Deinen Einstellungen was falsch.

Du hast die VPN-Regeln mit den SA-Regeln in einem gemacht. Würde ich so nicht machen.

VPN Regel:

Allgemein
- Diese Regel ist für die Firewall aktiv

- Diese Regel hält die Verbindungszustände nach (empfohlen)

SA-Regel:

Allgemein
- Diese Regel wird zur Erzeugung von VPN-Regeln herangezogen

- Diese Regel hält die Verbindungszustände nach (empfohlen)

Rest schreib ich noch nach, muss nochmal kurz weg.

Sorry

[ft2002]

So bin wieder da,

So Nennen wir die Kunden A, B, C, D und E sowie Zentrale und Filiale

Du musst in den Filialen eine SA Regel haben

Allgemein
- Diese Regel wird zur Erzeugung von VPN-Regeln herangezogen
- Diese Regel hält die Verbindungszustände nach (empfohlen)
Aktionen
- Objekt = Accept
Stationen
- Verbindungs-Quelle
IP-Netzwerk Netz des Kunden A in IP schreiben (also 192.xxxx)
- Verbindungs-Ziel
Gegenstelle: Zentrale
Dienste/Quell-Dienste
Alle Protokolle/Quell-Dienste
Alle Protokolle/Ziel-Dienste

Du musst in der Filiale eine SA Regel haben

siehe Kunde

So und in der Zentrale brauchst Du je Kunde

z.B. Kunde A, B, C usw

Allgemein
- Diese Regel wird zur Erzeugung von VPN-Regeln herangezogen
- Diese Regel hält die Verbindungszustände nach (empfohlen)
Aktionen
- Objekt = Accept
Stationen
- Verbindungs-Quelle
IP-Netzwerk Netz der Zentrale in IP schreiben je Netz (also 192.xxxx)
Gegenstelle: Filiale
- Verbindungs-Ziel
Gegenstelle: Kunde A
Dienste/Quell-Dienste
Alle Protokolle/Quell-Dienste
Alle Protokolle/Ziel-Dienste

Und in der Zentrale für die Filiale SA Regel

Allgemein
- Diese Regel wird zur Erzeugung von VPN-Regeln herangezogen
- Diese Regel hält die Verbindungszustände nach (empfohlen)
Aktionen
- Objekt = Accept
Stationen
- Verbindungs-Quelle
IP-Netzwerk Netz der Zentrale in IP schreiben je Netz (also 192.xxxx)
Gegenstelle: Kunde A
Gegenstelle: Kunde B
Gegenstelle: Kunde C
Gegenstelle: Kunde D
Gegenstelle: Kunde E
- Verbindungs-Ziel
Gegenstelle: Filiale
Dienste/Quell-Dienste
Alle Protokolle/Quell-Dienste
Alle Protokolle/Ziel-Dienste

So dann hättest Du die SA fertig, jetzt muß noch das Routing stimmen.


Da würde ich zwischen Zentrale und Filiale gegenläufig das Routing so Eintragen

192.168.0.0 255.255.0.0 Tag 0 Routing AN Router Zentrale (in Filiale und andersrum)

Bei den Kunden sollte das Routing für jedes IP-Netz auf den VPN-Tunnel zur Zentrale verweisen

Achso unter VPN VPN-Verbindung VPN-Verbindungsliste die Regel auf Manuell stellen


und so soll es gehen, jetzt noch die Firewall-Regeln in der Zentrale einstellen das die Kunden nicht zu Dir kommen können in einer EXTRA Regel und Gut

Viel Spaß...

Wenn Fragen dann melden, weis nicht ob es klar genug rüberkommt

[Neumond]

Hi, danke schonmal für die Mühe.

Jetzt habe ich zu folgenden abschnitt noch ne Frage:

z.B. Kunde A, B, C usw

Allgemein
- Diese Regel wird zur Erzeugung von VPN-Regeln herangezogen
- Diese Regel hält die Verbindungszustände nach (empfohlen)
Aktionen
- Objekt = Accept
Stationen
- Verbindungs-Quelle
IP-Netzwerk Netz der Zentrale in IP schreiben je Netz (also 192.xxxx)
Gegenstelle: Filiale
- Verbindungs-Ziel
Gegenstelle: Kunde A
Dienste/Quell-Dienste
Alle Protokolle/Quell-Dienste
Alle Protokolle/Ziel-Dienste

Bei Verbindungs-Quelle hast du angegeben:
IP-Netz der Zentrale (192.168.0.0)
Gegenstelle Filiale angegeben (192.168.55.1)

ist das so gemeint wie es da steht?

Mfg Marcus

[ft2002]

jo, ist so gemeint !

Der Sin ist das für jede Netz-Beziehung auch eine SA ausgehandelt werden muß, und das erreichst Du damit.
Kannst Du im Router , wenn Du per Telnet drauf bist kontrollieren

einfach Show VPN eingeben ,

dort muss jetzt für jedes Netz was Du erreichen willst eine Netzbeziehung auftauchen auch von der Filiale wenn Du es an dem Kunden Router machst.
Da Du ja nicht die Verbindung zur Filiale aufbaust sondern über die Zentrale zur Filiale.

Hast Du das jetz so verstanden kann mich jetzt nicht besser ausdrücken um es klar zu machen.....

EDIT: hier ein Bild für die SA Aushandlung von Home_UMTS und Büro-Netz zu Gardener
(vom HomeOffice über Büro zum Kunden!)

[ft2002]

Hier nochmal eine Bilderfolge zum Verständnis....

Als Beispiel:

Kunde-A über Zentrale an Filiale

[ft2002]

SA-Regel bitte getrennt von VPN-Regeln einrichten auch wenn den Hacken zu setzen sehr Verlockend ist.

Lieber einmal mehr auf Kopieren klicken und den Namen Ändern....

Viel Spaß... (Hoffe Verständlich!)