Probleme beim routen zusätzlicher Netze über VPN

[telekomisbesser]

Hallo zusammen,
ich habe zwei Netze über ein VPN zwischen einem 1711 und einem 1811 verbunden. Das mit dem Assistenten erzeugte VPN funktioniert gut.

Jetzt habe ich allerdings auf beiden Seiten noch "n" andere Netze, die das VPN nutzen sollen. Alle Netze sind 24bit ala 192.168.x.0, da es sich um einige Netze handelt und an einem Standort eine Testumgebung existiert, in der sich Netze schon mal ändern, währe es sehr umständlich jedes Netz in einer VPN-Regel zu erfassen.

Ich habe folgende Einstellungen vorgenommen:
- Auf beiden Routern die Route zum Gegenüberliegenden verändert, so dass er Daten für das Netz 192.168.0.0/16 an die Gegenseite gibt.
- Auf beiden Routern eine VPN-Regel erstellt, die alle Verbindungen von und nach 192.168.0.0/16 erlaubt.

Vom Routing her sollte ich meine Netze erreichen, leider wird jetzt das VPN nicht mehr aufgebaut.
Bei einem Trace auf dem wählenden Router bekomme ich folgende ausgaben:

Code: Alles auswählen

[VPN-Status] 2005/04/09 15:17:22,430
VPN: create authentication packet for ROUTER1(217.83.103.163)
     DNS: 192.168.111.254, 0.0.0.0
     NBNS: 192.168.111.254, 0.0.0.0

[VPN-Status] 2005/04/09 15:17:22,430
VPN: start IKE negotiation for ROUTER1(217.83.103.163)

[VPN-Status] 2005/04/09 15:17:22,450
VPN: rulesets installed

[VPN-Status] 2005/04/09 15:17:22,540
VPN: received authentication packet from ROUTER1(217.83.103.163)
     DNS: 192.168.100.254, 0.0.0.0
     NBNS: 192.168.100.254, 0.0.0.0


//Hier kommen etwas 20 Pakete von ROUTER1


[VPN-Status] 2005/04/09 15:17:51,520
VPN: received authentication packet from ROUTER1(217.83.103.163)
     DNS: 192.168.100.254, 0.0.0.0
     NBNS: 192.168.100.254, 0.0.0.0

[VPN-Status] 2005/04/09 15:17:52,450
VPN: connection for ROUTER1(217.83.103.163) timed out: no response

[VPN-Status] 2005/04/09 15:17:52,450
VPN: Error: IFC-I-Connection-timeout-IKE-IPSEC (0x1106) for ROUTER1(217.83.103.163)

[VPN-Status] 2005/04/09 15:17:52,450
VPN: disconnecting ROUTER1(217.83.103.163)

[VPN-Status] 2005/04/09 15:17:52,460
VPN: ROUTER1(217.83.103.163) disconnected

Der Router akzeptiert also die Pakete der Gegenstelle nicht mehr, oder kann sie nicht dem Tunnel zuordnen.

Was mache ich falsch, oder funktioniert das so gar nicht?
Ich bin leider etwas ratlos

[eddia]

Hallo telekomisbesser,

Ich habe folgende Einstellungen vorgenommen:
- Auf beiden Routern die Route zum Gegenüberliegenden verändert, so dass er Daten für das Netz 192.168.0.0/16 an die Gegenseite gibt.

Die Idee ist prinzipiell gut. Das wird wohl so aber kaum funktionieren, da in dieser Maske ja auch das eigene Subnet des Routers enthalten ist. Falls also das eine LAN 192.168.1.0/24 ist und der Router empfängt etwas für dieses Netz, würde er es gemäß Routing Tabelle wieder an die Gegenstelle und nicht in sein lokales Netz senden.

Falls Du die Netze auf beiden Seiten geeignet vergeben kannst, könnte man mit der Netzmaske 17 arbeiten. Dann musst Du nur dafür sorgen, dass die Netze 192.168.0.0 bis 192.168.127.0 sich auf der einen Seite und der Rest auf der anderen Seite befinden.

Gruß

Mario

[telekomisbesser]

Das wird wohl so aber kaum funktionieren, da in dieser Maske ja auch das eigene Subnet des Routers enthalten ist.

Wenn LANCOM Router damit Probleme haben sollte ich beide sofort Verkaufen. Der Router sollte in der Routing Tabelle nach dem kürzesten Eintag suchen. Die Defaultroute beinhaltet schließlich ALLE möglichen IP-Adressen und trotzdem kann man andere Netze erreichen.

Ich denke es liegt an den VPN-Regeln, aber da blicke ich leider momentan nicht durch.

[eddia]

Hallo telekomisbesser,

Der Router sollte in der Routing Tabelle nach dem kürzesten Eintag suchen. Die Defaultroute beinhaltet schließlich ALLE möglichen IP-Adressen und trotzdem kann man andere Netze erreichen. Wink

Hast Recht - vergiss meinen Einwand einfach.

Ich denke es liegt an den VPN-Regeln, aber da blicke ich leider momentan nicht durch.

Du könntest ja mal ein 'show vpn' posten.

Gruß

Mario

[natrown]

vll eine dumme frage aber was sagt mir die /16 nach deiner lokalen IP ?

[Michael008]

@ natrown,
leider kenne ich mich nicht allzu gut mit Subnetzmasken aus.
Doch soviel kann ich sagen:
192.168.0.0/16 ist eine kürzere Schreibweise für
IP:192.168.0.0 und Netzmaske: 255.255.0.0
das wiederum bezeichnet das Netz in dem alle Rechner liegen,
deren IP sich nur in den letzten 2 Bytes (8+8=16) unterscheiden.
Also alle Hosts mit 192.168.XXX.XXX.
Oft heißt dies "Klasse B Netz".
Gruß
Michael

[maikel_b]

Hi telekomisbesser,

also prinzipiell ist dein Vorhaben so machbar. Übergeordnete Netze kann man bei den LANCOMs auch eintragen. Die Meldung des VPN-Status Traces sieht irgendwie danach aus, als ob beim Versuch die Verbindung zu initiieren, nichts bei der Gegenstelle ankommt. Wie eddia schon berichtet hat, wäre es hier interessant ein show vpn und VPN-Status Trace auf beiden Seiten zu sehen. Naja die Konfigs wären auch net schlecht.
Poste vielleicht mal zuerst beide Traces und den Auszug der VPN-Regeln. Vielleicht kann man da was erkennen.

Gruß
maikel_b

[telekomisbesser]

Hi zusammen,

@natrown
Michael hat das richtig beschrieben, die 16 steht für Netze in denen die ersten 16bit der IP das Netzwerk kennzeichnen. (Hier also genau die Hälfte)
Analog zu 255.255.0.0 ,aber schneller zu schreiben.

@maikel_b
Ich konnte den Fehler etwas besser eingrenzen. Das Problem liegt in den VPN-Regeln. Genauer genommen am "Local Network" Eintrag, da die Gegenstelle ja nach meinen Änderungen am anderen Ende ein 192.168.0.0/16 erwartet kann Sie die VPN-Regel nicht zuordnen, die Gegenstelle meldet sich ja mit dem lokalen Subnet an.


Ich habe also eigene VPN-Regeln gebaut. An der einen Stelle funktionierte das auch. Bei der Gegenstelle jedoch ist noch eine andere VPN-Verbindung eingetragen (Automatische Regelerzeugung) dort wird die Manuelle Regel der falschen Verbindung zugeordnet. Diese hat also zwei Regeln, meine neue Keine.

Frage: Wie kann ich die VPN-Regel einer Verbindung zuordnen?

(oder funktioniert das nur über die Routing Table?)

[maikel_b]

Hi telekomisbesser,

brauchst die VPN-Regel nur dort aufzusetzen, wo die Pakete aus einem fremden Netz herkommen und in den Tunnel reingeschickt werden.
Auf der anderen Seite brauchst du nur den Routing-Eintrag.

VPN-Regel :
Probiers mal folgendermassen. Setz die VPN-Regel so auf, dass als Quelle das weitere Netz und als Verbindungsziel das VPN-Netz der Gegenstelle definiert ist. Die Regel sollte anschliessend, nur für die Verbindung aufgesetzt werden.


mfg
maikel_b

[telekomisbesser]

@ maikel_b

Richtig, nur ist es bei mir etwas anders, meine Regeln lauten ja:

Code: Alles auswählen

  Connection #1                 ipsec 192.168.0.0/255.255.0.0.0<->192.168.0.0/255.255.0.0.0 any

    Name:                       ROUTER1
    Unique Id:                  ipsec-0-NEWYORK-pr0-l0-r0
    Flags:                      main-mode pfs
    Local  Network [0]:         IPV4_ADDR_SUBNET(any:0, 192.168.0.0/255.255.0.0)
    Local  Gateway:             IPV4_ADDR(any:0, 217.230.124.195)
    Remote Gateway:             IPV4_ADDR(any:0, 0.0.0.0)
    Remote Network [0]:         IPV4_ADDR_SUBNET(any:0, 192.168.0.0/255.255.0.0)

Ich habe das Problem auf "Admin's Way" gelößt: Beide Verbindungen Löschen und neu einrichten, jetzt wird die Regel richtig zugeortnet. Warum auch immer!

Eine Frage noch:
Das Netz hinter dem Tunnel wird doch nur in der Routig-Tabelle und in der VPN-Regel definiert, oder?

[backslash]

Hi telekomisbesser

VPN-Verbidnungen werden zunächst über das lokale Netz und den Eintrag in der Routing-Tabelle definiert. Wenn auf der lokalen Seite zusätzliche Netze vorhanden sind, dann ist eine entsprechende VPN-Regel nötig, die diese Netze (als Quelle) enthält.

In Deinem Fall erstellst Du also erstmal die Routing-Einträge für die zusätzlichen lokalen Netzen (mit den entsprechenden zusändigen Gateways) und die 192.186.0.0/16 Route für die VPN-Strecke.

Damit wird zunächst eine VPN-Regel erzeugt, die als Quelle das Lokale Netz (also das 192.168.x.0/24) und als Ziel das 192.168.0.0/16 enthält.

Nun erstellst Du noch die VPN-Regel für die zusätzlichen lokalen Netze, also:

Quelle: 192.168.0.0/16
Ziel: 192.168.0.0/16
Aktion: Übertragen
VPN-Regel erstellen: Ja

Damit sollten alle Netze abgedeckt sein. Dabei werden, wie gesagt, zwei VPN-Regeln erstellt. In deinem Fall ist die erste (lokales netz -> 192.168.0.0/16) eigentlich überflüssig, da sie in der zweiten enthalten ist. Du kannst sie dadurch loswerden, in dem Du bei der VPN-Verbindung die Regelerzeugung auf "manuell" stellst - dann wird nur die zweite erzeugt (aber nur dann, wenn der Routing-Eintrag existiert!).

Gruß
Backslash