Site-2-Site mit zwei Subnetzen in Zentrale

[hannes.gnad]

Hallo Forum.

Zwei Router mit aktueller Firmware via dieser Anleitung:

https://www2.lancom.de/kb.nsf/1275/D38E ... enDocument

mit VPN gekoppelt, hie 10.0.0.x und da 192.168.78.x, funktioniert einwandfrei.

Nun gibt es auf der einen Seite auch ein 192.168.80.x, was muss man einstellen, damit man das von 10.0.0.x aus auch erreichen kann? Ich habe im Router 10.0.0.1 im IPv4-Routing mal einen zweiten Eintrag für 192.168.80.x angelegt wie für 192.168.78.x, aber das scheint nicht zu reichen bzw. funktioniert so nicht.

Ideen?

Besten Dank im voraus!

[Bernie137]

Hallo hannes.gnad,

hast Du das schon probiert? https://www2.lancom.de/kb.nsf/1275/232D ... enDocument

vg Bernie

[hannes.gnad]

Besten Dank noch für den Hinweis. Nach endlich langer Zeit komme ich wieder zu dieser Frage...

Ich habe mir das angeschaut, und auch etwas probiert, aber geklappt hat es nicht, denn der Aufbau ist ja auch etwas anders als in dieser Anleitung - es sind keine zusätzlichen Router hinter den Lancoms, es ist nur auf der einen Seite ein zweites IP-Netzwerk, direkt verbunden.

192.168.78.0/24 und 192.168.80.0/24 -> Lancom 1 <-> VPN <-> Lancom 2 <- 10.0.0.0/24

Es funktioniert einwandfrei, von 10.0.0.0/24 aus 192.168.78.0/24 und umgekehrt zu erreichen. 192.168.80.0/24 kann bisher nicht erreicht werden. In Lancom 2 habe ich daher einen weiteren Routing-Eintrag vorgenommen wie im Anhang zu sehen. Aber das scheint nicht zu reichen. Muß auch noch etwas in Lancom 1 eingetragen werden, oder auf einer bzw. beiden Seiten zusätzliche VPN-Regeln?

[MariusP]

Hi,
Schau dir bitte doch mal die Trace-Kette an welches ein Paket von einem Gerät zu einem anderen Gerät hin und zurück zurücklegt.

Code: Alles auswählen

ICMP
IP-Router
Firewalltrace
VPN-Packet

Irgendwo auf der Strecke wird dann das Packet stecken bleiben.
Gruß

[Bernie137]

Hallo hannes.gnad,

Ich habe mir das angeschaut, und auch etwas probiert, aber geklappt hat es nicht, denn der Aufbau ist ja auch etwas anders als in dieser Anleitung - es sind keine zusätzlichen Router hinter den Lancoms, es ist nur auf der einen Seite ein zweites IP-Netzwerk, direkt verbunden.

Das ist eien neue Info, aber damit sollte es einfacher sein.

In Lancom1 würde ich noch die Blockroute 192.168.0.0 entfernen.

192.168.80.0/24 kann bisher nicht erreicht werden. In Lancom 2 habe ich daher einen weiteren Routing-Eintrag vorgenommen wie im Anhang zu sehen.

Hat das Netz 192.168.80.0/24 ein eigenes Schnittstellen Tag? Dann musst Du wohl in der Firewall von Lancom1 die VPN-Regeln hinterlegen. Aber vielleicht postest Du uns mal die Ausgaben von "show vpn" beider Router und verschleierst die öffentlichen IPs.

vg Bernie

[hannes.gnad]

Hallo zusammen, besten Dank für die schnellen Antworten. Hier die diversen Fotos, im Routing des Lancom1 nun auch ohne Block für 192.168.0.0/16, aber weiterhin - geht nicht.

[hannes.gnad]

Teil 2 der Bilder...

[Pothos]

Hi hannes.gnad,

deinem Router "Lancom 1" fehlt eine SA für das 80er Netz. Entweder stellst du den Netzwerktyp bei den IP-Netzwerken um von DMZ auf Intranet (dann werden die nötigen SAs automatisch aufgebaut, das passiert bei einer DMZ nämlich nicht) oder du erstellst in der Firewall eine VPN-Regel um die fehlende SA zu erzeugen. Sprich das lokale Netz 80 an die Gegenstelle HAMBURG. Dann sollte es funtionieren.

[Bernie137]

Hallo hannes.gnad,

der Lancom2 hat die richtigen Netzbeziehungen, aber im Lancom1 gibt es nur 192.168.78.0/255.255.255.0:0 <-> 10.0.0.0/255.255.255.0:0. Es fehlt hier die Beziehung 192.168.80.0/255.255.255.0:0 <-> 10.0.0.0/255.255.255.0:0.

Vermutlich liegt es daran, dass das Netz 192.168.80.0 ein DMZ Netz ist und es wohl deshalb nicht automatisch in den VPN Regeln mit erzeugt wird. Vielleicht kann da noch ein Lancom Spezialist etwas dazu sagen.
Du kannst nun entweder per Firewall die VPN Regeln erzeugen lassen oder das Netz 192.168.80.0 vom Typ DMZ auf Intranet umstellen, sofern dass in Eurer Umgebung geht und testen ob die Netzbeziehungen dann angelegt werden.

vg Bernie

[hannes.gnad]

Besten Dank nochmals.

Den Status "DMZ" möchten bzw. können wir nicht ändern, denn genau dafür ist dieses zweite Subnetz gedacht.

Ich habe es nun mal mit einer VPN-Regel für die Firewall in Lancom1 probiert, aber noch klappt es nicht...

[hannes.gnad]

Viertes Bild.

[hannes.gnad]

Niemand einen weiteren Tipp bzgl. des passenden Aufbaus der VPN-Regel?

[Jirka]

Hi,

ja, einfach mal tun, was andere hier sagen und nicht sagen:

Den Status "DMZ" möchten bzw. können wir nicht ändern, denn genau dafür ist dieses zweite Subnetz gedacht.

Das kann ja Deine DMZ bleiben, sie ist ja auch so bezeichnet, aber den Netzwerktyp setzt man nur auf DMZ, wenn man a) gerade nicht will, dass automatisch VPN-Regeln erstellt werden, b) unmaskiert routen möchte (was natürlich nur bei öffentlichen IPs sinnvoll ist) und c) einen Zugriff von ARF-Netzen mit einem anderen Schnittstellen-Tag ermöglichen will (sind beide Schnittstellen-Tags 0, wie bei Dir, dann geht das sowieso schon). Um es nochmal konkret zu sagen: ARF-Netze vom Typ DMZ sind im Falle von privaten IPs in der DMZ in 90 % aller Fälle falsch zugeordnet.

Ich habe es nun mal mit einer VPN-Regel für die Firewall in Lancom1 probiert, aber noch klappt es nicht...

1. In der VPN-Gegenstelle muss dann von automatischer Regelerzeugung auf Manuell gestellt werden.
2. Die VPN-Regel muss für beide lokale Netze erstellt werden.

Viele Grüße,
Jirka