VPN: automatische Regelerzeugung nicht korrekt?

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

VPN: automatische Regelerzeugung nicht korrekt?

Beitrag von Jirka »

Hallo Backslash, hallo Marius, hallo zusammen,

irgendwie reagiert die automatische Regelerzeugung nicht so, wie ich das erwarte. Ist das jetzt ein Bug oder "works as designed"?

Also wir haben zwei lokale Netze:

Code: Alles auswählen

root@xxx:/Setup/TCP-IP/Network-list                                                 
> l                                                                                 
                                                                                    
Network-name IP-Address   IP-Netmask    VLAN-ID Interface Src-check Type     Rtg-tag
=============-----------------------------------------------------------------------
abcxxx       192.168.90.5 255.255.255.0 0       LAN-4     loose     Intranet 90     
defxxx       192.168.95.5 255.255.255.0 0       LAN-4     loose     Intranet 95     
und eine VPN-Verbindung G mit automatischer Regelerzeugung.
In der Routing-Tabelle steht:

Code: Alles auswählen

root@xxx:/Setup/IP-Router/IP-Routing-Table                                                                    
> l                                                                                                           
                                                                                                              
IP-Address      IP-Netmask    Rtg-tag Peer-or-IP Masquerade Active Comment                                    
======================================------------------------------------------------------------------------
10.0.0.0        255.255.255.0 95      A          No         Yes                                               
172.20.172.0    255.255.255.0 90      B          No         Yes                                               
172.22.172.0    255.255.255.0 95      C          No         Yes                                               
192.168.180.0   255.255.255.0 90      D          No         Yes                                               
192.168.181.0   255.255.255.0 95      E          No         Yes                                               
192.168.193.0   255.255.255.0 90      F          No         Yes                                               
192.68.x.0      255.255.252.0 0       G          No         Yes    RT-Tag 0 weil G darf auf beide lokale Netze
192.168.0.0     255.255.0.0   0       0.0.0.0    No         Yes    block private networks: 192.168.x.y        
172.16.0.0      255.240.0.0   0       0.0.0.0    No         Yes    block private networks: 172.16-31.x.y      
224.0.0.0       224.0.0.0     0       0.0.0.0    No         Yes    block multicasts: 224-255.x.y.z            
255.255.255.255 0.0.0.0       100     CC-B       intranet   Yes                                               
255.255.255.255 0.0.0.0       0       CC-A       intranet   Yes                                               
Man sieht auch im IP-Router-Trace, dass die Routen greifen:

Code: Alles auswählen

root@xxx:/                                                                         
> ping 192.68.x.1                                                                  
                                                                                   
[IP-Router] 2018/02/12 11:41:15,778                                                
IP-Router Rx (intern, RtgTag: 0):                                                  
DstIP: 192.68.x.1, SrcIP: 192.168.95.5, Len: 84, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: ICMP (1), echo request, id: 0x0003, seq: 0x0000                             
Route: WAN Tx (G)                                                                  
                                                                                   
[IP-Router] 2018/02/12 11:41:16,778                                                
IP-Router Rx (intern, RtgTag: 0):                                                  
DstIP: 192.68.x.1, SrcIP: 192.168.95.5, Len: 84, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: ICMP (1), echo request, id: 0x0003, seq: 0x0001                             
Route: WAN Tx (G)                                                                  
                                                                                   
[IP-Router] 2018/02/12 11:41:17,778                                                
IP-Router Rx (intern, RtgTag: 0):                                                  
DstIP: 192.68.x.1, SrcIP: 192.168.95.5, Len: 84, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: ICMP (1), echo request, id: 0x0003, seq: 0x0002                             
Route: WAN Tx (G)                                                                  
                                                                                   
                                                                                   
 ---192.68.x.1 ping statistic---                                                   
 56 Bytes Data, 3 Packets transmitted, 0 Packets received, 100% loss               
Aber die Route wird nicht für die automatische Regelerzeugung herangezogen. Ein show vpn @ G bleibt leer. Warum ist das so? Das ist mir auch schon öfter aufgefallen, aber jetzt will ich mal wissen, warum das so ist.

Vielen Dank und viele Grüße,
Jirka
MariusP
Beiträge: 1036
Registriert: 10 Okt 2011, 14:29

Re: VPN: automatische Regelerzeugung nicht korrekt?

Beitrag von MariusP »

Hi,
Hast du beim Regelerzeugen den VPN-Status & VPN-Debug Trace mitlaufen lassen. Da gibt es in den aktuellen Versionen mitlerweile gute Hinweise warum keine Verbindungen bei der Regelerzeugung zustande kommen.
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.

Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: VPN: automatische Regelerzeugung nicht korrekt?

Beitrag von Jirka »

Hallo Marius,

vielen Dank für Deine Antwort. Die beiden Traces bleiben bzgl. der VPN-Verbindung G leer. Die VPN-Verbindung ist durch die meiner Meinung nach fehlerhafte Interpretation der Route wie nicht existent.

Ach ja, 10.12.0273, aber das war vorher auch schon so.

Vielen Dank und viele Grüße,
Jirka
MariusP
Beiträge: 1036
Registriert: 10 Okt 2011, 14:29

Re: VPN: automatische Regelerzeugung nicht korrekt?

Beitrag von MariusP »

Hi,
Hast du irgendwelche Firewall-Regeln oder Regeln in den Setup/Vpn/Networks eingetragen?
Wird denn für die anderen Verbindungen wo die Routingstags matchen ein Eintrag im show vpn erzeugt?
Kannst du bitte auch mal den VPN-Peers Eintrag posten.
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.

Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: VPN: automatische Regelerzeugung nicht korrekt?

Beitrag von backslash »

Hi Jirka,

hab deinen Beitrag erst jetzt gesehen und muß sagen: works as designed... Die automatische Regelerzeugung faßt nur Netzbeziehungen mit gleichem Routing-Tag zusammen. Daher wird für G gar keine Regel erzeugt, denn die LAN-Netze haben die Tags 90 und 95, während die Route zu G das Tag 0 hat. Hier mußt du wohl oder übel manuelle Reglen erstellen - denn als Automatik für eine Route mit Tag 0 einfach alle LAN-Netze abzurollen ist dann doch zu gefährlich (mit sowas öffnest du im schlimmsten Fall dein VPN für dein Gastnetz)...

Gruß
Backslash
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: VPN: automatische Regelerzeugung nicht korrekt?

Beitrag von Jirka »

Hallo Backslash,
backslash hat geschrieben:works as designed...
hmm, ok. Ich finde es unlogisch, dass eine Route mit Routing-Tag 0 greift, die VPN-Regelerzeugung aber nicht. (Ist sowas eigentlich dokumentiert? Dann sollte ich vielleicht mal wieder eine Doku lesen, das meine ich ehrlich.)
backslash hat geschrieben:Hier mußt du wohl oder übel manuelle Regeln erstellen
...oder aber die Route einmal mit Tag 90 und einmal mit 95 eintragen, das funktioniert natürlich auch. So habe ich es denn auch gemacht, nachdem sich die Gegenseite beschwert hatte.
backslash hat geschrieben:denn als Automatik für eine Route mit Tag 0 einfach alle LAN-Netze abzurollen ist dann doch zu gefährlich (mit sowas öffnest du im schlimmsten Fall dein VPN für dein Gastnetz)...
Na ja, man sollte schon wissen, was man tut. Wenn da noch ein Netz gewesen wäre, das muss ja noch nicht mal ein Gastnetz sein, dann hätte ich natürlich nicht die 0 als Routing-Tag für die Route genommen.

Hoffentlich merke ich mir das, ist mir nämlich nicht das erste Mal passiert.

Vielen Dank und viele Grüße,
Jirka
joblack
Beiträge: 42
Registriert: 27 Mai 2014, 21:46

Re: VPN: automatische Regelerzeugung nicht korrekt?

Beitrag von joblack »

backslash hat geschrieben:Hi Jirka,
hab deinen Beitrag erst jetzt gesehen und muß sagen: works as designed... Die automatische Regelerzeugung faßt nur Netzbeziehungen mit gleichem Routing-Tag zusammen.
Hi, das verstehe ich aber auch noch nicht ganz. Falls das Routingtag in der Routingtabelle für das das VPN auch 95 wäre würde es funktionieren? In der Anleitung habe ich das noch nicht gesehen.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: VPN: automatische Regelerzeugung nicht korrekt?

Beitrag von backslash »

Hi joblack
Falls das Routingtag in der Routingtabelle für das das VPN auch 95 wäre würde es funktionieren?
genau... zumindest für das Netz mit der 95 - für das Netz mit der 90 würden natülich weiterhin keine Regeln angelegt... Dazu müßtest du eine weitere Route mit Tag 90 anlegen.
In der Anleitung habe ich das noch nicht gesehen.
OK, im Handbuch ist es eher suboptimal beschrieben, siehe Referenzhandbuch Kapitel 10.5.8:
Bei der Kopplung von zwei einfachen lokalen Netzwerken kann die VPN-Automatik aus dem IP-Adressbereich des eigenen LANs und dem Eintrag für das entfernte LAN in der IP-Routing-Tabelle die erforderliche Netzbeziehung ableiten.
Hier fehlt eigentlich noch der Berzug auf die Routing-Tags... aber der ist letztenlich implizit, da ARF ja die Netze trennen soll - also müssen die Tags prinzipiell auch in die automatische Regelerzeugung eingehen...

Gruß
Backslash
joblack
Beiträge: 42
Registriert: 27 Mai 2014, 21:46

Re: VPN: automatische Regelerzeugung nicht korrekt?

Beitrag von joblack »

backslash hat geschrieben: Hier fehlt eigentlich noch der Berzug auf die Routing-Tags... aber der ist letztenlich implizit, da ARF ja die Netze trennen soll - also müssen die Tags prinzipiell auch in die automatische Regelerzeugung eingehen...
Backslash
Die Seiten im Handbuch darüber hatte ich gelesen. Aber für das Routing- bzw. Interfacetags steht da leider nicht viel so dass man Spekulationen anstellen muss wie es sich verhalten wird. Am Produktivrouter möchte ich das auf Verdacht eher nicht ausprobieren wollen. ;)

Wenn ich das richtig verstehe werden immer nur die vorhandenen Interface Tags vom Intranet und den entsprechenden Routing Tags der Routing Tabelle zusammengenommen? Also im Gegenteil zum Routing wo vom jeweiligen Interfacefacetag auch Routing Tag 0 Routen verwendet werden?

1. Kannst Du noch was dazu sagen wie Netzwerkregeln da mit reinspielen. Werden diese bei der Automatik auch noch verwendet?
2. Der Lancom VPN Assistent für Site-2-Site Verbindungen baut automatisch etwas komische Regeln auf.
Beim Zielrouter hat er die Regelerzeugung auf "manuell" gesetzt und auf dem Quellrouter setzt er automatische Regeln ein. Das scheint zu funktionieren aber diesen Mechanismus habe ich im Handbuch auch noch nicht beschrieben gesehen.
Antworten