Hallo Lancom-Gemeinde,
ich habe hier seit vielen Jahren eine funktionierende VPN-LAN-LAN-Koppelung, die jetzt durch einen externen Anbieter "erweitert" werden soll. Ich versuch´s mal in Textform dazustellen, ansonsten hängt ein png an!
Netz: 192.168.89.0/24
LC1721+:192.168.89.250
<<VPN>>
LC1711+:192.168.88.250
Netz: 192.168.88.0/24
Juniper:192.168.88.251
<<VPN Fremdnetz>>
PC ext.:10.97.15.215
Nun soll ein Nutzer im oberen Netz (.89.x) auf den Fremdrechner unten, also 10.97.15.215 zugreifen können. Routen sind nun folgende eingetragen:
Im GW .89.250: 10.97.16.0/24 geht an 192.168.88.250
Im GW .88.250: 10.97.16.=/24
geht an Router 192.168.88.251
Ich kann pingen von .89.x an .88.x und von .88.x an 10.97.16.215 - das geht! Aber was nicht geht ist der gewünschte Weg komplett "durch" von .89.x zum 10.97.16.215! Beim Trace im IP-Router wird das Paket noch angezeigt auf das korrekte "Ziel", dann ist Ende. Im .88.250 keine Reaktion auf Pakete an 10.x, auch nicht in der Firewall (ausser wenn die aus dem eigenen Netz kommen halt)! Fehlt da was an den Netzbeziehungen (VPN-Regeln)? Wie kann ich herausfinden wo es hängt??? HILFE...
VPN LAN-LAN und weiteres GW im Netz "Gegenüber"
Moderator: Lancom-Systems Moderatoren
VPN LAN-LAN und weiteres GW im Netz "Gegenüber"
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Re: VPN LAN-LAN und weiteres GW im Netz "Gegenüber"
Hi t.omalley
Was aber fehlt, ist zum Einen im Router 192.168.88.251 die Rückroute, also 192.168.89.0/24 geht an 192.168.88.250...
Zum Anderen brauchst du im Router 192.168.88.250 noch eine zusätzliche VPN-Regel in der Firewall, damit die zugehörige SA (192.168.89.0/24 <-> 10.97.16.0/24) ausgehandelt werden kann:
Und als Letztes muß die Juniper im 10.97.16.0/24 Netz natürlich als Default-Gateway eingetragen sein...
Gruß
Backslash
ich hoffe du hast da nicht als Ziel "192.168.88.250" eingetragen, sondern den Namen der VPN-Verbindung...Nun soll ein Nutzer im oberen Netz (.89.x) auf den Fremdrechner unten, also 10.97.15.215 zugreifen können. Routen sind nun folgende eingetragen:
Im GW .89.250: 10.97.16.0/24 geht an 192.168.88.250
ist soweit korrekt...Im GW .88.250: 10.97.16.=/24
geht an Router 192.168.88.251
Was aber fehlt, ist zum Einen im Router 192.168.88.251 die Rückroute, also 192.168.89.0/24 geht an 192.168.88.250...
Zum Anderen brauchst du im Router 192.168.88.250 noch eine zusätzliche VPN-Regel in der Firewall, damit die zugehörige SA (192.168.89.0/24 <-> 10.97.16.0/24) ausgehandelt werden kann:
Code: Alles auswählen
Name: ALLOW-10.97.16.0-VPN
[ ] diese Regel ist für die Firewall aktiv
[x] diese Regel wird zur Erzeugung von VPN-Regeln herangezogen
Aktion: übertragen
Quelle: 10.97.16.0/24
Ziel: VPN-Gegenstelle
Dienste: alle DiensteGruß
Backslash
Re: VPN LAN-LAN und weiteres GW im Netz "Gegenüber"
Hi, vielen Dank für Deine Hilfe! Ich bin jetzt etwas weiter, jedoch noch nicht am Ziel:
Allerdings geht derzeit beides (noch) nicht.
Trace im .89.250:
[IP-Router] 2015/08/11 10:29:39,857 Devicetime: 2015/08/11 10:30:41,035
IP-Router Rx (intern, RtgTag: 0):
DstIP: 10.97.16.215, SrcIP: 192.168.89.250, Len: 84, DSCP/TOS: 0x00
Prot.: ICMP (1), echo request, id: 0x03e8, seq: 0x02dd
Route: WAN Tx (1711+_RATHSA)
dort kommt aber nix an was das 10ér Netz angeht.
Hatte ich nichtich hoffe du hast da nicht als Ziel "192.168.88.250" eingetragen, sondern den Namen der VPN-Verbindung...
Allerdings geht derzeit beides (noch) nicht.Auf den habe ich leider keinen Einfluss und muss davon ausgehen, dass die Rückroute dort korrekt eingetragen ist! (Fremdanbieter, der eigene Dienste zur Verfügung stellt im 10ér-Netz)Was aber fehlt, ist zum Einen im Router 192.168.88.251 die Rückroute, also 192.168.89.0/24 geht an 192.168.88.250...
Die fehlte, ich hatte nur keine Ahnung wie das eingepflegt wird. Ich habe nun eine Stunde damit verbracht, die SA auch im 89ér-Router korrekt zu hinterlegen, weil er mir "Fehler in Netzwerkdefinition" für die 10ér im .89.250 auswarf. Jetzt steht zumindest das VPN sauber, ich bekomme jedoch immer noch keinen Ping vom 89er Netz in´s 10er Netz. Die Pakete erreichen den .88.250-Router nicht einmal.Zum Anderen brauchst du im Router 192.168.88.250 noch eine zusätzliche VPN-Regel in der Firewall, damit die zugehörige SA (192.168.89.0/24 <-> 10.97.16.0/24) ausgehandelt werden kann
Trace im .89.250:
[IP-Router] 2015/08/11 10:29:39,857 Devicetime: 2015/08/11 10:30:41,035
IP-Router Rx (intern, RtgTag: 0):
DstIP: 10.97.16.215, SrcIP: 192.168.89.250, Len: 84, DSCP/TOS: 0x00
Prot.: ICMP (1), echo request, id: 0x03e8, seq: 0x02dd
Route: WAN Tx (1711+_RATHSA)
dort kommt aber nix an was das 10ér Netz angeht.
auch das muss ich derzeit erstmal voraussetzenUnd als Letztes muß die Juniper im 10.97.16.0/24 Netz natürlich als Default-Gateway eingetragen sein...
Re: VPN LAN-LAN und weiteres GW im Netz "Gegenüber"
Hi t.omalley,
Wenn aber die Regeln stimmen und die SAs aufgebaut wurden, dann sollte das Ping auch auf der gegenüberliegenden Seite ankommen. Auch hier kannst du mit dem VPN-Paket-Trace prüfen, ob das verschlüsselte Paket ankommt und ob es korrekt entschlüsselt wird. Danach sollte es auch im IP-Router-Trace auftauchen
Gruß
Backslash
dann mußt du dich wohl mit den Traces weiter vorkämpfen... Als nächstes wäre der VPN-Packet-Trace dran, um zu sehen, ob das Paket beim VPN ankommt (vermutlich, den der IP-Router-Trace sagt ja, daß es an den VPN-Tunnel - 1711+_RATHSA - geschickt wird) und verschlüsselt wird. Den VPN-Packet-Trace wirst du leider nicht filtern können - zumindest nicht, wenn du sehen willst, ob das Paket auch verschlüsselt wurde. Daher solltest du darauf achten, daß bei dem Test tunlichst kein anderer Traffic durch den Tunnel läuft.Trace im .89.250:
[IP-Router] 2015/08/11 10:29:39,857 Devicetime: 2015/08/11 10:30:41,035
IP-Router Rx (intern, RtgTag: 0):
DstIP: 10.97.16.215, SrcIP: 192.168.89.250, Len: 84, DSCP/TOS: 0x00
Prot.: ICMP (1), echo request, id: 0x03e8, seq: 0x02dd
Route: WAN Tx (1711+_RATHSA)
dort kommt aber nix an was das 10ér Netz angeht.
Wenn aber die Regeln stimmen und die SAs aufgebaut wurden, dann sollte das Ping auch auf der gegenüberliegenden Seite ankommen. Auch hier kannst du mit dem VPN-Paket-Trace prüfen, ob das verschlüsselte Paket ankommt und ob es korrekt entschlüsselt wird. Danach sollte es auch im IP-Router-Trace auftauchen
Gruß
Backslash
Re: VPN LAN-LAN und weiteres GW im Netz "Gegenüber"
Boah - ich hab`s!!! 
Schlussendlich lag es doch nur noch an den Netzbeziehungen im 89ér! Ich bekam merkwürdigerweise aber erst nach einer halben Stunde wieder Proposal-Fehler, es sah also erst so aus als wenn die VPN´s sauber stehen. Ich hatte alle möglichen Kombis probiert, vermutlich aber immer das hier drin:
Quelle: alle Adressen
Ziel: 10.97.16.0/24
Ziel: 192.168.88.0/24
Richtig ist jedoch:
Quelle: Localnet
Ziel: 10.97.16.0/24
Ziel: 192.168.88.0/24
Was ja auch irgendwo logisch ist! Über Telnet "show vpn" konnte ich das dann eingrenzen - @backslash herzlichen Dank für die schnelle und zielführende Hilfe!!!
Schlussendlich lag es doch nur noch an den Netzbeziehungen im 89ér! Ich bekam merkwürdigerweise aber erst nach einer halben Stunde wieder Proposal-Fehler, es sah also erst so aus als wenn die VPN´s sauber stehen. Ich hatte alle möglichen Kombis probiert, vermutlich aber immer das hier drin:
Quelle: alle Adressen
Ziel: 10.97.16.0/24
Ziel: 192.168.88.0/24
Richtig ist jedoch:
Quelle: Localnet
Ziel: 10.97.16.0/24
Ziel: 192.168.88.0/24
Was ja auch irgendwo logisch ist! Über Telnet "show vpn" konnte ich das dann eingrenzen - @backslash herzlichen Dank für die schnelle und zielführende Hilfe!!!