Weitere Router/Subnetze hinter Lancom Site to Site VPN

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
AndyCGN
Beiträge: 5
Registriert: 25 Jun 2018, 10:44

Weitere Router/Subnetze hinter Lancom Site to Site VPN

Beitrag von AndyCGN »

Hallo allerseits,

ich habe ein Problem mit einem Site to Site VPN zwischen zwei Standorten über zwei LANCOM Router (1781 VA und 1721 VPN). Zwischen beiden Standorten ist in VPN Netzwerk geschaltet:

Standort A mit Subnetz 192.168.2.0/24 mit 192.168.2.200 für den 1781VA
Standort B mit Subnetz 192.168.12.0/24 mit 192.168.12.254 für den 1721VPN

Beide Netze können sich gegenseitige erreichen, alles gut.

In diesen Netzen gibt es jeweils eine IP Telefonanlage. Jede Anlage hat zwei Netzwerkanschlüsse, einen im LAN Subnetz und einem im TK Subnetz:

Standort A IP-TK Anlage mit 192.168.2.10 und TK Subnetz 10.20.4.0 IP der Anlage im TK Netz 10.20.4.1
Standort B IP-TK Anlage mit 192.168.12.251 und TK Subnetz 10.23.4.0 IP der Anlage im TK Netz 10.23.4.1

In den LANCOM Routern ist jeweils eine Route in TK Netze der Standorte hinterlegt:

Standort A 10.20.4.0/24 über 192.168.2.10 und 10.23.4.0/24 über 192.168.2.251
Standort B 10.23.4.0/24 über 192.168.12.251 und 10.20.4.0/24 über 192.168.2.10

Auf den TK Anlagen ist der jeweilige LANCOM Router als default gateway hinterlegt und auch an die Telefone per DHCP eingetragen.

Im Standort A kann ein Rechner über diese Route auf Adressen im TK Subnetz von Standort A zugreifen und auch aus dem TK-Subnetz komme ich auf entsprechende Rechner (für CTI notwendig).

Im Standort B kann ein Rechner über diese Route auf Adressen im TK Subnetz von Standort B zugreifen und auch aus dem TK-Subnetz komme ich auf entsprechende Rechner.

Das Routing scheint damit soweit OK.

Firewallregeln wurden an beiden Standorten so konfiguriert, dass alle Subnetze untereinander reden dürfen:

LAN A <-> TK A
LAN B <-> TK B
TK A <-> TK B
LAN A <-> LAN B

Ich kann aus dem LAN A entsprechende IPs im LAN B erreichen und umgekehrt. Aber wenn ich nun versuche, aus Standort A eine TK-Subnetz IP aus Standort B zu erreichen und umgekehrt, dann klappt das nicht.

Woran kann das liegen?
Benutzeravatar
Bernie137
Beiträge: 1700
Registriert: 17 Apr 2013, 21:50
Wohnort: zw. Chemnitz und Annaberg-Buchholz

Re: Weitere Router/Subnetze hinter Lancom Site to Site VPN

Beitrag von Bernie137 »

Hallo AndyCGN,

schau mal, ob Du damit weiter kommst:
https://www2.lancom.de/kb.nsf/1275/0194 ... enDocument
https://www2.lancom.de/kb.nsf/1275/0CD3 ... enDocument

Vermutlich gehören die IP-Kreise der TK-Anlagen nicht zu den SAs der VPN-Netzbeziehungen.

Gruß Bernie
Man lernt nie aus.
AndyCGN
Beiträge: 5
Registriert: 25 Jun 2018, 10:44

Re: Weitere Router/Subnetze hinter Lancom Site to Site VPN

Beitrag von AndyCGN »

Hallo Bernie,

danke für Deine Antwort. In Richtung SAs hatte ich auch schon überlegt, hatte mich aber den Firewall-Regeln für die LAN2LAN Verbindung orientiert (das wurde nicht von mir Konfiguriert) und da wurde die Option "Diese Regel wird zum Erzeugen von VPN-Netzbeziehungen (SAs) verwendet" auch nicht gesetzt. Ich werde das mal ausprobieren. Ich arbeite normalerweise mit pfSense, da ist das alles intuitiver und übersichtlicher zu konfigurieren.

Gruß,
Andy
AndyCGN
Beiträge: 5
Registriert: 25 Jun 2018, 10:44

Re: Weitere Router/Subnetze hinter Lancom Site to Site VPN

Beitrag von AndyCGN »

Hallo Bernie,

ich habe das jetzt ausprobiert, leider ohne Erfolg. In der ersten von Dir verlinkten Anleitung ist das Szenario leider auch nicht ganz passend. Ich habe die den Haken bei SAs in den entsprechenen FW Regeln gesetzt und anschließend die VPN Verbindung neu gestartet. Wenn ich über SSH mit "show vpn" mit die SAs anzeigen lasse, sehe ich aber Einträge, die nicht extistieren dürften, da ich entspechende Regeln gelöscht habe. Einen kompletten Neustart des Routers kann ich aber zur Arbeitszeit nicht machen. Das werde ich heute Abend mal testen.

Gruß,
Andy
AndyCGN
Beiträge: 5
Registriert: 25 Jun 2018, 10:44

Re: Weitere Router/Subnetze hinter Lancom Site to Site VPN

Beitrag von AndyCGN »

...leider hat auch der Neustart des Routers das Problem nicht gelöst. ?!?!
Benutzeravatar
Bernie137
Beiträge: 1700
Registriert: 17 Apr 2013, 21:50
Wohnort: zw. Chemnitz und Annaberg-Buchholz

Re: Weitere Router/Subnetze hinter Lancom Site to Site VPN

Beitrag von Bernie137 »

Hallo,

kannst Du bitte mal von beiden Routern die Ausgabe von show vpn posten? Die öffentlichen IP Adressen der Internetanschlüsse darfst Du gerne anonymisieren.

Gruß Bernie
Man lernt nie aus.
MariusP
Beiträge: 1036
Registriert: 10 Okt 2011, 14:29

Re: Weitere Router/Subnetze hinter Lancom Site to Site VPN

Beitrag von MariusP »

Hi,
Du kannst, um die VPN-Regeln neu ausrollen zu lassen, auch einfach die VPN-Peer-Tabelle touchen (setzen ohne bearbeiten) oder wahlweise auch VPN/Operating aus- und anschlaten.
Somit musst du den Router nicht neustarten.
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.

Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
AndyCGN
Beiträge: 5
Registriert: 25 Jun 2018, 10:44

Re: Weitere Router/Subnetze hinter Lancom Site to Site VPN

Beitrag von AndyCGN »

Hallo allerseits,

ich bin mit meinem Problem leider noch nicht weiter. Wenn ich show vpn aufrufe sind die benötigten connections nicht zu finden. Ich teste mittlerweile von einem anderen Standort aus die Verbindungen aufzubauen (pfSense <-> LANCOM). Sobald ich das TK Subnetz ins Spiel bringe schmeißt der LANCOM Router "keine Regel für ID's gefunden - unbekannte Verbindung oder fehlerhafte ID (z.B. IP Netzwerkdefinition) (Responder,IPSec) [0x3201]"

In diesem https://www2.lancom.de/kb.nsf/1275/3992 ... enDocumentArtikel ist zu lesen, dass LANCOM die VPN Regeln nur für das Subnetz der Router-LAN-IP aufbaut. Ich habe die gezeigten Optionen getestet, die connections werden nicht erzeugt.

Wir haben noch andere Standorte vernetzt , wo das TK Subnetz und das LAN Subnetz ähnlich sind. Beispiel: TK 10.1.10.0/24 und LAN 10.1.20.0/24. Das Routing und die Firewallregeln haben wir dann vereinfacht über 10.1.0.0/16 abgebildet. In diesem Fall wird eine VPN Connection(SA) erzeugt und alles funktioniert.

Brauchen LACOM Router eigentlich zwei Firewallregeln um beide Richtungen abzubilden (Regel 1: A nach B, Regel 2: B nach A) oder sind die Regeln bidirektional?
muelbe
Beiträge: 1
Registriert: 19 Sep 2020, 21:21

Re: Weitere Router/Subnetze hinter Lancom Site to Site VPN

Beitrag von muelbe »

Hallo,
ich weiß der Beitrag ist schon etwas älter, aber ich stehe gerade vor dem gleichen Problem und komme nicht weiter. Hattest du damals eine Lösung gefunden?
Antworten