Hallo!
Mein Thema wurde sicherlich schon mehr als ein Mal besprochen, ich finde es aber im Moment nicht.
Folgende Situation
3 Netze per VPN auf ein 4. Netz verbunden
Router-A - Router-B
Router-A - Router-C
Router-A - Router-D
Ich möchte nun aber von Router-B über Router-A auf Router-C zugreifen
Ich habe nun auf B,C und D die jeweiligen Netze in die Routing Tabelle eingetragen mit Router: Router-A und Distanz:1
Auf Router-A steht in der Routing Tabelle das jeweilige Netz mit dem jeweiligen Router.
In der Firewall habe ich zwei Regeln:
1.
Hakden bei Firewall, Haken bei VPN
Alles Übertragen
von allen - An Router-A, Router-B, Router-C, Router-D
2.
Hakden bei Firewall, Haken bei VPN
Alles Übertragen
von Router-A, Router-B, Router-C, Router-D - an alle
Es funktioniert aber nicht.
Dafür habe ich aber im LanMonitor auf jedem Router eine Fehlermeldung Kein übereinstimmendes Proposal gefunden.
habe ich was vergessen, oder gehe ich gar den falschen Weg?
steven
Andere Netzwerke sichtbar machen
Moderator: Lancom-Systems Moderatoren
Hi harryhaller
Bei den Quellen und Zielen mußt alle (!) Netze einzeln auführen, d.h. die korrekte Regel wäre:
wobei du dir Netz-A in der Regel sparen kannst, denn das wird automatisch angelegt.
Du brauchst auch nur diese eine Regel, da sie alles nötige abdeckt.
Gruß
Backslash
das Problem ist das "von allen". das führt dazu, daß Router A bei einem Paket von Router C immer "0.0.0.0/0.0.0.0" fordert statt nur des Netzes von Router C1.
Hakden bei Firewall, Haken bei VPN
Alles Übertragen
von allen - An Router-A, Router-B, Router-C, Router-D
Bei den Quellen und Zielen mußt alle (!) Netze einzeln auführen, d.h. die korrekte Regel wäre:
Code: Alles auswählen
Haken bei Firewall, Haken bei VPN
Alles Übertragen
von Netz-A, Netz-B, Netz-C, Netz-D
an Netz-A, Netz-B, Netz-C, Netz-DDu brauchst auch nur diese eine Regel, da sie alles nötige abdeckt.
Gruß
Backslash
-
harryhaller
- Beiträge: 34
- Registriert: 09 Mai 2005, 10:33
Da brauche ich ja dann auch nur eine Regel und nicht wie von mir zuerst angelegt eine In und eine Out?
Ich habe das Ganze abgeändert. Nun habe ich es aber manchmal, das Router-B Router-C sieht aber nicht Router-D obwohl er ihn schon mal gesehen hat.
Wenn ich einen tracert auf Router-D mache, komme ich bis Router-A.
Muss ich also noch mal Router-A prüfen?
Kann es dann sein, dass sich versch. Regeln auf Router-A nicht vertragen?
steven
Ich habe das Ganze abgeändert. Nun habe ich es aber manchmal, das Router-B Router-C sieht aber nicht Router-D obwohl er ihn schon mal gesehen hat.
Wenn ich einen tracert auf Router-D mache, komme ich bis Router-A.
Muss ich also noch mal Router-A prüfen?
Kann es dann sein, dass sich versch. Regeln auf Router-A nicht vertragen?
steven
Hi harryhaller
Eigentlich sollte dem IPSec das egal sein und der Aufbau der notwendigen SAs sollten auch vom Responder aus initiiert werden können. Aber manchmal scheint es da doch zu haken...
Eine Möglichkeit wäre, alle Tunnel immer von den Filialen auf aufzubauen (mit Keep-Alive) und dort auch unter VPN -> Allgemein den Schalter "Aufbau Netzbeziehungen (SAs)" auf "Immer alle gemeinsam" zu stellen.
Gruß
Backslash
richtig, da die Regel letztendlich in beiden Richtungen matcht...Da brauche ich ja dann auch nur eine Regel und nicht wie von mir zuerst angelegt eine In und eine Out?
das dürfte daran liegen, wer den Tunnel aufgebaut hat und in welche Richtung als erstes die Daten fließen sollen.Ich habe das Ganze abgeändert. Nun habe ich es aber manchmal, das Router-B Router-C sieht aber nicht Router-D obwohl er ihn schon mal gesehen hat.
Wenn ich einen tracert auf Router-D mache, komme ich bis Router-A.
Eigentlich sollte dem IPSec das egal sein und der Aufbau der notwendigen SAs sollten auch vom Responder aus initiiert werden können. Aber manchmal scheint es da doch zu haken...
Eine Möglichkeit wäre, alle Tunnel immer von den Filialen auf aufzubauen (mit Keep-Alive) und dort auch unter VPN -> Allgemein den Schalter "Aufbau Netzbeziehungen (SAs)" auf "Immer alle gemeinsam" zu stellen.
Gruß
Backslash