mehrere Netze durch VPN Tunnel routen

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

Antworten
xPhase
Beiträge: 14
Registriert: 13 Feb 2012, 15:45

mehrere Netze durch VPN Tunnel routen

Beitrag von xPhase »

Hallo Community,

suche eine Lösung bezüglich VPN und routing.


Kurze Fallbeschreibung:

Standort a (hier bin ich):

Lancom 1781A mit IP Netz 192.168.x.x


verbunden mit

Standort b (hier ist der Kunde):

Cisco ASA Firewall mit x IP Netzen dahinter




Der Tunnel steht (nach einigem hin und her mit den proposals....) inzwischen und bei der Einrichtung am Lancom habe ich als Gegenstellen Netz ID so etwas wie 192.168.171.1/32 hinterlegt. Weicht ab vom Original, jedoch stimmen die ersten beiden Oktetten und die Netmask.


Nun die Anforderung eine weitere IP in der Config zu hinterlegen, da hinter der ASA Firewall noch ein Mailserver auf einem anderen Server in einem anderen Netz ist, welcher erreicht werden muss.

So etwas hier: 10.87.x.x


Habe mich also eingeloggt (Lanconfig), und unter IP-Router --> routing --> Routing Tabelle diese weitere IP mit einer 255.255.255.255 Maske hinterlegt UND dieser IP den Router der VPN Verbindung aus dem Lancom zugewiesen.
Also alles wie beim 171ger Netz, welches bei der VPN Neukonfiguration eingerichtet wurde.
Im Prinzip das Routingprofil vom ersten Netz 1:1 übernommen, außer die IP.



Problem:

Wenn ich aus ner Konsole nun traceroute auf die erste IP/das erste Netz mache funktionierts bzw. sieht man, dass er sofort nach dem ersten oder zweiten Hop auf den VPN Gegenstellenrouter geht.

Beim traceroute der zweiten IP kommen bis zu 30 Hops (Debian standart maximum für traceroute) und es schaut aus, als ob das ganze über das Internet, also öffentliche IP´s läuft.

Habe ich da irgendetwas wichtiges vergessen?

Ich hoffe auf Unterstützung oder Denkanstöße oder den Backslash Jober x-D hab mir mal einige Beiträge durchgelesen.....nicht schlecht :-)


Viele Grüße!
Nach oben
backslash
Moderator
Moderator
Beiträge: 7131
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: mehrere Netze durch VPN Tunnel routen

Beitrag von backslash »

Hi xPhase
So etwas hier: 10.87.x.x


Habe mich also eingeloggt (Lanconfig), und unter IP-Router --> routing --> Routing Tabelle diese weitere IP mit einer 255.255.255.255 Maske hinterlegt UND dieser IP den Router der VPN Verbindung aus dem Lancom zugewiesen.
da muß die Netzmaske aber 255.255.0.0 lauten und ebenso muß die "IP-Adresse" statt der x jeweils eine 0 enthalten, also

Code: Alles auswählen

IP-Adresse:   10.87.0.0
Netzmaske:    255.255.0.0
Routing-Tag:  0
Router:       VPN-Gegenselle
Distanz:      0

(*) IP-Maskierung abgeschaltet
Damit sollte es funktionieren (wenn auf der ASA die Phase-2 Regeln korrekt sind)

Gruß
Backslash
Nach oben
xPhase
Beiträge: 14
Registriert: 13 Feb 2012, 15:45

Re: mehrere Netze durch VPN Tunnel routen

Beitrag von xPhase »

Danke für die schnelle Rückmeldung!

Habe mich falsch ausgedrückt. Ich nehme jetzt einfach andere Zahlen aber den selben Aufbau IP-Subnet

Die Verbindung steht, Phase1 und Phase2 gehen gut durch. Verbindung ist permanent.

Die Netz ID/IP welche ich mit der Verbindung implementiert habe ist:

192.168.191.1/32 --> beim Kunden

Die IP des neuen Mailservers ist:

10.48.21.117

nun habe ich diese IP ohne Netmask bekommen, aber ist es nicht so wenn ich vier mal 255, also /32 nehme, dass dann nur diese eine IP am Ende des Tunnels frei ist?

Werde jetzt versuchen noch meinen Kontakt zu erreichen wegen der Netmask. Oder habe ich da einen Denkfehler drin?



Wichtige INFO, welche ich glaube ich vergessen habe:

Der Tunnel ist bereits etabliert und funktioniert mit der 192.168.191.1/32 Adresse bzw. Netz ID beim Kunden.
Was ich nun möchte ist diese 10.48.... Adresse diesem VPN Tunnel zuweisen.
Nach oben
Benutzeravatar
Bernie137
Beiträge: 1700
Registriert: 17 Apr 2013, 21:50
Wohnort: zw. Chemnitz und Annaberg-Buchholz

Re: mehrere Netze durch VPN Tunnel routen

Beitrag von Bernie137 »

Hi,

auf alle Fälle muss noch das zusätzliche Netz in die VPN Regeln aufgenommen werden. Dazu gibt es eine Anleitung http://www2.lancom.de/kb.nsf/1275/232DB ... enDocument Was jetzt noch auf Seitens des Cisco eingestellt werden muss weis ich nicht, aber es wird wohl ähnlich sein.

Gruß Heiko
Man lernt nie aus.
Nach oben
backslash
Moderator
Moderator
Beiträge: 7131
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: mehrere Netze durch VPN Tunnel routen

Beitrag von backslash »

Hi xPhase,

ach so, du willst tatsächlich nur eine Adresse erreichen... Dann ist 255.255.255.255 natürlich korrekt.
dann sollte das auch funktionieren.

Hast du mal einen Blick auf die "effektive" Routing-Tabelle geworfen - unter /Status/IP-Router/Act.-IP-Routing-Tab.?
Hast du nach dem Eintragen der Route die VPN-Verbindung mal versuchsweise getrennt?


@Bernie137

wenn die Regelerzeugung aus "automatisch" steht, dann reicht der Eintrag in der Routing-Tabelle, denn das andere "Netz" ist ja auf der Seite des Ciscos...

Gruß
Backslash
Nach oben
xPhase
Beiträge: 14
Registriert: 13 Feb 2012, 15:45

Re: mehrere Netze durch VPN Tunnel routen

Beitrag von xPhase »

Hmm nun habe ich glaube ich Tomaten auf den Augen.

Wo genau finde ich den Punkt "Status"?


Guten Start in die Woche allen :-)

Also in der Routing Tabelle ist es exakt eingetragen.

Die Tabelle, welche ich im Lanconfig einsehen kann. Unter "IP-Router -> Routing -> Routing Tabelle".




Ist es möglich, dass dem Lancom die Veränderung in der Routing Tabelle irgendwie mitgeteilt werden muss?

Ich habe ganz klar zur ip 10.75.39.23/32 den VPN Gegenstellen Router angegeben und die Config hochgeladen.
Bzw. hab es so angegeben wie Backslash es oben in einem Beispiel präsentiert hat.

Wenn ich nun nen traceroute anstoße gehen die Pakete über 7 - 8 hops....dann breche ich ab, weil nach dem dritten sollte doch der Router auf der Gegenseite erscheinen.
Gibts sowas wie eine routing aktualisieren funktion?
Nach oben
MariusP
Beiträge: 1036
Registriert: 10 Okt 2011, 14:29

Re: mehrere Netze durch VPN Tunnel routen

Beitrag von MariusP »

Das Root-Verzeichnis in der Konsole hat 4 Unterverzeichnisse:
Status
Setup
Firmware
Other

Einfach in der Konsole cd /status/ .... eingeben^^
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.

Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Nach oben
xPhase
Beiträge: 14
Registriert: 13 Feb 2012, 15:45

Re: mehrere Netze durch VPN Tunnel routen

Beitrag von xPhase »

Danke für den Hinweis :-)

So nun, Telnet aktiviert, trace Ausgabe erstellt und in Act.IP.RoutingTab. geschaut.

Dort steht alles richtig drin, ich versuche nun schon seit heute morgen ne Logik zu erkennen warum die Pakete nicht eingetunnelt werden.
So stehts in der Tabelle:

IP Address : Netmask : Tag : Gateway : Peer : Distance : Maskierung : Type

192.168.191.1 : 255.255.255.255 : 0 : 50.24.53.24 : 1 : no : static <---- funktioniert und wurde mit vpn verbindung zusammen erstellt


10.23.58.28 : 255.255.255.255 : 0 : 50.24.53.24 : 1 : no : static <---- funktioniert nicht, habe ich nachträglich in die Tabelle eingetragen


Die IP Adressen sind natürlich fake adressen und die peer auch, aber die peer stimmt bei beiden überein.



NACHTRAG:

Die Regelerzeugung steht auf automatisch und ich habe nach Eintragen der neuen Route die gesamte VPN Funktionalität deaktivert und wieder aktiviert.

Stellt sich die Frage ob das Gerät mal komplett neu gestartet werden sollte.

Ich bekomme im Lanmonitor 2 VPN Verbindungen mit Fehler angezeigt, welche in der Config gar nicht mehr vorhanden sind. Die beiden hatte ich mal testweise aufgestellt und wieder verworfen. Wenn ich dort auf löschen oder aktualisieren klicke bleibt der lan monitor hängen.

Daneben stehen natürlich auch noch 2 weitere VPN Verbindungen ohne Fehler :-)
Nach oben
Antworten

Zurück zu „Fragen zur LANCOM Systems Routern und Gateways“