Hi,
ich habe eine VPN Verbindung zu einem unserer Kunden und habe alle unsere IP Adressen hinter einer "Extranet" Adresse versteckt. Der Kunde möchte diese VPN Verbindung monitoren (PINGS). Wie kann ich nun diese eine "Extranet" Adresse pingbar machen?
Ich hoffe Ihr könnt mir helfen.
Viele Grüsse!
Erik
Portforwarding trotz Extranet Adresse?
Moderator: Lancom-Systems Moderatoren
-
richie1985
- Beiträge: 45
- Registriert: 22 Jun 2012, 15:34
-
richie1985
- Beiträge: 45
- Registriert: 22 Jun 2012, 15:34
leider eben nicht...
beispiel:
interne ip's 192.168.192.0/24 werden alle auf 10.10.10.96 genattet (extranet adresse in den VPN einstellungen). Damit kommen beim Kunden nur Packete von der IP 10.10.10.96 an. Nun möchte der Kunden aber 10.10.10.96 oder irgendeine andere IP aus dem Bereich anpingen können um dem VPN Tunnel zu monitoren.
Wenn er die 10.10.10.96 ping antwortet nichts.
beispiel:
interne ip's 192.168.192.0/24 werden alle auf 10.10.10.96 genattet (extranet adresse in den VPN einstellungen). Damit kommen beim Kunden nur Packete von der IP 10.10.10.96 an. Nun möchte der Kunden aber 10.10.10.96 oder irgendeine andere IP aus dem Bereich anpingen können um dem VPN Tunnel zu monitoren.
Wenn er die 10.10.10.96 ping antwortet nichts.
Hi richie1985
Gruß
Backslash
das ist ja auch korrekt, denn Extranet-VPN bedeutet "Maskierung"...Damit kommen beim Kunden nur Packete von der IP 10.10.10.96 an.
Wenn er nicht in der Firewall das Pingblocking eingeschaltet hat, dann kann er die 10.10.10.96 auch anpingen - aber auch nur die. Natürlich muß dabei die Quell-IP des Pings zu den ausgehandelten IPSec-SAs passenNun möchte der Kunden aber 10.10.10.96 oder irgendeine andere IP aus dem Bereich anpingen können um dem VPN Tunnel zu monitoren.
Gruß
Backslash
-
richie1985
- Beiträge: 45
- Registriert: 22 Jun 2012, 15:34
ich glaube das ist die lösung, nur wie bekomme ich denn seine ip in SAs rein? Habe die VPN mit dem Assistenten angelegt.Wenn er nicht in der Firewall das Pingblocking eingeschaltet hat, dann kann er die 10.10.10.96 auch anpingen - aber auch nur die. Natürlich muß dabei die Quell-IP des Pings zu den ausgehandelten IPSec-SAs passen
-
richie1985
- Beiträge: 45
- Registriert: 22 Jun 2012, 15:34
sorry komm nicht wirklich weiter damit, sobald er anfängt zu pingen bekomme ich im montitor die Meldung: Keine Regel für ID's gefunden - unbekannte Verbindung oder fehlerhaft ...
im trace sehe ich:
Phase-2 failed for peer XXXX: no rule matches the phase-2 ids 10.40.155.128/255.255.255.128 <-> 10.96.49.0/255.255.255.0
im trace sehe ich:
Phase-2 failed for peer XXXX: no rule matches the phase-2 ids 10.40.155.128/255.255.255.128 <-> 10.96.49.0/255.255.255.0
Hi richie1985
die Fehlermeldung sagt doch explizit, was fehlt: Eine Regel, die den Zugriff vm 19.96.49.0er Netz zuläßt.
Jedachdem auf welcher Seite das auftritt mußt du eine Route zu dem Netz anlegen, die an die VPN-Verbindung gebunden ist (auf der Seite, die Extranet macht) oder auf der anderen Seite eine explizite Regel, die genau diesen Traffic zuläßt. Wenn die andere Seite auch ein LANCOM ist, dann mußt du in der Firewall folgende Regel aufnehmen:
fertig...
Gruß
Backslash
die Fehlermeldung sagt doch explizit, was fehlt: Eine Regel, die den Zugriff vm 19.96.49.0er Netz zuläßt.
Jedachdem auf welcher Seite das auftritt mußt du eine Route zu dem Netz anlegen, die an die VPN-Verbindung gebunden ist (auf der Seite, die Extranet macht) oder auf der anderen Seite eine explizite Regel, die genau diesen Traffic zuläßt. Wenn die andere Seite auch ein LANCOM ist, dann mußt du in der Firewall folgende Regel aufnehmen:
Code: Alles auswählen
[x] diese Regel wird zur Erzeugung von VPN-Regeln herangezogen
Aktion: übertragen
Quelle: Netzwerk 10.96.49.0/255.255.255.0
Ziel: VPN-Gegenstelle
Dienste: alle Dienste
Gruß
Backslash
-
richie1985
- Beiträge: 45
- Registriert: 22 Jun 2012, 15:34
auf meiner seite (die das Extranet macht habe ich folgende Route:
Jetzt möchte die IP 10.40.155.170 von der anderen Seite die 10.96.49.2 pingen. Sobald er den Ping startet, kommt bei mir besagte Fehlermeldung.
Laut deiner Aussage fehlt also nichts bei mir sondern beim Kunden (Checkbox Firewall) richtig?
Die VPN Verbindung wird einwandfrei aufgebaut und ich kann IP's aus dem Netz 10.40.155.128/25 erreichen.IP-Adresse: 10.40.155.128
Netzmaske: 255.255.255.128
Router: VPN Gegenstelle
Jetzt möchte die IP 10.40.155.170 von der anderen Seite die 10.96.49.2 pingen. Sobald er den Ping startet, kommt bei mir besagte Fehlermeldung.
Laut deiner Aussage fehlt also nichts bei mir sondern beim Kunden (Checkbox Firewall) richtig?
Hi richie1985,
Wenn die Gegenseite SAs mit 10.96.49.0/255.255.255.0 als dein Netz anfordert, dann ist da der Fehler - das geht bei Extranet-VPN nicht, denn das ist wie gesagt eine ganz normale maskierte Verbindung - da kannst du höchstens Portforwardings drauf einrichten.
Gruß
Backslash
irgenwie bin ich jetzt ganz verwirrt... Ich dachte die Extranet-Adresse ist 10.10.10.96? Das ist die einzige IP, die du aus dem 10.40.155.128/25er Netz anpingen kannst.Jetzt möchte die IP 10.40.155.170 von der anderen Seite die 10.96.49.2 pingen. Sobald er den Ping startet, kommt bei mir besagte Fehlermeldung.
Wenn die Gegenseite SAs mit 10.96.49.0/255.255.255.0 als dein Netz anfordert, dann ist da der Fehler - das geht bei Extranet-VPN nicht, denn das ist wie gesagt eine ganz normale maskierte Verbindung - da kannst du höchstens Portforwardings drauf einrichten.
Gruß
Backslash
-
richie1985
- Beiträge: 45
- Registriert: 22 Jun 2012, 15:34
hi,
entschuldige bitte, das waren die alten ip's, hier nochmal:
LAN(192.168.192.0/24) --> VPN zu KUNDE(Extranet 10.96.49.2) --> LAN KUNDE (10.40.155.128/25)
VPN Regelerzeugung ist automatisch, Route ist 10.40.155.128/25 auf VPN Gegenstelle
VPN wird ohne Fehler aufgebaut und läuft stabil, ich kann alle Adressen aus dem Kundennetz erreichen.
Startet nun der Kunde mit der IP 10.40.155.170 einen PING auf meine Extranet Adresse (10.96.49.2) kommt besagte Fehlermeldung.
Der Kunde will damit wie gesagt nur den VPN Tunneln monitoren. Wie könnte ich denn ein Portforwarding dann einrichten?
entschuldige bitte, das waren die alten ip's, hier nochmal:
LAN(192.168.192.0/24) --> VPN zu KUNDE(Extranet 10.96.49.2) --> LAN KUNDE (10.40.155.128/25)
VPN Regelerzeugung ist automatisch, Route ist 10.40.155.128/25 auf VPN Gegenstelle
VPN wird ohne Fehler aufgebaut und läuft stabil, ich kann alle Adressen aus dem Kundennetz erreichen.
Startet nun der Kunde mit der IP 10.40.155.170 einen PING auf meine Extranet Adresse (10.96.49.2) kommt besagte Fehlermeldung.
Der Kunde will damit wie gesagt nur den VPN Tunneln monitoren. Wie könnte ich denn ein Portforwarding dann einrichten?
Hi richie1985
da ist dann aber auf der Kundenseit was falsch konfiguriert, denn der erwartet von dir, daß du das Netz 10.96.49.0/255.255.255.0 auf deiner Seite hast. Du hast aber nur die Adresse 10.96.49.2. Also darf die Gegenseite auch nur diese in der SA fordern - maximal noch das "Netz" 10.96.49.2/255.255.255.255. Besser ist aber, daß nur die Adresse gefordert wird.
Gruß
Backslash
da ist dann aber auf der Kundenseit was falsch konfiguriert, denn der erwartet von dir, daß du das Netz 10.96.49.0/255.255.255.0 auf deiner Seite hast. Du hast aber nur die Adresse 10.96.49.2. Also darf die Gegenseite auch nur diese in der SA fordern - maximal noch das "Netz" 10.96.49.2/255.255.255.255. Besser ist aber, daß nur die Adresse gefordert wird.
Gruß
Backslash