Routen eines zweiten entfernten Netzes über VPN

[mfernau]

Hallo!

Folgende Konstallation:

Außenstelle -> [VPN] -> Hauptstelle
Die Außenstelle ist mit einem VPN an die Hauptstelle angebunden. Ich kann von beiden Seiten auf das jeweilige andere Netz zugreifen. Klar.
Sagen Wir "Netz A" für die Außenstelle und "Netz H" für die Hauptstelle. Sind beides getrennte IP-Kreise.

Nun gibt es noch eine andere (fremde) Konstellation
Hauptstelle -> [VPN] -> Extranet
Sagen wir "Netz E" für das Extranet.

Im LANCOM aus "Netz H" gibt es eine Route für "Netz E". Diese funktioniert auch.
Was ich nun noch einrichten muss ist eine Route für "Netz E" in der Außenstelle und daran scheitert es irgendwie. Aussehen tut das also so:
Außenstelle -> [VPN] -> Hauptstelle -> [VPN] -> Extranet

Ich muss von "NETZ A" irgendwie in das "NETZ E" kommen.
Ich habe die Route testweise so eingetragen, wie die bereits existierende "Netz H" Route. Also als Netz natürlich das "Netz E" und als Router das VPN.
Aber es kommt nichts auf dem Gateway für "Netz E" in der Hauptstelle an. Irgendwo muss ich einen Denkfehler haben. Es scheint nicht auszureichen in beiden LANCOMs einfach nur eine normale Route zu setzen. Irgendwo fehlt noch was...

Kann mich hier jemand unterstützen?

Vielen Dank und Grüße
Martin

[mfernau]

Ich habe es mal grafisch dargestellt. Es handelt sich bei der Verbindung zwischen A und B um eine über den Assistenten hergestellte VPN-Verbindung.

Was funktioniert:
A -> B
B -> A
B -> C

Was ich jetzt noch benötige:
A -> C

Einer der beiden LANCOMS muss also ein NAT durchführen. Aber egal was ich anstelle, es kommen nicht mal Pakete am C-Router an wenn ich aus A ein Ping absetze (mit tcpdump geprüft).
Wie ist diese Konstellation zu erreichen? Muss doch möglich sein...

[garfield0815]

Ich vermute das in deinem fremd Router die ruckroute c nach a fehlt

[Bernie137]

Hi,

Es muss das Netz 217.7.14.160/28 in die VPN Rules mit einbezogen werden: https://www2.lancom.de/kb.nsf/1275/BA3C ... enDocument Statt der Route 255.255.255.255/0.0.0.0 verwendest Du 217.7.14.160/28.

Dann brauchst Du noch 2 Routen.

Router Außenstelle (10.25.150.1): 217.7.14.160/28 -> [Router Hauptstelle], schon erledigt durch obige Anleitung
Router Hauptstelle (200.1.1.153): 217.7.14.160/28 -> [Fremdrouter]
Fremdrouter (200.1.1.16): 10.25.150.0/24 -> [Router Hauptstelle]

Was mich etwas wundert, dass in der Hauptstelle öffentliche IPs verwendet werden?

vg Bernie

[mfernau]

Super - danke für den Hinweis. Das Einzige das mit fehlte war der Firewalleintrag der für die VPN-Verbindung mit einbezogen werden muss.
Zwar habe ich keinen Zugriff auf den Fremd-Router und somit noch das Problem das ich eigentlich ein NAT einrichten müsste (denn dort bekomme ich die Rückroute zum 10er Netz nicht rein), aber das konnte ich umgehen indem ich einen in meiner Gewalt existierenden Linux-Router als Gateway für das Extranet nutze und dort das NAT durchführe. Zwar umständlich, aber geht.

Was mich etwas wundert, dass in der Hauptstelle öffentliche IPs verwendet werden?

Kann ich gut nachvollziehen. Ist aber nicht auf meinem Mist gewachsen. Ich habe das Netz von meinem Vorgänger übernommen.
Da sich in diesem Netz derzeit mindestens zwei "Black-Boxen" mit VPN-Verbindungen befinden von dem niemand Zugangsdaten besitzt und auch kein Kontakt mehr zum Vorgänger existiert, muss ich das Netz vorerst leider so belassen.

Schöne Grüße
Martin