3
Routing-Problem Checkpoint VPN-1 UTM
Hallo Mit-Administratorinnen und Administratoren!
Ich habe mal wieder ein kleines Problem, das sich von mir partout nicht lösen lassen will.
Hier einmal das Szenario: Wir wurden "geschluckt" von einer anderen Firma. Diese Firma hat ein Class C Netz (192.168.176.0) und eine Astaro-Firewall. Wir haben intern ein Class B Netz (10.10.0.0) mit einer Checkpoint VPN-1 UTM. Die Kommunikation zwischen beiden Firmen und Netzen klappt einwandfrei. Wir haben jedoch noch ein Außenlager angebunden über eine VPN-1 UTM Edge X Series. Das Außenlager hat ein Class C Netz (10.10.129.0).
Das Problem ist nun die Kommunikation mit dem Außenlager. Momentan muss von dort nur mit einem Rechner hier im Hause, auf dem eine Java-Anwendung läuft, kommuniziert werden. Auf diesem Rechner ist eine feste Route hinterlegt, die über unsere Firewall zum Außenlager routet. Nun muss aber etwas umgestellt werden, ich will nun also erreichen, dass ich direkt aus unserem Class B Netz mit dem Außenlager kommunizieren kann (letzter Schritt soll dann auch sein, dass wir direkt aus dem Netz unserer Mutterfirma mit dem Außenlager kommunizieren wollen.
Ich denke, ich müsste das Ganze über eine NAT-Regel machen, oder? Aber egal, was ich da bisher versucht habe, ich kann keinen Ping absetzen. Erst, wenn ich über route add eine Route einrichte, funktioniert es. Dieses manuelle Einrichten der Routen auf jeden Rechner will ich mir irgendwie sparen, indem ich es über die Firewall abdecke.
Ich bin dankbar für jede Hilfe.
Einen schönen Tag und vielen Dank.
Sascha
Ich habe mal wieder ein kleines Problem, das sich von mir partout nicht lösen lassen will.
Hier einmal das Szenario: Wir wurden "geschluckt" von einer anderen Firma. Diese Firma hat ein Class C Netz (192.168.176.0) und eine Astaro-Firewall. Wir haben intern ein Class B Netz (10.10.0.0) mit einer Checkpoint VPN-1 UTM. Die Kommunikation zwischen beiden Firmen und Netzen klappt einwandfrei. Wir haben jedoch noch ein Außenlager angebunden über eine VPN-1 UTM Edge X Series. Das Außenlager hat ein Class C Netz (10.10.129.0).
Das Problem ist nun die Kommunikation mit dem Außenlager. Momentan muss von dort nur mit einem Rechner hier im Hause, auf dem eine Java-Anwendung läuft, kommuniziert werden. Auf diesem Rechner ist eine feste Route hinterlegt, die über unsere Firewall zum Außenlager routet. Nun muss aber etwas umgestellt werden, ich will nun also erreichen, dass ich direkt aus unserem Class B Netz mit dem Außenlager kommunizieren kann (letzter Schritt soll dann auch sein, dass wir direkt aus dem Netz unserer Mutterfirma mit dem Außenlager kommunizieren wollen.
Ich denke, ich müsste das Ganze über eine NAT-Regel machen, oder? Aber egal, was ich da bisher versucht habe, ich kann keinen Ping absetzen. Erst, wenn ich über route add eine Route einrichte, funktioniert es. Dieses manuelle Einrichten der Routen auf jeden Rechner will ich mir irgendwie sparen, indem ich es über die Firewall abdecke.
Ich bin dankbar für jede Hilfe.
Einen schönen Tag und vielen Dank.
Sascha
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 149301
Url: https://administrator.de/contentid/149301
Printed on: April 26, 2024 at 03:04 o'clock
3 Comments
Latest comment
Das ist auch mit NAT nicht möglich, da du vermutlich aus Unwissenheit einen schweren IP Adressierungsfehler in deinem Netzdesign gemacht hast !
In eurem Standort hast du ein Class B Netz 10.10.0.0 /16 das Außenlager Netz hat aber die 10.10.129.0 /24.
Der Standort Router kann nun niemals mehr unterscheiden das die 10.10.129.x ein weiteres Netzwerk ist denn für ihn mit seiner 16 Bit Class B Adresse ist alles was mit 10.10.129.x adressiert ist natürlich ein Host aus seinem lokalen LAN Netzwerk.
Klar, denn sein Netzwerkteil hört bei 10.10.x.x auf. Alles was für ihn im 3ten und 4ten Byte steht sind Endgeräte ! Ein Routing ins Außenlager Netzwerk ist damit für ihn IP-technisch nicht mehr möglich durch die Subnetzmasken Überschneidung der 10.10er Netze !
Also nochmal das Knowhow mit der Netz Maskierung auffrischen !!
http://de.wikipedia.org/wiki/Netzmaske
Du kannst das Problem aber ganz einfach lösen indem du dem Außenlager ein anderes IP Netz gibst wie z.B. 10.11.126.0 /24 oder 10.100.126.0 /24 usw. (Vermutlich ist das einfach da es hier nur wenig IP Endgeräte Adressen gibt ?!)
Damit ist dieses Netz für den Stanortrouter dann wieder eindeutig zuortbar.
Der "Schluck" Firma reicht dann eine Standardroute 10.0.0.0 /8 auf euren Router damit alle 10er Pakete auch die des Außenlagers zu euch kommen.
Das o.a entfällt allerdings wenn der VPN Link ins Außenlager als Bridge konfiguriert ist. Das macht aber kein normaler (VPN) Mensch so, so das du das Routing bzw. IP Netzwerkproblem erst lösen musst !
In eurem Standort hast du ein Class B Netz 10.10.0.0 /16 das Außenlager Netz hat aber die 10.10.129.0 /24.
Der Standort Router kann nun niemals mehr unterscheiden das die 10.10.129.x ein weiteres Netzwerk ist denn für ihn mit seiner 16 Bit Class B Adresse ist alles was mit 10.10.129.x adressiert ist natürlich ein Host aus seinem lokalen LAN Netzwerk.
Klar, denn sein Netzwerkteil hört bei 10.10.x.x auf. Alles was für ihn im 3ten und 4ten Byte steht sind Endgeräte ! Ein Routing ins Außenlager Netzwerk ist damit für ihn IP-technisch nicht mehr möglich durch die Subnetzmasken Überschneidung der 10.10er Netze !
Also nochmal das Knowhow mit der Netz Maskierung auffrischen !!
http://de.wikipedia.org/wiki/Netzmaske
Du kannst das Problem aber ganz einfach lösen indem du dem Außenlager ein anderes IP Netz gibst wie z.B. 10.11.126.0 /24 oder 10.100.126.0 /24 usw. (Vermutlich ist das einfach da es hier nur wenig IP Endgeräte Adressen gibt ?!)
Damit ist dieses Netz für den Stanortrouter dann wieder eindeutig zuortbar.
Der "Schluck" Firma reicht dann eine Standardroute 10.0.0.0 /8 auf euren Router damit alle 10er Pakete auch die des Außenlagers zu euch kommen.
Das o.a entfällt allerdings wenn der VPN Link ins Außenlager als Bridge konfiguriert ist. Das macht aber kein normaler (VPN) Mensch so, so das du das Routing bzw. IP Netzwerkproblem erst lösen musst !
Hallo aqui!
Vielen Dank für die Antwort. Mir ist bewusst, dass das ganze ein struktureller Fehler ist, aber dafür bin ich nicht verantwortlich!
Das war historisch gewachsen... Ich versuche hier momentan den Scherbenhaufen zu beseitigen. Habe intern schon zwei Netze zusammen geführt (zwei Class C Netze 10.10.10.0 und 10.10.11.0 => daher das neue Class B Netz).
Ich hatte jetzt nur gehofft, dass ich die Netzänderung im Außenlager noch ein wenig aufschieben könnte, weil wir nebenbei in einer großen ERP-Umstellung stecken. Aber es wird dann wohl nichts anderes übrig bleiben. Werde dann schnellstmöglich dort die Endgeräte (1 Drucker, 4 Access-Points und 4 mobile Datenerfassungsgeräte) und die Edge umstellen.
Aber wie gesagt - vielen Dank für die Antwort!
Sascha
Vielen Dank für die Antwort. Mir ist bewusst, dass das ganze ein struktureller Fehler ist, aber dafür bin ich nicht verantwortlich!
Das war historisch gewachsen... Ich versuche hier momentan den Scherbenhaufen zu beseitigen. Habe intern schon zwei Netze zusammen geführt (zwei Class C Netze 10.10.10.0 und 10.10.11.0 => daher das neue Class B Netz).Ich hatte jetzt nur gehofft, dass ich die Netzänderung im Außenlager noch ein wenig aufschieben könnte, weil wir nebenbei in einer großen ERP-Umstellung stecken. Aber es wird dann wohl nichts anderes übrig bleiben. Werde dann schnellstmöglich dort die Endgeräte (1 Drucker, 4 Access-Points und 4 mobile Datenerfassungsgeräte) und die Edge umstellen.
Aber wie gesagt - vielen Dank für die Antwort!
Sascha
Das ist auf alle Fälle der sicherste Weg für ein funktionierendes Netz wenn du die IPs änderst im Außenlager !
Wenns das war bitte
How can I mark a post as solved?
nicht vergessen !
Wenns das war bitte
How can I mark a post as solved?
nicht vergessen !
