alex-j162
Goto Top

Routen zwischen 3 Netzwerken - VPN Tunnel - Linksys

Nach langem googlen und stöbern in diesem Forum habe ich mich entschlossen, direkt um Hilfe zu bitten. Ich finde zwar viele Informationen zum Thema Routing und VPN, aber leider ist nichts so passend, dass ich es zu meinem eigenen Problem übertragen kann.
Kurz gesagt geht es um folgendes: Wir haben einen Hauptstandort und die Standorte A und B. A und B sind mit einem IPSec VPN Tunnel mit dem Hauptstandort verbunden. Ich möchte es aber irgendwie möglich machen, dass man von A über Hauptstandort auf B zugreifen kann.

Router IP Adressen:
Hauptstandort: Linksys RV082 IP Adresse: 192.168.2.1
Standort A: Linksys RVL200 IP Adresse: 192.168.3.1
Standort B: Linksys RVL200 IP Adresse: 192.168.4.1

Die Tunnel zwischen Haupt und A bzw. Haupt und B funktionieren. Ich kann also von einem PC (192.168.3.10) auf 192.168.2.10 zugreifen.
Jetzt möchte ich folgendes ermöglichen. Ich möchte von A über Haupt auf B zugreifen.

Folgendes habe ich probiert. Ich habe beim Router A eine statische Route eingetragen.
Destination IP: 192.168.4.0
Subnet Mask: 255.255.255.0
Default Gateway: 192.168.2.1
Hop-Count: z.B. 10
Interface (WAN/LAN): Hier weiß ich nicht

Wenn also der PC 192.168.3.10 (Netz A) ein Paket an das Netz B schicken möchte, kennt der Router normalerweise das Netz 192.168.4.0 nicht. Durch die statische Route weiß der Router A nun, dass ein solches Paket über den Router am Hauptstandort geschickt werden muss. Da der Router am Hauptstandort das Netz 4.0 ja kennt, weiß er wohin das Paket weiter geleitet werden muss.
Im Router B muss ich jetzt natürlich die Route in die andere Richtung eintragen, damit der Router B weiß, dann er zu dem Netz A über den Hauptstandort wandern muss.

Ich hoffe meine Gedanken gehen in die richtige Richtung.
Hoffentlich kann mir hier jemand einige Hilfestellungen geben.
Vielen Dank im vorraus.

Mit freundlichen Grüßen
Alex J.

Content-Key: 150655

Url: https://administrator.de/contentid/150655

Ausgedruckt am: 28.03.2024 um 13:03 Uhr

Mitglied: dog
dog 08.09.2010 um 21:54:05 Uhr
Goto Top
Default Gateway: 192.168.3.1

Wie soll das denn gehen, wenn du als Router das Gerät selbst einträgst?
Du musst als Gateway natürlich die IP des Haupt-Routers eintragen, die aus dem VPN erreichbar ist.
Mitglied: alex-j162
alex-j162 08.09.2010 um 22:00:00 Uhr
Goto Top
Danke für den Hinweis. War aber nur nen Fehler im Text. Im Router steht als default Gateway natürlich 2.1.
Mitglied: aqui
aqui 09.09.2010 um 12:28:22 Uhr
Goto Top
Im Grunde genommen ist das Design sehr simpel und einfach:
Du baust einfach nur einen VPN Tunnel vom Hauptstandort zu Lokation A und vom Hauptstandort zu Lokation B auf. Den Tunnel von A zu B lässt du bleiben.
Damit hast du dann alles was du willst.
Du musst lediglich 2 statische Routen auf den Zweigstellen Routern A und B eintragen:
Bei A:
Zielnetz: 192.168.4.0 Maske: 255.255.255.0 Gateway: <Router B> (Damit er weiss das er das Netzwerk B über den Hauptstandort erreicht !)
Analog bei B:
Zielnetz: 192.168.3.0 Maske: 255.255.255.0 Gateway: <Router B> (Damit er weiss das er das Netzwerk A über den Hauptstandort erreicht !)
Oder du arbeitest eben mit dynamischen Routen und RIP, dann kannst du dir das Konfigurieren der statischen Routen ersparen !
Fertisch. Das ist ein banales Standardszenario und im Handumdrehen so eingerichtet ! Einfacher gehts ja nicht ! Dafür muss man auch keine Threads lesen außerdem hast du dir den richtigen Ansatz ja auch schon selbst erschlossen !!
Wo ist also wirklich dein Problem ??
Mitglied: alex-j162
alex-j162 10.09.2010 um 16:42:20 Uhr
Goto Top
Router IP Adressen:
Hauptstandort: Linksys RV082 IP Adresse: 192.168.2.1
Standort A: Linksys RVL200 IP Adresse: 192.168.3.1
Standort B: Linksys RVL200 IP Adresse: 192.168.4.1

IP mit der Endung .40 ist immer ein PC in dem jeweiligen Netzwerk.

Ich habe jetzt auf den Routern am Standort A und B folgendes eingerichtet:
Router A (3.1)
Destination IP: 192.168.4.0
Subnet Mask: 255.255.255.0
Default Gateway: 192.168.2.1
Hop-Count: z.B. 10
Interface (WAN/LAN): LAN

Router B (4.1)
Destination IP: 192.168.3.0
Subnet Mask: 255.255.255.0
Default Gateway: 192.168.2.1
Hop-Count: z.B. 10
Interface (WAN/LAN): LAN

Ping Tests*
Merkwürdig ist, egal ob die statische Route eingetragen ist oder nicht folgendes:
Ping von einem PC im Netz A
ping 3.1 OK
ping 2.1 OK
ping 2.40 (PC im Hauptstandort) OK

Ping vom Router A
ping 3.40 OK
ping 2.1 FEHLER
ping 2.40 FEHLER

Ping von einem PC im Netz B
ping 4.1 OK
ping 2.1 OK
ping 2.40 (PC im Hauptstandort) OK

Ping vom Router B
ping 4.40 OK
ping 2.1 FEHLER
ping 2.40 FEHLER

Ping von einem PC im Netz Hauptstandort
ping 2.1 OK
ping 3.1 OK
ping 4.1 OK
ping 3.40 (PC im Hauptstandort) OK
ping 4.40 (PC im Hauptstandort) OK

Ping vom Router Hauptstandort
ping 2.40 OK
ping 3.1 OK
ping 4.1 OK
ping 3.40 (PC im Hauptstandort) OK
ping 4.40 (PC im Hauptstandort) OK

Kurz gesagt: Die Router A und B tun so, als würden sie den Hauptrouter nicht kennen. Wenn ich in die Routing Tabelle von Router A (3.1) rein gucke, sehe ich folgendes:
Destination IP Adress: 192.168.2.0
Subnet Mask: 255.255.255.0
Default Gateway: 217.5.98.10 (irgendein Gateway der mir anscheint vom Provider gegeben wurde. Die IP kenne ich auf jeden Fall nicht)
Hop Count: 10
Interface: ipsec0

Ich weiß nich so wirklich wo der Fehler ist. Wenn ich die Statische Route eintrage, taucht diese irgendwie nicht in der Routing Tabelle auf. Ich habe auch schon bei allen drei Routern Dynamic Routing aktiviert.
Kann mir vielleicht jemand einen Denkanstoß geben, was ich weiter probieren kann. Ich stehe irgendwie vor einer Wand.

Vielen Dank.

Alex
Mitglied: aqui
aqui 11.09.2010 um 14:21:30 Uhr
Goto Top
Hop Count 10 bei den statischen Routen ist natürlich Blödsinn, denn deine Netze sind ja nicht 10 Hops weg sondern lediglich immer 2 Hops (via Hauptstandort Netz). Das solltest du also besser ändern.
Das die statischen Routen nicht auftauchen ist höchst beunruhigend und zeigt eher einen Bug der Firmware ?? Ist diese in allen Routern auf dem aktuelen, letzten Stand ??
Eine statische Route muss immer auch in der Routing Tabelle auftauchen ebenso wie dynmaische wenn alle Router sich über das dynamische Routing Protokoll "sehen" !!
Statische Routen UND dynmaische zusammen aktiviert zu haben ist auch Unsinn, denn die statischen töten die dynamischen, da sie immer eine größere Priorität haben.
Es geht immer nur entweder...oder !
Dynamische haben den Vorteil das du keinerlei statische Routen eintragen musst ! Solltest du dann in der Routing Tabelle kontrollieren können ! In den Staort Routern A und B müssen immer 2 IP Netze stehen (Hauptstandort und das jeweils andere Standort Netzwerk !) Wie gesagt, bei dynamischem Routing mit z.B. RIP darf es KEINE konfigurierten statischen Routen geben, denn diese haben immer höhere Prio und machen ein dynamisches Routen dann sinnlos !

Deine Ping Statistiken zeigen doch das alles klappt. Du kannst doch von allen Endgeräten alle anderen Netze erreichen. Was lediglich nicht geht ist vom Router direkt den anderen Router zu pingen ! Das mag sein das es daran liegt das der Router eine aktive Accessliste für das ICMP Protokoll (Ping) aktiv hat !
Ist doch auch nicht tragisch wenn alle LANs sich gegenseitig sehen können !!
Was sagen denn z.B. Traceroutes (tracert) oder Pathpings von Geräten im Netz Standort A zu Standort B und Hauptstandort ??
Letztlich funktioniert doch alles was du willst ?!
Mitglied: alex-j162
alex-j162 11.09.2010 um 15:01:28 Uhr
Goto Top
vom PC aus dem Netz A (192.168.3.40)
tracert 192.168.4.40

Routenverfolgung zu 192.168.4.40 über maximal 30 Abschnitte
1. 1 ms 1ms 1ms 192.168.3.1
2. * * * Zeitüberschreitung der Anforderung
3. * * * Zeitüberschreitung der Anforderung
4. * * * rmwc-brln-de02.......... (213.20.149.67)
meldet: Zielnetz nicht ereichbar.

Ablaufverfolgung beendet.

tracert 192.168.2.1
1. 192.168.3.1
2. 192.168.2.1

tracert 192.168.2.40
1. 192.168.3.1
2. Zeitüberschreitung der Anforderung
3. 192.168.2.40


Es ist doch nichtig, dass ich nur eine statische Route beim Router A eintragen muss oder? Also nur den Weg wie man zum B Netz kommt. Ich muss doch nicht noch extra eine statische Route eintragen, wie man zum Netz Hauptstandort kommt. Weil diesen Weg müsste er ja kennen, weil er ja schließlich den Tunnel zu dem Netz aufbaut.

Außerdem mal noch die Frage: Ich bin mir nicht sicher ob ich WAN oder LAN als Interface angeben muss, beim eintragen der statischen Route. Weiß da jemand genaueres?

Das hier sagt die Linksys Anleitung:
5. Interface: (LAN, WAN) Interface tells you whether your network is on the LAN or the WAN, or the Internet. If you’re connecting to a sub-network. Select LAN. If you’re connecting to another network through the Internet, select WAN.

Trotz aktueller Firmware und Neustart des Routers ist die manuell eingetragene Route nicht in der Routing Tabelle sichtbar. Ich habe das Dyn. Routing jetzt auf allen drei Routern auch deaktiviert.

Dankeschön für weitere Tipps.
Alex.
Mitglied: aqui
aqui 11.09.2010 um 15:12:15 Uhr
Goto Top
Das kommt darauf an. Viele Router benutzen ein anderes IP Netz im VPN, dann müsste man auch den Hauptstandort statisch eintragen.
Da er aber schon in deiner Routing Tabelle ist benutzt er für den VPN Tunnel vermutlich IP Adressen aus dem Hauptstandort Netz, so das es dann nicht erforderlich ist.
Das die statischen Routen nicht in der Routing Table auftauchen ist bedenklich und ein klarer Fehler der Firmware. Damit "kennt" dieser Router diese Netze nicht und kann sie folglich auch nicht erreichen !
Sein darf das so nicht !
Kannst du als Gateway ggf. ein Interface konfigurieren ?? Wenn ja macht es Sinn die Routen ggf. so einzustellen:

Router A :
Destination IP: 192.168.4.0
Subnet Mask: 255.255.255.0
Default Gateway: 192.168.2.1 (oder Interface "ipsec0")
Hop-Count: 2
Interface (WAN/LAN): WAN (oder Interface "ipsec0")

Router B :
Destination IP: 192.168.3.0
Subnet Mask: 255.255.255.0
Default Gateway: 192.168.2.1 (oder Interface "ipsec0")
Hop-Count: 2
Interface (WAN/LAN): WAN (oder Interface "ipsec0")

Das zeigt auch noch einen Kardinalsfehler deiner Konfig an: Du hast als Interface für die statische Route fäschlicherweise das LAN ! Interface angegeben !
Das ist aber Unsinn, denn deine remoten Zielnetze befinden sich ja hinter dem WAN Interface und eben nicht im lokalen LAN Interface !
Das musst du also ebenfalls zwingend ändern, andernfalls sucht der Router das Gateway im lokalen LAN und dort ist es ja de facto NICHT !
Mitglied: alex-j162
alex-j162 11.09.2010 um 15:18:43 Uhr
Goto Top
Habe es schon auf WAN umgestellt, nachdem mich ein Kumpel darauf hingewiesen hat, dass LAN nicht stimmen kann. Ändert leider nichts am Inhalt der Routing Tabelle.
Ein anderes Interface kann ich wohl nicht auswählen, also das ich direkt angebe, diese statische Route soll über den IPSec Tunnel laufen.
Mitglied: alex-j162
alex-j162 11.09.2010 um 16:19:59 Uhr
Goto Top
Ich bin eventuell einen kleinen Schritt weiter gekommen.
Routing Tabelle
Destination IP Adress Subnet Mask Default Gateway Hop Count Interface
213.20.59.131 255.255.255.255 * 0 ppp1
213.20.59.131 255.255.255.255 * 10 ppp1
213.20.59.131 255.255.255.255 * 11 ipsec0
192.168.2.0 255.255.255.0 213.20.59.131 10 ipsec0
192.168.3.0 255.255.255.0 * 0 eth0
default 0.0.0.0 213.20.59.131 40 ppp1

Wenn ich jetzt als statische route NICHT das hier eintrage:
Destination IP: 192.168.4.0
Subnet Mask: 255.255.255.0
Gateway: 192.168.2.1
Hop Count: 3
Interface: WAN

sondern ich nehme mal die IP die als Gateway in der Routing Tabelle steht:
also das hier:
Destination IP: 192.168.4.0
Subnet Mask: 255.255.255.0
Gateway: 213.20.59.131
Hop Count: 3
Interface: WAN

Dann sieht die Tabelle plötzlich so aus:
Destination IP Adress Subnet Mask Default Gateway Hop Count Interface
213.20.59.131 255.255.255.255 * 0 ppp1
213.20.59.131 255.255.255.255 * 10 ppp1
213.20.59.131 255.255.255.255 * 11 ipsec0
192.168.2.0 255.255.255.0 213.20.59.131 10 ipsec0
192.168.4.0 255.255.255.0 213.20.59.131 3 ppp1
192.168.3.0 255.255.255.0 * 0 eth0
default 0.0.0.0 213.20.59.131 40 ppp1

Jetzt steht die Route in der Routing Tabelle drin, aber er schickt das Packet nicht über den Tunnel. Kann mir jemand erläutern warum als Gateway für den Weg zum Hauptstandort also zum Router .2.1 als Gateway diese komische IP Adresse steht?
Mitglied: dog
dog 11.09.2010 um 18:47:05 Uhr
Goto Top
Wenn du mal auf das Interface achtest siehst du schon, dass es nicht gehen kann.
Und so wie die Routing-Tabelle aussieht müsstest du das zusätzliche Netz beim anlegen des VPNs noch irgendwo eintragen oder alles über den Tunnel schicken.