4
Netzwerk Szenario mit zwei Routern
Hallo liebe Administrator-Kollegen,
ich habe ein Problem mit zwei Routern in einem Netzwerk (siehe beigefügtes Bild).
Wir haben mehrere Außenstellen die per VPN-Tunnel (Router zu Router) mit unserer Hauptstelle verbunden sind.
Dies funktioniert auch seit Jahren tadellos. Problematisch wird es nur dann, wenn jemand aus der Außenstelle auf einen Server Zugreifen möchte bei dem das Gateway nicht der VPN-Router (192.168.1.5) sondern der zweite Router (192.168.1.3) ist.
Hat jemand eine Idee, wie ich Dienste mit Gateway 192.168.1.3 über die VPN-Verbindung erreichen kann?
Vielen Dank.
Beste Grüße
jsiegfried
ich habe ein Problem mit zwei Routern in einem Netzwerk (siehe beigefügtes Bild).
Wir haben mehrere Außenstellen die per VPN-Tunnel (Router zu Router) mit unserer Hauptstelle verbunden sind.
Dies funktioniert auch seit Jahren tadellos. Problematisch wird es nur dann, wenn jemand aus der Außenstelle auf einen Server Zugreifen möchte bei dem das Gateway nicht der VPN-Router (192.168.1.5) sondern der zweite Router (192.168.1.3) ist.
Hat jemand eine Idee, wie ich Dienste mit Gateway 192.168.1.3 über die VPN-Verbindung erreichen kann?
Vielen Dank.
Beste Grüße
jsiegfried
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 385783
Url: https://administrator.de/contentid/385783
Printed on: April 25, 2024 at 14:04 o'clock
4 Comments
Latest comment
Hallo,
in dem du eine ordentliche Lösung mit einem Single Gateway für alles aufziehst - Optimalerweise VPN Server = Firewall und davor die beiden Router
VG
in dem du eine ordentliche Lösung mit einem Single Gateway für alles aufziehst - Optimalerweise VPN Server = Firewall und davor die beiden Router
VG
sondern der zweite Router (192.168.1.3) ist.
Dort auf dem nicht VPN Router fehlt eine statische Route auf das remote Netzwerk ! Das fixt das Problem sofort !Also:
ip route 192.168.6.0 255.255.255.0 192..168.1.5
dort eintragen und fertig ist der Lack !
Damit routet dann der .1.3er Router alles was ins remote .60.er netz muss auf den .1.5er Router.
Eigentlich ganz simpel und kommt man auch ohne Administrator Thread drauf wenn man sich mal die Wegefindung der IP Pakete vor Augen führt.
Generell ist das kein gutes und sauberes Design wenn du im lokalen Netzwerk unterschiedliche Default Gateways benutzt !
Besser du nutzt dort konsistent für alle Endgeräte die 192..168.1.3 und trägst dann auf diesem Router statische Routen für alle deine remoten VPN Netze via 192..168.1.5 ein.
Noch besser wäre es, du machst zwischen den beiden Router .3 und .5 VRRP. Sprich ein Router Redundanz Protokoll mit einer VIP. Die VIP (virtual IP) ist dann das Default Gateway für alle Endgeräte im lokalen Netz.
So kann egal welcher der beiden Router mal ausfallen und du verlierst nicht dein Default Gateway im lokalen Netz.
So würe man das professionell in einem Firmennetz lösen.
Hier findest du Infos dazu:
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Das lässt sich sicher auch mit deinen beiden Routern aufsetzen sofern das nicht solch billige Plastik Consumer Router sind ?!
Zitat von @aqui:
Dort auf dem nicht VPN Router fehlt eine statische Route auf das remote Netzwerk ! Das fixt das Problem sofort !
Also: ip route 192.168.6.0 255.255.255.0 192..168.1.5 dort eintragen und fertig ist der Lack !
Damit routet dann der .1.3er Router alles was ins remote .60.er netz muss auf den .1.5er Router.
Dort auf dem nicht VPN Router fehlt eine statische Route auf das remote Netzwerk ! Das fixt das Problem sofort !
Also: ip route 192.168.6.0 255.255.255.0 192..168.1.5 dort eintragen und fertig ist der Lack !
Damit routet dann der .1.3er Router alles was ins remote .60.er netz muss auf den .1.5er Router.
Da Du damit aber ein asymmetrisches Routing implementierst funktioniert das nur, wenn 192.168.1.3 keine SPI-Firewall ist oder zumindest LAN/LAN-Traffic nicht stateful prüft.
Zitat von @jsiegfried:
ich habe ein Problem mit zwei Routern in einem Netzwerk (siehe beigefügtes Bild).
ich habe ein Problem mit zwei Routern in einem Netzwerk (siehe beigefügtes Bild).
Gruselig. Aus welchen Gründen ist die Architektur so wie sie ist?
Gruß
sk
Sollte nicht asymetrisch sein...
Der .1.3 er Router sendet ja ein ICMP Redirect an das Endgerät, was dann den .1.5er Router daraufhin direkt anspricht und so asymetrisches Routing vermeidet.
Natürlich nur wenn der TO ICMP Redirect nicht irgendwie deaktiviert hat.
In so einem zugegeben gruseligen Design wie seinem, sollte das natürlich zwangsweise immer aktiv sein !
Der .1.3 er Router sendet ja ein ICMP Redirect an das Endgerät, was dann den .1.5er Router daraufhin direkt anspricht und so asymetrisches Routing vermeidet.
Natürlich nur wenn der TO ICMP Redirect nicht irgendwie deaktiviert hat.
In so einem zugegeben gruseligen Design wie seinem, sollte das natürlich zwangsweise immer aktiv sein !
