Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Routing in 3 Netzwerken durch IPsec-Tunnel

Mitglied: leipy

leipy (Level 1) - Jetzt verbinden

13.07.2007, aktualisiert 16.07.2007, 8055 Aufrufe, 5 Kommentare

Problem mit Routingtabellen zur Kommunikation in 3 Netzwerken durch IPsec-Tunnel

Hallo zusammen,
nach vielen Stunden und erfolglosen Versuchen beschreibe mal mein Problem zum Netzwerkrouting in 3 Teilnetzwerken:

Aufbau:

Standort A
192.168.10.0/24
|
|
ROUTER 192.168.10.254 (Netgear FVS318)
|
|
IPSEC-Tunnel durchs Internet
|
|
ROUTER 192.168.0.254 (Netgear FVS318)
|
|
Standort B
192.168.0.0/24
|
|
interner Router 192.168.0.10
2.NIC=192.168.3.10
Debian mit iptables
|
|
internes Netz 192.168.3.0/24
|
|
irgendein Server 192.168.3.101


Kein dynamisches Routing, d. h. keine Routingprotokolle wie RIP oder so...
So, das ganze funktioniert von Standort A zu Standort B und umgekehrt einwandfrei durch den IPSEC-Tunnel.
Die Rechner aus dem 10.0-Netz erreichen das 0.0er Netz und umgekehrt. Die Routingtabellen haben wir auf den PCs und Servern (nur dort, wo der Zugriff ins andere Netz notwendig war), statisch eingetragen (route add -p ...)

Jetzt kommt das 3.0-er Netz ins Spiel:
Das 3er Netz kommt problemlos ins 0.0-er Netz über den internen Router und umgekehrt, aber leider nicht zum Standort A durch.
Standort A kommt auch nicht ins 3.0-er Netz von Standort B.

Wohin muss der Client in Standort A sein Paket schicken, wenn er ins 3.0er-Netz will ? Vermutlich zuerst an den IPSEC-Router 192.168.10.254. Und wie dann weiter ? Am IPsec-Router kann man statische Routingtabellen anlegen. Der IPsec-Router muss das Paket vermutlich weiterleiten an den Router in Standort B, oder direkt an den internen Router im Standort B ?
Welche Route braucht der Server 3.101 zurück ?
Vermutlich ist die Lösung ganz simpel, nur ich komm einfach net drauf

Danke schonmal für Eure Hilfe !
Mitglied: Randyman
14.07.2007 um 17:13 Uhr
Hi,

ich vermute es liegt an der Rückroute.

Zuerst das einfache:

Der Server 192.168.3.101 braucht als Standardgateway die 192.168.3.10; sonst nichts; also keine weiteren statischen Routen.

Der Router 192.168.10.254 muss wissen dass das Netz 192.168.3.0 hinter dem VPN-Tunnel liegt. Kenne den Router nicht; entweder in der VPN-Konfig einzustellen oder als Route.

Der Router 192.168.0.254 braucht eine statische Route für das Netz 192.168.3.0 mit Gateway auf die 192.168.0.10.
Diese interne Router kennt dann den Weg; das Netz 192.168.3.0 ist ja sein eigenes auf der entsprechenden NIC, aber er kennt u.U. den Weg zu 192.168.10.0 nicht, also hier auch eine statische Route mit Gateway 192.168.0.254.

Viel Erfolg und lass uns wissen obs geklappt hat.

Gruss
Randy
Bitte warten ..
Mitglied: leipy
14.07.2007 um 20:55 Uhr
Hi Randy,
danke erstmal für Deine Antwort !

<<
Der Router 192.168.10.254 muss wissen dass das Netz 192.168.3.0 hinter dem VPN-Tunnel liegt. Kenne den Router nicht; entweder in der VPN-Konfig einzustellen oder als Route.
<<

Vermutlich liegt hier der Hund begraben. Durch den Tunnel werden keine Daten mit Destination 3.0/24 geleitet. Auch nach dem statischen Eintragen auf 10.254 (192.168.3.0/24 via 0.10/24) gings net. Vom Router aus kann ich die 0.10 aber anpingen, die Daten kommen dort auch an (mit tcpdump verifiziert). Nur wenn ich 3.10 ping, kommt nix an auf 0.10 lt. tcpdump.

Also muss ich mir das ipsec genauer anschauen. Allerdings wirds hier Schwierig, weil das IPSEC wird ja mit einem lokalen LAN und einem remote-LAN konfiguriert (10.0 und 0.0 in diesem Falle).
Leider bietet der Router 10.254 (Netgear FVS 318 auf beiden Seiten) keine Möglichkeit, hier zusätzliche Parameter zu konfigurieren. Die Zugangsrestriktionen für den Tunnel (any local subnet usw...) habe ich alle freigeschalten. Leider auch ohne erfolg.

Evtl. hilft ein zweiter Tunnel weiter. Da muss ich mal noch rumexperimentieren. Sonst fällt mir leider nix ein. Solange keine Daten auf 0.10 ankommen, liegts sicher am IPSEC.

Fällt Dir sonst noch was ein ?

Grüssle, Stefan
Bitte warten ..
Mitglied: Randyman
15.07.2007 um 09:47 Uhr
Hi,

ich hab mir die Anleitung des Routers grad mal angesehen. Man kann hier scheinbar nur ein Netz für die Gegenseite des Tunnels angeben. Aber das ist genau das Problem; der Router muss wissen dass er die 192.168.3.0 in den Tunnel routen soll.

Frag doch mal bei Netgear nach: https://my.netgear.com/myNETGEAR/support.asp

Wie kann man weitere Subnetze eines Standortes in den Tunnel routen?

Sorry, sonst fällt mir im Moment auch nix ein.

Gruss
Randy
Bitte warten ..
Mitglied: leipy
16.07.2007 um 08:32 Uhr
Hi Randy,
vielen Dank für Deine Hilfe !

Das mitlesen mit tcpdump bestätigt den Verdacht, dass es an den IPSEC-Routern liegt.

Ich werde daher mal beim Support nachfragen, obs ne Lösung gibt. Ansonsten muss ich die Router wohl mal langsam ersetzen...

Bis ich die Antwort vom Support habe, werde ich den Thread noch offen lassen.
Gruss, Stefan
Bitte warten ..
Mitglied: leipy
16.07.2007 um 14:42 Uhr
Hier die Antwort vom Support:
7/16/2007 11:27:00 AM

Um das zweite Subnetz erreichen zu können, benötigen Sie einen direkten tunnel in das Zielnetz.
Der LAN-Router, der die beiden Subnetze trennt muss als Tunnel-Endpunkt konfiguriert werden.

Eine Angabe von mehreren Teilnetzen im VPN-Client ist nicht möglich und auch ein Weiterrouten mittels statischer Routen im Gatewayrouter wird nicht funktionieren.
Damit kann der Thread geschlossen werden, da das Problem zwar nicht gelöst werden konnte, aber die Ursache ermittelt wurde.
Gruss
Stefan
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Routing VPN-Tunnel anderes Netzwerk
Frage von LandorCaeyranRouter & Routing5 Kommentare

Hallo zusammen, ich bin Entwickler und helfe einem Bekannten bei seiner Kleinen Firma bei EDV Dingen aus. Meine Idee ...

Router & Routing
Routingproblem IPsec Tunnel
gelöst Frage von tvprog1Router & Routing3 Kommentare

Hallo, folgende Konstellation: Eine Firewall hat drei Interfaces (eth1, eth2 und eth3). eth1 (5.1.1.10/30) dient als Transfernetz zum Provider ...

LAN, WAN, Wireless
Sophos SG - IPSEc Routing
Frage von EvilmachineLAN, WAN, Wireless2 Kommentare

Hallo. vor einer Weile hatte ich hier nach Firewalls gefragt und mir wurde die Sophos UTM empfohlen. Ich habe ...

Router & Routing
PfSense Routing durch VPN-Tunnel
Tipp von FA-jkaRouter & Routing2 Kommentare

Ich hatte vorhin das Problem, dass eine pfSense keine Route auf einen OpenVPN-Client setzen kann. In der Sense war ...

Neue Wissensbeiträge
Internet

Datendealing im WWW Tracking Methoden immer brutaler

Information von sabines vor 9 StundenInternet

Interessanter Artikel zum Thema Tracking im WWW und die immer "besseren" Methoden des Trackings. Professor Arvind Narayanan (Princeton-Universität) betreibt ...

Erkennung und -Abwehr

Ups: Einfaches Nullzeichen hebelte den Anti-Malware-Schutzt in Windows 10 aus

Information von kgborn vor 21 StundenErkennung und -Abwehr

Windows 10 ist das sicherste Windows aller Zeiten, wie Microsoft betont. Insidern ist aber klar, das es da Lücken, ...

Windows 10

Windows 10 on ARM: von Microsoft entfernte Info - Klartext, was nicht geht

Information von kgborn vor 23 StundenWindows 10

Windows 10 on ARM ist ja eine neue Variante, die Microsoft im Verbund mit Geräteherstellern am Markt etablieren will. ...

Microsoft
TV-Tipp: Das Microsoft-Dilemma
Information von kgborn vor 23 StundenMicrosoft15 Kommentare

Aktuell gibt es in Behörden und in Firmen eine fatale Abhängigkeit von Microsoft und dessen Produkten. Planlos agieren die ...

Heiß diskutierte Inhalte
Server
Route-Befehl Unterstützung (unter CMD)
gelöst Frage von FKRR56Server36 Kommentare

Guten Tag , i.M. habe ich Probleme über den CMD-Route-Befehl ein Routing auf einen entfernten Server zuzulassen. Der Server ...

Windows 10
Windows 10 (1709) Tastur und Maus wieder einschalten?
Frage von LochkartenstanzerWindows 1028 Kommentare

Moin, Ich habe von einem Kunden einen Win10-Rechner bekommen, bei dem weder Tastatur noch Maus geht. Die Hardware funktioniert ...

Humor (lol)
Was könnte man mit einem Server machen? Idee gesucht
Frage von 2SeitenHumor (lol)15 Kommentare

Hey Zusammen Ich habe einen alten HP G2 Rackserver zu Hause rumliegen. 28GB Ram, 1xAMD Prozi mit etwa 2GHz. ...

Firewall
RB2011 Firewall Rule eine bestimmte Mac oder IP Adresse nicht zu blockieren
Frage von lightmanFirewall15 Kommentare

Hallo liebes Forum mit ihren Spezialisten. Ich habe meine Firewall so konfiguriert das kein Endgerät ohne meine Speziellen Erlaubnis ...