Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Routing-Problem Checkpoint VPN-1 UTM

Mitglied: SaschaHB-1980

SaschaHB-1980 (Level 1) - Jetzt verbinden

19.08.2010 um 08:58 Uhr, 6320 Aufrufe, 3 Kommentare

Hallo Mit-Administratorinnen und Administratoren!

Ich habe mal wieder ein kleines Problem, das sich von mir partout nicht lösen lassen will.

Hier einmal das Szenario: Wir wurden "geschluckt" von einer anderen Firma. Diese Firma hat ein Class C Netz (192.168.176.0) und eine Astaro-Firewall. Wir haben intern ein Class B Netz (10.10.0.0) mit einer Checkpoint VPN-1 UTM. Die Kommunikation zwischen beiden Firmen und Netzen klappt einwandfrei. Wir haben jedoch noch ein Außenlager angebunden über eine VPN-1 UTM Edge X Series. Das Außenlager hat ein Class C Netz (10.10.129.0).

Das Problem ist nun die Kommunikation mit dem Außenlager. Momentan muss von dort nur mit einem Rechner hier im Hause, auf dem eine Java-Anwendung läuft, kommuniziert werden. Auf diesem Rechner ist eine feste Route hinterlegt, die über unsere Firewall zum Außenlager routet. Nun muss aber etwas umgestellt werden, ich will nun also erreichen, dass ich direkt aus unserem Class B Netz mit dem Außenlager kommunizieren kann (letzter Schritt soll dann auch sein, dass wir direkt aus dem Netz unserer Mutterfirma mit dem Außenlager kommunizieren wollen.

Ich denke, ich müsste das Ganze über eine NAT-Regel machen, oder? Aber egal, was ich da bisher versucht habe, ich kann keinen Ping absetzen. Erst, wenn ich über route add eine Route einrichte, funktioniert es. Dieses manuelle Einrichten der Routen auf jeden Rechner will ich mir irgendwie sparen, indem ich es über die Firewall abdecke.

Ich bin dankbar für jede Hilfe.

Einen schönen Tag und vielen Dank.

Sascha
Mitglied: aqui
19.08.2010 um 12:21 Uhr
Das ist auch mit NAT nicht möglich, da du vermutlich aus Unwissenheit einen schweren IP Adressierungsfehler in deinem Netzdesign gemacht hast !
In eurem Standort hast du ein Class B Netz 10.10.0.0 /16 das Außenlager Netz hat aber die 10.10.129.0 /24.
Der Standort Router kann nun niemals mehr unterscheiden das die 10.10.129.x ein weiteres Netzwerk ist denn für ihn mit seiner 16 Bit Class B Adresse ist alles was mit 10.10.129.x adressiert ist natürlich ein Host aus seinem lokalen LAN Netzwerk.
Klar, denn sein Netzwerkteil hört bei 10.10.x.x auf. Alles was für ihn im 3ten und 4ten Byte steht sind Endgeräte ! Ein Routing ins Außenlager Netzwerk ist damit für ihn IP-technisch nicht mehr möglich durch die Subnetzmasken Überschneidung der 10.10er Netze !
Also nochmal das Knowhow mit der Netz Maskierung auffrischen !!
http://de.wikipedia.org/wiki/Netzmaske

Du kannst das Problem aber ganz einfach lösen indem du dem Außenlager ein anderes IP Netz gibst wie z.B. 10.11.126.0 /24 oder 10.100.126.0 /24 usw. (Vermutlich ist das einfach da es hier nur wenig IP Endgeräte Adressen gibt ?!)
Damit ist dieses Netz für den Stanortrouter dann wieder eindeutig zuortbar.
Der "Schluck" Firma reicht dann eine Standardroute 10.0.0.0 /8 auf euren Router damit alle 10er Pakete auch die des Außenlagers zu euch kommen.

Das o.a entfällt allerdings wenn der VPN Link ins Außenlager als Bridge konfiguriert ist. Das macht aber kein normaler (VPN) Mensch so, so das du das Routing bzw. IP Netzwerkproblem erst lösen musst !
Bitte warten ..
Mitglied: SaschaHB-1980
19.08.2010 um 15:13 Uhr
Hallo aqui!

Vielen Dank für die Antwort. Mir ist bewusst, dass das ganze ein struktureller Fehler ist, aber dafür bin ich nicht verantwortlich! Das war historisch gewachsen... Ich versuche hier momentan den Scherbenhaufen zu beseitigen. Habe intern schon zwei Netze zusammen geführt (zwei Class C Netze 10.10.10.0 und 10.10.11.0 => daher das neue Class B Netz).

Ich hatte jetzt nur gehofft, dass ich die Netzänderung im Außenlager noch ein wenig aufschieben könnte, weil wir nebenbei in einer großen ERP-Umstellung stecken. Aber es wird dann wohl nichts anderes übrig bleiben. Werde dann schnellstmöglich dort die Endgeräte (1 Drucker, 4 Access-Points und 4 mobile Datenerfassungsgeräte) und die Edge umstellen.

Aber wie gesagt - vielen Dank für die Antwort!

Sascha
Bitte warten ..
Mitglied: aqui
19.08.2010 um 16:22 Uhr
Das ist auf alle Fälle der sicherste Weg für ein funktionierendes Netz wenn du die IPs änderst im Außenlager !

Wenns das war bitte
https://www.administrator.de/index.php?faq=32
nicht vergessen !
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless

Checkpoint UTM-1 Edge Neues Netzwerk zu Site to Site VPN?

Frage von aRanIoNLAN, WAN, Wireless

Hallo zusammen, wir haben mehrere Site to Site VPNs. Am Hauptstandort befindet sich auch eine CheckPoint Firewall. An einem ...

Router & Routing

VPN mit Checkpoint-Firewall und Checkpoint VPN Client

Frage von mbit-05Router & Routing1 Kommentar

Hallo zusammen, kennt sich jemand mit CheckPoint-Firewalls aus? Ich möchte folgendes Konfigurieren: CheckPoint-Firewall in Zentrale hat ein VPN zu ...

Firewall

Checkpoint Firewall - VPN CLient

gelöst Frage von Leo-leFirewall5 Kommentare

Guten Tag, gibt es hier zufällig jemanden, der eine Checkpoint R76 im Einsatz hat und den VPN Dienst nutzt? ...

Firewall

Checkpoint R76 VPN-Abbrüche

Frage von Leo-leFirewall2 Kommentare

Hallo Forum, wir betreiben in der Firma eine Checkpoint R76, jedoch gibt es beim Filetransfer dauernd Abbrüche(TimeOuts) über den ...

Neue Wissensbeiträge
Humor (lol)
IoT-Gefahr: Smartes Aquarium leckt!
Information von Lochkartenstanzer vor 1 TagHumor (lol)3 Kommentare

Moin, Die IoT-Manie hat weitere Opfer gefunden. Ein Casino-Leck durch ein smartes Aquarium: Allerdings haben sie kein Wasser, sondern ...

Router & Routing

Alte Fritzbox 7270 mit VPN und SIP-Telefonie hinter O2 Homebox 6641 als "Modem"

Erfahrungsbericht von the-buccaneer vor 2 TagenRouter & Routing3 Kommentare

Nun war es soweit: Auch O2 hat mich mit VOIP zwangsbeglückt. Heute am Privatanschluss, in 2 Wochen ist das ...

Sicherheit

Ungepatchte Remote Code Execution-Lücke in LG NAS

Information von kgborn vor 2 TagenSicherheit

Nutzt wer LG NAS-Einheiten? In den NAS-Einheiten der LG Network Storage-Einheiten gibt es eine sehr unschöne Schwachstelle, die einen ...

Windows Update

Neue Version KB4099950 NIC Einstellungen gehen verloren

Information von sabines vor 2 TagenWindows Update2 Kommentare

Es ist eine neue Version des KB4099950 verfügbar, die das Problem mit den verlorenen Netzwerkeinstellungen lösen soll. Das Datum ...

Heiß diskutierte Inhalte
Linux Netzwerk
Raspberry Pi 3: WLAN Power save deaktivieren
Frage von nordie92Linux Netzwerk14 Kommentare

Moin moin, mein Raspberry Pi 3 Model B benötigt eine dauerhaft aktive WLAN-Verbindung. Leider bricht die WLAN-Verbindung nach einigen ...

Netzwerkmanagement
Netzwerkmanagment im Haus mit Switch, Panel und pfsense
gelöst Frage von CorraggiounoNetzwerkmanagement13 Kommentare

hi zusammen, wir sind gerade dabei das ganze Haus bzw. die einzelnen Zimmer mit netzwerkdosen zu versorgen. Vom Keller ...

Vmware
Server 2008 r2 vmware terminalserver
Frage von MasterCVmware12 Kommentare

Guten Abend zusammen, ich hoffe , dass einer von euch mir weiterhelfen kann ,bei meinem kack Problem ! Ist ...

Google Android
Empfehlung: Android Ortungsapp
gelöst Frage von certifiedit.netGoogle Android12 Kommentare

Guten Morgen, grundsätzlich vorweg, ich wollte mich eben schlau machen, bzgl einer Ortungsapp, welche Androidbasiert einem anderen Androidsmartphone mitteilt, ...