8
VPN in Subnetz hinter Router
Hallo an alle,
wir haben seit kurzen aufgrund von einer Empfehlung einen L3 Switch von Cisco bei uns installiert mit mehreren Subnetzen.
Gibt es eine Möglichkeit eine IPsec Verbindung zu den Subnetzen "hinter" dem Router herzustellen ohne das der Router in diesen Mitglied ist? Aktuell sind einfach statische routen für die Subnetze auf dem DrayTek zum Switch eingerichtet.
Danke!
KP
wir haben seit kurzen aufgrund von einer Empfehlung einen L3 Switch von Cisco bei uns installiert mit mehreren Subnetzen.
Gibt es eine Möglichkeit eine IPsec Verbindung zu den Subnetzen "hinter" dem Router herzustellen ohne das der Router in diesen Mitglied ist? Aktuell sind einfach statische routen für die Subnetze auf dem DrayTek zum Switch eingerichtet.
Danke!
KP
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 286811
Url: https://administrator.de/contentid/286811
Printed on: April 19, 2024 at 21:04 o'clock
8 Comments
Latest comment
Hi
ja, natürlich. Die statischen Routen brauchst du aber trotzdem, da der Traffic vom Draytek ja zu dem Cisco SG300 finden muss.
D.h. du machst deine VPN Config und gibst einfach bei den lokalen Netze das betreffende Subnetz ein. Dieses muss nicht direkt am Draytek anliegen
LG
ja, natürlich. Die statischen Routen brauchst du aber trotzdem, da der Traffic vom Draytek ja zu dem Cisco SG300 finden muss.
D.h. du machst deine VPN Config und gibst einfach bei den lokalen Netze das betreffende Subnetz ein. Dieses muss nicht direkt am Draytek anliegen
LG
Hallo catachan,
ok super!
Für PfSense habe ich das hier gefunden:
https://doc.pfsense.org/index.php/IPsec_with_Multiple_Subnets
Leider habe ich das schonmal probiert und bei einem zweiten Phase 2 Eintrag entsteht keine Verbindung.
Am DrayTek kann ich auch nicht mehrere Phase 2 Einträge einrichten, was mach ich denn da jetzt?
Edit:
http://www.draytek.com/index.php?option=com_k2&view=item&id=532 ...
Das hier ist ja genau umgekehrt wie ich es brauche...
Danke!
KP
ok super!
Für PfSense habe ich das hier gefunden:
https://doc.pfsense.org/index.php/IPsec_with_Multiple_Subnets
Leider habe ich das schonmal probiert und bei einem zweiten Phase 2 Eintrag entsteht keine Verbindung.
Am DrayTek kann ich auch nicht mehrere Phase 2 Einträge einrichten, was mach ich denn da jetzt?
Edit:
http://www.draytek.com/index.php?option=com_k2&view=item&id=532 ...
Das hier ist ja genau umgekehrt wie ich es brauche...
Danke!
KP
Gibt es eine Möglichkeit eine IPsec Verbindung zu den Subnetzen "hinter" dem Router herzustellen ohne das der Router in diesen Mitglied ist?
Was meinst du damit genau ??Ist dieses Subnetz NICHT am L3 Switch angeschlossen, also vollkommen isoliert ?
Leider ist vollkommen unklar was genau du erreichen willst bzw. WIE dieses Subnetz integriert ist un die L3 Umgebung.
Soll das 10.10.10.0 /24 Netz von allen Subnetzen auf der SG-300 Seite erreichbar sein und umgekehrt ?
Wenn ja ist das kinderleicht.
Der Draytek braucht ein paar statische Routen
- 10.10.40.0 /24 auf die 10.10.1.10
- 10.10.42.0 /24 auf die 10.10.1.10
- 10.10.10.0 /24 auf das IPsec Tunnelinterface
Die pfSense braucht 3 statische Routen:
- 10.10.40.0 /24 auf das IPsec Tunnelinterface
- 10.10.42.0 /24 auf das IPsec Tunnelinterface
- 10.10.1.0 /24 auf das IPsec Tunnelinterface
Der SG 300 hat eine default Route auf den Draytek //ip route 0.0.0.0 0.0.0.0.0 10.10.1.1
Das wars...
Details dazu wie immer hier:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Hallo aqui,
ich will von der PfSense Seite die Subnetze auf dem L3 Switch hinter dem DrayTek erreichen.
Leider kann ich keine statischen Route auf das Ipsec Interface legen:
https://forum.pfsense.org/index.php?topic=69203.0
Der DrayTek unterstützt auch leider nicht mehrere Phase 2 Einträge.
Deshalb weis ich jetzt nicht wie ich hier vorgehen soll... NAT vielleicht?
KP
ich will von der PfSense Seite die Subnetze auf dem L3 Switch hinter dem DrayTek erreichen.
Leider kann ich keine statischen Route auf das Ipsec Interface legen:
https://forum.pfsense.org/index.php?topic=69203.0
Der DrayTek unterstützt auch leider nicht mehrere Phase 2 Einträge.
Deshalb weis ich jetzt nicht wie ich hier vorgehen soll... NAT vielleicht?
KP
ich will von der PfSense Seite die Subnetze auf dem L3 Switch hinter dem DrayTek erreichen.
OK, wie vermutet. Da sist kinderleicht mit den oben besprochenen Routen !Der DrayTek unterstützt auch leider nicht mehrere Phase 2 Einträge.
OK, das ist ja kein Problem, dann trickse etwas mit der Netzmaske...Propagiere vom Draytek eine 11 Bit Maske (255.224.0.0) für das 10er Netzwerk an die pfSense. Die routet dann alles ab 10.31.0.0 in den Tunnel damit auch deine beiden 40er und 42er Netze.
Alternative ist ein dynamisches Routing Protokoll. Aktiviere einfach RIPv2 auf beiden Routern, das löst das problem auch sofort.
NAT ist Blödsinn...das löst dein Routing Problem ja nicht. Jetzt bitte nicht anfangen sinnfrei zu raten...
Propagiere vom Draytek eine 11 Bit Maske (255.224.0.0) für das 10er Netzwerk an die pfSense. Die routet dann alles ab 10.31.0.0 in den Tunnel damit auch deine beiden 40er und 42er Netze.
Das könnte ich zwar machen aber dann erreiche ich den 10.10.1.0/24 Bereich ja nicht mehr.Alternative ist ein dynamisches Routing Protokoll. Aktiviere einfach RIPv2 auf beiden Routern, das löst das problem auch sofort.
Puh, da muss ich erstmal schauen wie das funktioniert damit kenn ich mich überhaupt nicht aus...KP
Das könnte ich zwar machen aber dann erreiche ich den 10.10.1.0/24 Bereich ja nicht mehr.
Stimmt...fehlerhaftes IP Adressdesin von dir. Konntrest du aber nicht wissen wenn der Draytek eben nur solch schwaches Featureset hat bei IPsec.Alternative wäre den auch gegen einen pfSense zu tauschen...
Ansonsten mit dynamischen Routen schlau machen
Mit RIPv2 ist das eigentlich kinderleicht und einfach zu verstehen.
Ok danke, dann schau ich mir RIP mal an und der Draytek muss sowieso mal ersetzt werden.
Danke!
KP
Danke!
KP
