8
2 Router , 2x Internet , ein Netzwerk und VPN
Hallo,
habe folgendes Problem:
2x Internet (1x ADSL, 1 xSDSL), 2x MonoWall als Firewall/Router, VPN über IPSec über beide Leitungen, ein Subnetz.
Bis vor kurzem lief alles nur über die ADSL Leitung, insofern natürlich keine Probleme. Jetzt ist noch die SDSL Leitung dazugekomen.
Über SDSL Leitung soll nur ein weiterer VPN Tunnel in das vorhandene Netz geroutet werden. Blöde Frage: Wie mach ich das?
Die Monowall vom SDSL hat eine eigene IPAdresse im Netz, VPN zur Monowall steht auch, ich kann aber weiteren PCs im Netz anpingen, weil
die ja über das Gateway der ADSL Leitung laufen.
Also Prinzipiell:
Monowall 1 : 192.168.1.1 ADSL
Monowall 2 : 192.168.1.2 SDSL
Alle PCs haben aktuell die Monowall 1 als Gateway, Ping von Monowall 2 ins Netz z.b. an die 192.168.1.100 geht nicht.
Hoffe ich hab mich da nun nicht völlig wirr ausgedrückt und jemand kann mir da helfen^^.
habe folgendes Problem:
2x Internet (1x ADSL, 1 xSDSL), 2x MonoWall als Firewall/Router, VPN über IPSec über beide Leitungen, ein Subnetz.
Bis vor kurzem lief alles nur über die ADSL Leitung, insofern natürlich keine Probleme. Jetzt ist noch die SDSL Leitung dazugekomen.
Über SDSL Leitung soll nur ein weiterer VPN Tunnel in das vorhandene Netz geroutet werden. Blöde Frage: Wie mach ich das?
Die Monowall vom SDSL hat eine eigene IPAdresse im Netz, VPN zur Monowall steht auch, ich kann aber weiteren PCs im Netz anpingen, weil
die ja über das Gateway der ADSL Leitung laufen.
Also Prinzipiell:
Monowall 1 : 192.168.1.1 ADSL
Monowall 2 : 192.168.1.2 SDSL
Alle PCs haben aktuell die Monowall 1 als Gateway, Ping von Monowall 2 ins Netz z.b. an die 192.168.1.100 geht nicht.
Hoffe ich hab mich da nun nicht völlig wirr ausgedrückt und jemand kann mir da helfen^^.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 261706
Url: https://administrator.de/contentid/261706
Printed on: April 26, 2024 at 21:04 o'clock
8 Comments
Latest comment
Moin,
Was spricht dagegen, beide Leitungen an eine Monowall anzuschließen und über diese dann die Trafficverteilung zu machen.
lks
Was spricht dagegen, beide Leitungen an eine Monowall anzuschließen und über diese dann die Trafficverteilung zu machen.
lks
wie lks schon sagt, ansonsten eine passende rückroute vom ADSL-Mono zum SDSL-Mono bauen?
Besser wäre wohl die Lösung mit der Rückroute.
Was trag ich denn da ein? Bei der MonoWall kann ich ja Static Routes anlegen.
Als Destination Network wäre es dann ja das gleiche, oder? also die 192.168.1.0/24 und als Gateway eben die IP der SDSL Mono (192.168.1.2), oder?
Danach sollte ich über das VPN der SDSL Mono ja eigentlich ins Netz pingen können, oder versteh ich das falsch?
Was trag ich denn da ein? Bei der MonoWall kann ich ja Static Routes anlegen.
Als Destination Network wäre es dann ja das gleiche, oder? also die 192.168.1.0/24 und als Gateway eben die IP der SDSL Mono (192.168.1.2), oder?
Danach sollte ich über das VPN der SDSL Mono ja eigentlich ins Netz pingen können, oder versteh ich das falsch?
Die generelle Frage ist ja WELCHE der beiden Monowalls bei dir das Default Gateway für die Endgeräte ist ?? Mit den 2 FWs im loklaen LAN Netz hast du ja genau 2 Möglichkeiten sofern du kein HA Design mit den beiden FWs benutzt.
Oder ist das verteilt, das fifty der Endgeräte Mono 1 als Gateway haben und das andere fifty die Mono 2 ?? Oder allen nur Mono 1 oder Mono 2 ??
Leider keinerlei Aussage dazu von dir
Mal ein Beispiel:
Gesetzt den Fall am Mono 1 ist ein VPN was das remote Netzwerk 192.168.10.0 /24 bedient und an Mono 2 ein VPN was das Netzwerk 192.168.20.0 /24 per VPN bedient.
Für Endgeräte die Mono 1 als Gateway haben ist das remote .10.0er Netz natürlich kein Problem, denn das kennt deren FW ja. Nicht aber das .20.0er Netz und vive versa für Mono 2.
Dafür musst du nun eine statische Route an Mono 1 eintragen:
Zielnetz: 192.168.20.0, Maske: 255.255.255.0, Gateway: 192.168.1.2
Du erkennst das Prinzip.... ???
Also dann analog auch so auf der anderen FW:
Zielnetz: 192.168.10.0, Maske: 255.255.255.0, Gateway: 192.168.1.1
Fertig ist der Lack !
Traceroute und / oder Pathping zeigen dir dann das Ergebnis !
Oder ist das verteilt, das fifty der Endgeräte Mono 1 als Gateway haben und das andere fifty die Mono 2 ?? Oder allen nur Mono 1 oder Mono 2 ??
Leider keinerlei Aussage dazu von dir
Mal ein Beispiel:
Gesetzt den Fall am Mono 1 ist ein VPN was das remote Netzwerk 192.168.10.0 /24 bedient und an Mono 2 ein VPN was das Netzwerk 192.168.20.0 /24 per VPN bedient.
Für Endgeräte die Mono 1 als Gateway haben ist das remote .10.0er Netz natürlich kein Problem, denn das kennt deren FW ja. Nicht aber das .20.0er Netz und vive versa für Mono 2.
Dafür musst du nun eine statische Route an Mono 1 eintragen:
Zielnetz: 192.168.20.0, Maske: 255.255.255.0, Gateway: 192.168.1.2
Du erkennst das Prinzip.... ???
Also dann analog auch so auf der anderen FW:
Zielnetz: 192.168.10.0, Maske: 255.255.255.0, Gateway: 192.168.1.1
Fertig ist der Lack !
Traceroute und / oder Pathping zeigen dir dann das Ergebnis !
Ok, ich denkmal, du hast Dich oben nur verschrieben und Mono 2 hat ein VPN mit 192.168.20.0/24.
Hoff mal, dass ich das nun richtig gepeilt hab....
Default Gateway ist das der Monowall 1, also die 192.168.1.1, da läuft bislang alles drüber.
Insofern hab ich also Fall 1, mit eben Zielnetz 192.168.20.0/24 und Gateway 192.168.1.2
Teste ich nachher gleich noch und geb dann bescheid, vielen Dank schonmal
Hoff mal, dass ich das nun richtig gepeilt hab....
Default Gateway ist das der Monowall 1, also die 192.168.1.1, da läuft bislang alles drüber.
Insofern hab ich also Fall 1, mit eben Zielnetz 192.168.20.0/24 und Gateway 192.168.1.2
Teste ich nachher gleich noch und geb dann bescheid, vielen Dank schonmal
*seufz*
So, hab nun eine static Route von Mono 1 (192.168.1.1), mit dem Zielnetz 192.168.20.0/24 und dem Gateway Mono 2 192.168.1.2
Hab ausserdem in der Firewall der "Mono 1" Firewallregeln für TCP und ICMP angelegt:
Source 192.168.20.0/24 Destination 192.168.1.0/24
Kann jetzt über das VPN der Mono 2(192.168.20.0) die Mono 1 anpingen und komm auch auf das Webinterface.
Nur kann ich immer noch nix dahinter anpingen...also nicht z.b. die 192.168.1.100
Bekomme in der Logs der Mono 1 : 16:10:48.895463 | LAN | Source : 192.168.1.100 | Destination :192.168.20.150, type echoreply/0 | ICMP
Hatte deshalb jetzt auch mal eine Firewallregel quasi umgekehrt erstellt Source : 192.168.1.0/24 Destination 192.168.20.0/24
Wird aber trotzdem noch geblockt...
Zusatz:
Ich kann auch über die Monowall im Netz pingen. Wenn ich über die Mono 2 die 192.168.1.100 anpinge, bekomme ich eine Antwort, über die VPN Verbindung aber, wie schon geschrieben, nicht
.
So, hab nun eine static Route von Mono 1 (192.168.1.1), mit dem Zielnetz 192.168.20.0/24 und dem Gateway Mono 2 192.168.1.2
Hab ausserdem in der Firewall der "Mono 1" Firewallregeln für TCP und ICMP angelegt:
Source 192.168.20.0/24 Destination 192.168.1.0/24
Kann jetzt über das VPN der Mono 2(192.168.20.0) die Mono 1 anpingen und komm auch auf das Webinterface.
Nur kann ich immer noch nix dahinter anpingen...also nicht z.b. die 192.168.1.100
Bekomme in der Logs der Mono 1 : 16:10:48.895463 | LAN | Source : 192.168.1.100 | Destination :192.168.20.150, type echoreply/0 | ICMP
Hatte deshalb jetzt auch mal eine Firewallregel quasi umgekehrt erstellt Source : 192.168.1.0/24 Destination 192.168.20.0/24
Wird aber trotzdem noch geblockt...
Zusatz:
Ich kann auch über die Monowall im Netz pingen. Wenn ich über die Mono 2 die 192.168.1.100 anpinge, bekomme ich eine Antwort, über die VPN Verbindung aber, wie schon geschrieben, nicht
.du hast Dich oben nur verschrieben und Mono 2 hat ein VPN mit 192.168.20.0/24.
Ahem...steht doch da, oder ?Default Gateway ist das der Monowall 1, also die 192.168.1.1, da läuft bislang alles drüber.
OK, sehr schlechtes und dilltettantisches Design, denn so hast du ja keinerlei Ausfallsicherheit im etz wenn die mal weg ist !! Dann steht dein gesamtes ! Routing im Netz. Besser ne pfSense flashen und ein HA Cluster mit beiden machen ! Aber nundenn...nehmen wir das erstmal so wie es ist.Gut wenn das das default Gateway ist kommen hier auch allein alle statischen Routen hin.
hab nun eine static Route von Mono 1 (192.168.1.1), mit dem Zielnetz 192.168.20.0/24 und dem Gateway Mono 2 192.168.1.2
Ist denn dein remotes VPN was du über die Mono 2 bedienst denn das 192.168.20.0/24 er Netz oder hast du diese Beispiel IP jetzt fälschlicherweise abgetippt ??Dort musst du natürlich DEIN IP Netz einsetzen was du über den VPN Tunnel erreichst !!
Hab ausserdem in der Firewall der "Mono 1" Firewallregeln für TCP und ICMP angelegt:
Die Aussage ist sinnfrei wenn du uns nicht das Interface mitteilst WO diese Regeln aktiv sind Kann jetzt über das VPN der Mono 2(192.168.20.0) die Mono 1 anpingen und komm auch auf das Webinterface.
Sehr gut ! Dann geht soweit alles und es scheitert vermutlich nur an den Firewall Regeln ?!Hast du dazu mal ins Firewall Log gesehen um zu checken WAS die FW filtert bzw. blockiert ?
Wird aber trotzdem noch geblockt...
Bedenke das FW Regeln nur inbound greifen also nur Traffic betreffen der ins FW Interface reinfliesst quasi !Irgendwo hast du ne falsche Regel !
Check auch mal die virtuellen VPN Interfaces das die regeln dort auch Fehlerfrei sind !
Hallo,
erstmal vielen Dank, an alle die geholfen haben. Soweit funktioniert alles (mehr oder weniger), der Fehler liegt blöderweise wo anders, werd deshalb aber vielleicht besser einen extra Thread aufmachen.
Hab halt das Problem, dass ich das ganze "geerbt" hab und mich erst ein wenig ein alles einarbeiten muss. Hab jetzt halt 4 Tunnel und 2 Tunnel davon aus den gleichen subnetzen, beide aus 192.168.1.0/24. Deaktivier ich den einen, funktioniert der andere und umgekehrt....
erstmal vielen Dank, an alle die geholfen haben. Soweit funktioniert alles (mehr oder weniger), der Fehler liegt blöderweise wo anders, werd deshalb aber vielleicht besser einen extra Thread aufmachen.
Hab halt das Problem, dass ich das ganze "geerbt" hab und mich erst ein wenig ein alles einarbeiten muss. Hab jetzt halt 4 Tunnel und 2 Tunnel davon aus den gleichen subnetzen, beide aus 192.168.1.0/24. Deaktivier ich den einen, funktioniert der andere und umgekehrt....