5
2 Standorte per VPN und eine weitere VPN
Mit 2 Draytek Vigor 2820
Hallo,
die Firma meines Arbeitgebers hat 2 Standorte, welche beide über einen Standard-DSL-Anschluss verfügen. Die beiden Standorte sind per LAN-LAN-VPN mit zwei identischen Draytek Vigor 2820 Routern verbunden.
Die Verbindung zwischen den beiden Standorten funktioniert weitestgehend, jeder Rechner des einen ist aus dem jeweils anderen Netz erreichbar.
Nun bestehen jedoch noch zwei Probleme, die ich bisher nicht lösen konnte:
1. An Standort A existiert ein lokaler DNS-Server, der für Standort B als alternativer DNS-Server dienen soll.
An Standort A funktioniert die Namensauflösung mit diesem Server einwandfrei, von Standort B ist das nicht möglich.
Vermutlich ließe sich das Problem lösen, indem man an Standort B die DNS-Server manuell festlegt? Es soll jedoch auch per DHCP funktionieren, was leider nicht klappt.
2. An Standort A existiert ein weiterer Router ("Router C"), der per VPN eine Verbindung zu einer "anderen / fremden" Firma herstellt.
Die statischen Routen zu den Rechnern der fremden Firma sind in den Router am Standort A eingetragen, von diesem Standort funtioniert das Routing dorthin ohne Probleme.
Der lokale DNS-Server an Standort A kommt dabei auch zum Einsatz, da die Rechner der fremden Firma per Namensauflösung angesprochen werden müssen.
Von Standort B funktioniert dies nicht: in der LAN-LAN Konfiguration des Routers an Standort B ist für den Adressbereich der anderen Firma als Gateway der Router an Standort A eingetragen, dessen Routing ja dort funktioniert.
Mache ich an Standort B ein tracert zur IP eines Rechners der fremden Firma, leitet der Router an Standort B dies zwar an den Router an Standort A weiter, aber das war's dann schon...
Ich hatte schon die Idee, als Gateway für die Adressen der fremden Firma, am Standort B den Router C direkt einzutragen, aber das ist bei der LAN-LAN Konfiguration nicht möglich - und bei den "normalen" statischen Routen geht das nur für das LAN.
Hier noch die IP-Adressen:
Standort A:
Router: 192.168.181.1
lokaler DNS-Server: 192.168.181.3
Router C (zur fremden Firma): 192.168.181.2
Adressen der fremden Firma: 195.65.101.x
Standort B:
Router: 192.168.182.1
Hat jemand von Euch eine Idee?
Gruß
Martin
die Firma meines Arbeitgebers hat 2 Standorte, welche beide über einen Standard-DSL-Anschluss verfügen. Die beiden Standorte sind per LAN-LAN-VPN mit zwei identischen Draytek Vigor 2820 Routern verbunden.
Die Verbindung zwischen den beiden Standorten funktioniert weitestgehend, jeder Rechner des einen ist aus dem jeweils anderen Netz erreichbar.
Nun bestehen jedoch noch zwei Probleme, die ich bisher nicht lösen konnte:
1. An Standort A existiert ein lokaler DNS-Server, der für Standort B als alternativer DNS-Server dienen soll.
An Standort A funktioniert die Namensauflösung mit diesem Server einwandfrei, von Standort B ist das nicht möglich.
Vermutlich ließe sich das Problem lösen, indem man an Standort B die DNS-Server manuell festlegt? Es soll jedoch auch per DHCP funktionieren, was leider nicht klappt.
2. An Standort A existiert ein weiterer Router ("Router C"), der per VPN eine Verbindung zu einer "anderen / fremden" Firma herstellt.
Die statischen Routen zu den Rechnern der fremden Firma sind in den Router am Standort A eingetragen, von diesem Standort funtioniert das Routing dorthin ohne Probleme.
Der lokale DNS-Server an Standort A kommt dabei auch zum Einsatz, da die Rechner der fremden Firma per Namensauflösung angesprochen werden müssen.
Von Standort B funktioniert dies nicht: in der LAN-LAN Konfiguration des Routers an Standort B ist für den Adressbereich der anderen Firma als Gateway der Router an Standort A eingetragen, dessen Routing ja dort funktioniert.
Mache ich an Standort B ein tracert zur IP eines Rechners der fremden Firma, leitet der Router an Standort B dies zwar an den Router an Standort A weiter, aber das war's dann schon...
Ich hatte schon die Idee, als Gateway für die Adressen der fremden Firma, am Standort B den Router C direkt einzutragen, aber das ist bei der LAN-LAN Konfiguration nicht möglich - und bei den "normalen" statischen Routen geht das nur für das LAN.
Hier noch die IP-Adressen:
Standort A:
Router: 192.168.181.1
lokaler DNS-Server: 192.168.181.3
Router C (zur fremden Firma): 192.168.181.2
Adressen der fremden Firma: 195.65.101.x
Standort B:
Router: 192.168.182.1
Hat jemand von Euch eine Idee?
Gruß
Martin
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 108097
Url: https://administrator.de/contentid/108097
Printed on: April 25, 2024 at 02:04 o'clock
5 Comments
Latest comment
Hi,
kurze Fragen noch vorweg:
kurze Fragen noch vorweg:
- Soll es nur einen DHCP geben insgesamt? (Dann wäre DHCP-Relay ein Thema)
- Gibt es Firewallregeln auf der Seite A, die es vielleicht verhinden könnten, dass eine DNS-Abfrage von A kommenden blockiert wird?
- Darf / Kann der DNS in A Antworten geben nach B? Sind ja unterschiedliche Netze... A: .181.0 und B: .182.0
- Reicht vielleicht ne Weiterleitung auf dem DNS in A auf den DNS in B wenn DNS in A die Adresse nicht kennt?
- Was ist das überhaupt für ein DNS??? Windows Server, BIND oder eine andere Hardware? Die DrayTec vielleicht?
- Kennt Router A das Zielnetz der Fremdfirma 195.65.101.0?
Der Router C von der Fremdfirma muss natuerlich auch eine statische Route zum LAN des Routers B eingetragen haben sonst kann das nicht funktionieren !!
Fehlt diese naemlich, kennt der Router C das LAN von Routrer B nicht und wuerde diese Pakete ins Internet routen wo sie dann auf Nimmerwiedersehen verschwinden da du ja vermutlich (hoffentlich) unterschiedliche RFC 1918 IP Adressen bzw. Netze lokal benutzt ??!!
Routing ist IMMER eine zweisetige Angelegenheit.
Ob diese Routen alle sauber eingetragen sind teilst du uns ja leider nicht mit
Das DNS Problem ist ein problem der Weiterleitung. DNS Server B muss nafragen die er nicht aufloesen kann dann an A weiterleiten.
Vermutlich ist die Namensaufloesung lediglich eine Fehlkonfiguration der DNS Server !
Fehlt diese naemlich, kennt der Router C das LAN von Routrer B nicht und wuerde diese Pakete ins Internet routen wo sie dann auf Nimmerwiedersehen verschwinden da du ja vermutlich (hoffentlich) unterschiedliche RFC 1918 IP Adressen bzw. Netze lokal benutzt ??!!
Routing ist IMMER eine zweisetige Angelegenheit.
Ob diese Routen alle sauber eingetragen sind teilst du uns ja leider nicht mit
Das DNS Problem ist ein problem der Weiterleitung. DNS Server B muss nafragen die er nicht aufloesen kann dann an A weiterleiten.
Vermutlich ist die Namensaufloesung lediglich eine Fehlkonfiguration der DNS Server !
Erstmal Danke für Eure Bemühungen,
es gibt an Standort A und B jeweils einen DHCP-Server (das machen die Router).
Die Firewall der Router habe ich vorübergehend deaktiviert, um das als Fehlerquelle ausschießen zu können.
DNS an Standort B funktioniert seit heute - es war ausreichend, im Router an diesem Standort als sekundären DNS den lokalen DNS (Windows 2003) von Standort A anzugeben
Router A kennt das Zielnetz der Fremdfirma - an Standort A funktioniert das Routing bereits problemlos.
In der LAN-LAN Konfiguration des Routers B habe ich für diese VPN-Verbindung neben dem Netz A (192.168.181.x) als weiteres Netz (195.65.101.x) das der Fremdfirma eingetragen.
@aqui: das mit der zweiseitigen Angelegenheit könnte die Ursache des Problems sein (siehe Vergleich der beiden tracert).
Das werde ich dann vermutlich nicht alleine lösen können, da ich keinen Zugriff auf die Konfiguration des Routers C habe - ich kenne lediglich die IP-Adresse des Routers. So werde ich Anfang der nächsten Woche den Admin der Fremdfirma bitten, das LAN von Router B in deren Router einzutragen.
Von Standort A zur Fremdfirma sieht ein tracert so aus:
C:\>tracert fremdfirma.xyz
Routenverfolgung zu fremdfirma.xyz [195.65.101.55] über maximal 30 Abschnitte:
1 138 ms 130 ms 1319 ms dip-01-102-1.misc.net [192.168.181.1]
2 1226 ms 1239 ms 1319 ms dip-01-101-1.misc.net [192.168.181.2]
3 1286 ms 1259 ms 1289 ms 193.25.10.13
4 1259 ms 1229 ms 1309 ms 172.23.2.4
...
8 1259 ms 1251 ms 1307 ms 195.65.101.55
Von Standort B zur Fremdfirma sieht es dagegen so aus:
C:\>tracert fremdfirma.xyz
Routenverfolgung zu fremdfirma.xyz [195.65.101.55] über maximal 30 Abschnitte:
1 110 ms 145 ms 143 ms my.router [192.168.182.1]
2 270 ms 1369 ms 1390 ms dip-01-101-1.misc.net [192.168.181.1]
3 * * * Zeitüberschreitung der Anforderung.
4 * * * Zeitüberschreitung der Anforderung.
...
Oder lässt sich da vielleicht tricksen, dass das korrekte Routing auch ohne einen Eingriff des Admins der Fremdfirma möglich ist?
es gibt an Standort A und B jeweils einen DHCP-Server (das machen die Router).
Die Firewall der Router habe ich vorübergehend deaktiviert, um das als Fehlerquelle ausschießen zu können.
DNS an Standort B funktioniert seit heute - es war ausreichend, im Router an diesem Standort als sekundären DNS den lokalen DNS (Windows 2003) von Standort A anzugeben
Router A kennt das Zielnetz der Fremdfirma - an Standort A funktioniert das Routing bereits problemlos.
In der LAN-LAN Konfiguration des Routers B habe ich für diese VPN-Verbindung neben dem Netz A (192.168.181.x) als weiteres Netz (195.65.101.x) das der Fremdfirma eingetragen.
@aqui: das mit der zweiseitigen Angelegenheit könnte die Ursache des Problems sein (siehe Vergleich der beiden tracert).
Das werde ich dann vermutlich nicht alleine lösen können, da ich keinen Zugriff auf die Konfiguration des Routers C habe - ich kenne lediglich die IP-Adresse des Routers. So werde ich Anfang der nächsten Woche den Admin der Fremdfirma bitten, das LAN von Router B in deren Router einzutragen.
Von Standort A zur Fremdfirma sieht ein tracert so aus:
C:\>tracert fremdfirma.xyz
Routenverfolgung zu fremdfirma.xyz [195.65.101.55] über maximal 30 Abschnitte:
1 138 ms 130 ms 1319 ms dip-01-102-1.misc.net [192.168.181.1]
2 1226 ms 1239 ms 1319 ms dip-01-101-1.misc.net [192.168.181.2]
3 1286 ms 1259 ms 1289 ms 193.25.10.13
4 1259 ms 1229 ms 1309 ms 172.23.2.4
...
8 1259 ms 1251 ms 1307 ms 195.65.101.55
Von Standort B zur Fremdfirma sieht es dagegen so aus:
C:\>tracert fremdfirma.xyz
Routenverfolgung zu fremdfirma.xyz [195.65.101.55] über maximal 30 Abschnitte:
1 110 ms 145 ms 143 ms my.router [192.168.182.1]
2 270 ms 1369 ms 1390 ms dip-01-101-1.misc.net [192.168.181.1]
3 * * * Zeitüberschreitung der Anforderung.
4 * * * Zeitüberschreitung der Anforderung.
...
Oder lässt sich da vielleicht tricksen, dass das korrekte Routing auch ohne einen Eingriff des Admins der Fremdfirma möglich ist?
Nein, das geht nur wenn du einen Adress Translation machst (NAT). Das waere aber ein erheblicher Eingriff in die gesamte IP Infrastruktur !
Besser also durch den Admin kurz die Routen auf C anpassen lassen.
Das sollte eine Sache von 3 Minuten sein !!
Besser also durch den Admin kurz die Routen auf C anpassen lassen.
Das sollte eine Sache von 3 Minuten sein !!
...es funktioniert jetzt nach Anpassung der Routen.
Ich danke Euch für die Hilfe!
Ich danke Euch für die Hilfe!
