Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

3 Standorte über 2 ipsec VPN-Tunnel miteinander verbinden

Frage Netzwerke Router & Routing

Mitglied: stefan909

stefan909 (Level 1) - Jetzt verbinden

07.11.2012 um 10:25 Uhr, 4170 Aufrufe, 6 Kommentare

Hallo zusammen,
in meinem ersten posting in diesem Forum, geht es um die Verschaltung von 2 ipsecVPNs. Habe dazu bereits fleißig geforscht...aber noch nicht die passende Info gefunden. Vielleicht hat ja hier jemand eine Idee...

Problemstellung:
Es sollen 3 Standorte über 2 ipsecVPN-Tunnel verbunden werden.
Die IP-Adressen sind im Folgenden nur beispielhaft gewählt.

Standort A
LAN: 192.168.1.0/24
GW: 192.168.1.1
WAN-IP: 80.1.2.3
|
ipsecVPN-Tunnel1
|
Standort B (Cisco RV042)
LAN: 10.10.10.0/24
GW: 10.10.10.1
WAN-IP: 81.1.2.3
|
ipsecVPN-Tunnel2
|
Standort C
LAN: 172.168.1.0/24
GW: 172.168.1.1
WAN-IP: 82.1.2.3

Beide Tunnel sind bereits aktiv, und man kann vom Standort B in das LAN von A und C pingen.
Dementsprechend natürlich auch von A nach B und von C nach B.
Was nicht funktioniert ist die Verbindung von A nach C oder umgekehrt.

Hier die relevanten Daten der aktuellen Konfigurationen der Tunnel (alle als Netz/Netz-Kopplung aufgesetzt):

Standort A
local ip: 80.1.2.3
local subnet: 192.168.1.0/24
remote ip: 81.1.2.3
remote subnet: 10.10.10.0/24

Standort B Tunnel1 (Richtung A)
local ip: 81.1.2.3
local subnet: 10.10.10.0/24
remote ip: 80.1.2.3
remote subnet:

Standort B Tunnel2 (Richtung C)
local ip: 81.1.2.3
local subnet: 10.10.10.0/24
remote ip: 82.1.2.3
remote subnet: 172.168.1.0/24

Standort C
local ip: 82.1.2.3
local subnet: 172.168.1.0/24
remote ip: 81.1.2.3
remote subnet: 10.10.10.0/24


Fragen:
Wie müsste die Konfiguration nach obigem Beispiel richtigerweise aussehen?
Sind zusätzliche routen und/oder Regeln erforderlich?
Ist der Router an Standort B (Cisco RV042 HW:03, FW:4.2.1.02-20120118) für dieses Vorhaben überhaupt geeignet - oder braucht man hier ein etwas "professionelleres" Gerät?

Vielen Dank im Voraus!
Gruß
Stefan
Mitglied: Chonta
07.11.2012 um 10:32 Uhr
Hallo,

dann muss den Routern von A und C noch eine Route mitegegeben werden, dass das jeweilige Netz über das Netz B erreichbar ist.
Evtl. muss beim Router B auch noch eingestellt werden das ihm erlaubt ist von A nach C zu routen

Gruß

Chonta
Bitte warten ..
Mitglied: brammer
07.11.2012 um 10:33 Uhr
Hallo,

wenn die Tunnel konfiguration schon passt benötigst du lediglich noch das entpsrechende Routing das Pakete aus Tunnel A in Standort B nach Standort c dürfen und natrülich den Weg in Gegenrichtung.

brammer
Bitte warten ..
Mitglied: stefan909
07.11.2012 um 17:34 Uhr
Hallo Chonta,
vielen Dank für die Antwort!
Sowas hatte ich mir auch schon überlegt...funktioniert in dem Setup aber leider nicht...

Also folgende routen habe ich hinzugefügt:

Standort A
dest gateway interface
172.168.1.0/24 10.10.10.1 LAN

Standort C
dest gateway interface
192.168.1.0/24 10.10.10.1 LAN

In der Firewall an Standort C
source dest interface action
any any LAN allow

Vieleicht noch ein Hinweis zum Setup:
Router A geht über einen speziellen APN per GPRS ins Internet und bekommt darüber eine fixe ip zugewiesen
Router B hängt hinter einem DSL-Modem und wählt sich per pppoe ins internet ein (dsl-business mit fixer ip)
Router C hängt hinter einem DSL-Router (dsl-business mit fixer ip) und erhält die ipsec-Pakete per portforwarding.

Noch eine Idee...oder stimmt die 10.10.10.1 als gateway nicht?

Gruß
Stefan
Bitte warten ..
Mitglied: Chonta
07.11.2012 um 17:59 Uhr
Hallo,

die Router sollten die möglichkeit haben eine Statische Route eintragen zu können.

Alle Router sind Teil eines VPN Netzes mit eigenem Adressraum.
Der Router A braucht um C erreichen zu können eine Statische Route für das lokale Netz von C mit der VPN-IP von B
Und C umgekehrt also eine Route für das Nezt von A mit Gatway IP von B.

Ich gehe mal davon aus, das sich A und C immer mit B verbinden und B so eine Art Server ist.
Ansonsten müsste man noch eine VPN Verbindung zwischen A und C separat aufbauen.

Denn jetzt würde wenn B ausfällt die Kommunikation zwischen A und C wegbrechen, wenn die aber eine eigene Verbindung haben kann B auch wegbrechen und die Kommunikation bleibt bestehen.

Gruß

Chonta
Bitte warten ..
Mitglied: panguu
08.11.2012, aktualisiert um 00:46 Uhr
Trotz dem Hinweis, dass es sich nur um Beispiel IPs handelt, solltest du mal deinen Standort C überprüfen!

172.168.x.x/24 ist kein Subnetz für den lokalen Gebrauch. Wenn schon, dann sollte eser richtigerweise etwas zwischen 172.16.0.0 mit ner Maske von 255.240.0.0 sein. Wähle also dein 24erFreund subnet aus zwischen 172.16.0.0 und 172.31.0.0 aus (zum Beispiel 172.16.20.0/24)
Bitte warten ..
Mitglied: stefan909
13.11.2012 um 16:14 Uhr
Hallo zusammen,
mit dem routing hat das nicht funktioniert...aber so geht es dann doch:

An Standort A und C habe ich in der Tunnel-Konfiguration als "remote subnet" jeweils 0.0.0.0/0 also "any" eingetragen.
Die beiden Tunnel die von B abgehen, haben dann als "local subnet" jeweils 0.0.0.0/0

Also so...

Standort A
local ip: 80.1.2.3
local subnet: 192.168.1.0/24
remote ip: 81.1.2.3
remote subnet: 0.0.0.0/0

Standort B Tunnel1 (Richtung A)
local ip: 81.1.2.3
local subnet: 0.0.0.0/0
remote ip: 80.1.2.3
remote subnet:

Standort B Tunnel2 (Richtung C)
local ip: 81.1.2.3
local subnet: 0.0.0.0/0
remote ip: 82.1.2.3
remote subnet: 172.168.1.0/24

Standort C
local ip: 82.1.2.3
local subnet: 172.168.1.0/24
remote ip: 81.1.2.3
remote subnet: 0.0.0.0/0

Nun ist es von jedem Standort aus möglich die anderen Netze zu erreichen.

@panguu: Habe Deinen Hinweis verstanden...lasse die Beispieladressen aber mal so, um keine zusätzliche Verwirrung zu stiften.

Vielen Dank an alle für die Lösungsvorschläge!

Gruß
Stefan
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Drei Standorte über VPN miteinander Verbinden
gelöst Frage von Diamond72Router & Routing16 Kommentare

Hallo zusammen, ich möchte gerne drei Standorte netzwerktechnisch per VPN miteinander verbinden, sodass alle drei Standorte in einem Netzwerk ...

Router & Routing
18 Standorte via IPSEC VPN verbinden
gelöst Frage von NichtsnutzRouter & Routing26 Kommentare

Hallo Mitstreiter, es geht um einen Kunden, der eine zentrale Niederlassung mit 18 kleinen Außenstellen hat, in denen jeweils ...

Router & Routing
2 Vlans miteinander verbinden
Frage von ChristianV8Router & Routing35 Kommentare

Hallo, ich habe 2 Vlans mit Layer2 Switch TP-Link TL-SG2452 getrennnt. Ich besitze 2 Synology DS414 NAS-Diskstations von denen ...

LAN, WAN, Wireless
2 Accesspoints miteinander verbinden
Frage von Didi2014LAN, WAN, Wireless12 Kommentare

Hallo zusammen, ich habe folgendes Szenario: Ein Accesspoint (Netgear) verteilt wireless DHCP – Adressen. Dieser ist direkt an einer ...

Neue Wissensbeiträge
Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 7 StundenWindows 101 Kommentar

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 9 StundenSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 23 StundenInternet3 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 1 TagDSL, VDSL2 Kommentare

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Heiß diskutierte Inhalte
TK-Netze & Geräte
VPN-fähige IP-Telefone
Frage von the-buccaneerTK-Netze & Geräte16 Kommentare

Hi! Weiss noch jemand ein VPN-fähiges IP-Telefon mit dem man z.B. einen Heimarbeitsplatz gesichert anbinden könnte? Habe nur einen ...

Hardware
Links klick bei Maus funktioniert nicht
gelöst Frage von Pablu23Hardware16 Kommentare

Hallo erstmal. Ich habe ein Problem mit meiner relativ alten maus jedoch denke ich nicht das es an der ...

Windows Server
Anmeldung direkt am DC nicht möglich
Frage von ThomasGrWindows Server16 Kommentare

Hallo, ich habe bei unserem Server 2016 Standard ein Problem. Keine Ahnung wie das auf einmal passiert ist. Ich ...

Windows Server
KMS Facts for Client configuration
Frage von winlinWindows Server12 Kommentare

Hey Leute, wir haben in unserem Netz nun einen neuen KMS Server. Haben Bestands-VMs die noch nicht aktiviert sind. ...