Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

3 Standorte über 2 ipsec VPN-Tunnel miteinander verbinden

Frage Netzwerke Router & Routing

Mitglied: stefan909

stefan909 (Level 1) - Jetzt verbinden

07.11.2012 um 10:25 Uhr, 3840 Aufrufe, 6 Kommentare

Hallo zusammen,
in meinem ersten posting in diesem Forum, geht es um die Verschaltung von 2 ipsecVPNs. Habe dazu bereits fleißig geforscht...aber noch nicht die passende Info gefunden. Vielleicht hat ja hier jemand eine Idee...

Problemstellung:
Es sollen 3 Standorte über 2 ipsecVPN-Tunnel verbunden werden.
Die IP-Adressen sind im Folgenden nur beispielhaft gewählt.

Standort A
LAN: 192.168.1.0/24
GW: 192.168.1.1
WAN-IP: 80.1.2.3
|
ipsecVPN-Tunnel1
|
Standort B (Cisco RV042)
LAN: 10.10.10.0/24
GW: 10.10.10.1
WAN-IP: 81.1.2.3
|
ipsecVPN-Tunnel2
|
Standort C
LAN: 172.168.1.0/24
GW: 172.168.1.1
WAN-IP: 82.1.2.3

Beide Tunnel sind bereits aktiv, und man kann vom Standort B in das LAN von A und C pingen.
Dementsprechend natürlich auch von A nach B und von C nach B.
Was nicht funktioniert ist die Verbindung von A nach C oder umgekehrt.

Hier die relevanten Daten der aktuellen Konfigurationen der Tunnel (alle als Netz/Netz-Kopplung aufgesetzt):

Standort A
local ip: 80.1.2.3
local subnet: 192.168.1.0/24
remote ip: 81.1.2.3
remote subnet: 10.10.10.0/24

Standort B Tunnel1 (Richtung A)
local ip: 81.1.2.3
local subnet: 10.10.10.0/24
remote ip: 80.1.2.3
remote subnet:

Standort B Tunnel2 (Richtung C)
local ip: 81.1.2.3
local subnet: 10.10.10.0/24
remote ip: 82.1.2.3
remote subnet: 172.168.1.0/24

Standort C
local ip: 82.1.2.3
local subnet: 172.168.1.0/24
remote ip: 81.1.2.3
remote subnet: 10.10.10.0/24


Fragen:
Wie müsste die Konfiguration nach obigem Beispiel richtigerweise aussehen?
Sind zusätzliche routen und/oder Regeln erforderlich?
Ist der Router an Standort B (Cisco RV042 HW:03, FW:4.2.1.02-20120118) für dieses Vorhaben überhaupt geeignet - oder braucht man hier ein etwas "professionelleres" Gerät?

Vielen Dank im Voraus!
Gruß
Stefan
Mitglied: Chonta
07.11.2012 um 10:32 Uhr
Hallo,

dann muss den Routern von A und C noch eine Route mitegegeben werden, dass das jeweilige Netz über das Netz B erreichbar ist.
Evtl. muss beim Router B auch noch eingestellt werden das ihm erlaubt ist von A nach C zu routen

Gruß

Chonta
Bitte warten ..
Mitglied: brammer
07.11.2012 um 10:33 Uhr
Hallo,

wenn die Tunnel konfiguration schon passt benötigst du lediglich noch das entpsrechende Routing das Pakete aus Tunnel A in Standort B nach Standort c dürfen und natrülich den Weg in Gegenrichtung.

brammer
Bitte warten ..
Mitglied: stefan909
07.11.2012 um 17:34 Uhr
Hallo Chonta,
vielen Dank für die Antwort!
Sowas hatte ich mir auch schon überlegt...funktioniert in dem Setup aber leider nicht...

Also folgende routen habe ich hinzugefügt:

Standort A
dest gateway interface
172.168.1.0/24 10.10.10.1 LAN

Standort C
dest gateway interface
192.168.1.0/24 10.10.10.1 LAN

In der Firewall an Standort C
source dest interface action
any any LAN allow

Vieleicht noch ein Hinweis zum Setup:
Router A geht über einen speziellen APN per GPRS ins Internet und bekommt darüber eine fixe ip zugewiesen
Router B hängt hinter einem DSL-Modem und wählt sich per pppoe ins internet ein (dsl-business mit fixer ip)
Router C hängt hinter einem DSL-Router (dsl-business mit fixer ip) und erhält die ipsec-Pakete per portforwarding.

Noch eine Idee...oder stimmt die 10.10.10.1 als gateway nicht?

Gruß
Stefan
Bitte warten ..
Mitglied: Chonta
07.11.2012 um 17:59 Uhr
Hallo,

die Router sollten die möglichkeit haben eine Statische Route eintragen zu können.

Alle Router sind Teil eines VPN Netzes mit eigenem Adressraum.
Der Router A braucht um C erreichen zu können eine Statische Route für das lokale Netz von C mit der VPN-IP von B
Und C umgekehrt also eine Route für das Nezt von A mit Gatway IP von B.

Ich gehe mal davon aus, das sich A und C immer mit B verbinden und B so eine Art Server ist.
Ansonsten müsste man noch eine VPN Verbindung zwischen A und C separat aufbauen.

Denn jetzt würde wenn B ausfällt die Kommunikation zwischen A und C wegbrechen, wenn die aber eine eigene Verbindung haben kann B auch wegbrechen und die Kommunikation bleibt bestehen.

Gruß

Chonta
Bitte warten ..
Mitglied: panguu
08.11.2012, aktualisiert um 00:46 Uhr
Trotz dem Hinweis, dass es sich nur um Beispiel IPs handelt, solltest du mal deinen Standort C überprüfen!

172.168.x.x/24 ist kein Subnetz für den lokalen Gebrauch. Wenn schon, dann sollte eser richtigerweise etwas zwischen 172.16.0.0 mit ner Maske von 255.240.0.0 sein. Wähle also dein 24erFreund subnet aus zwischen 172.16.0.0 und 172.31.0.0 aus (zum Beispiel 172.16.20.0/24)
Bitte warten ..
Mitglied: stefan909
13.11.2012 um 16:14 Uhr
Hallo zusammen,
mit dem routing hat das nicht funktioniert...aber so geht es dann doch:

An Standort A und C habe ich in der Tunnel-Konfiguration als "remote subnet" jeweils 0.0.0.0/0 also "any" eingetragen.
Die beiden Tunnel die von B abgehen, haben dann als "local subnet" jeweils 0.0.0.0/0

Also so...

Standort A
local ip: 80.1.2.3
local subnet: 192.168.1.0/24
remote ip: 81.1.2.3
remote subnet: 0.0.0.0/0

Standort B Tunnel1 (Richtung A)
local ip: 81.1.2.3
local subnet: 0.0.0.0/0
remote ip: 80.1.2.3
remote subnet:

Standort B Tunnel2 (Richtung C)
local ip: 81.1.2.3
local subnet: 0.0.0.0/0
remote ip: 82.1.2.3
remote subnet: 172.168.1.0/24

Standort C
local ip: 82.1.2.3
local subnet: 172.168.1.0/24
remote ip: 81.1.2.3
remote subnet: 0.0.0.0/0

Nun ist es von jedem Standort aus möglich die anderen Netze zu erreichen.

@panguu: Habe Deinen Hinweis verstanden...lasse die Beispieladressen aber mal so, um keine zusätzliche Verwirrung zu stiften.

Vielen Dank an alle für die Lösungsvorschläge!

Gruß
Stefan
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Router & Routing
gelöst 18 Standorte via IPSEC VPN verbinden (26)

Frage von Nichtsnutz zum Thema Router & Routing ...

Windows Server
Entfernte Standorte miteinander verbinden AD und Exchange (8)

Frage von Z006 zum Thema Windows Server ...

Netzwerkmanagement
Heimnetzwerk über Fritzbox per VPN mit vServer verbinden (6)

Frage von StefanT81 zum Thema Netzwerkmanagement ...

LAN, WAN, Wireless
gelöst L2TP-IPsec VPN pfSense 2.3 (6)

Frage von maddig zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (9)

Frage von JayyyH zum Thema Switche und Hubs ...

Backup
Clients als Server missbrauchen? (9)

Frage von 1410640014 zum Thema Backup ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...