7
FritzBox,VPN, Routing und Gateway - Denkfehler
Moin Gemeinde,
vielleicht hab ich ja nur nen Denkfehler. Folgendes Problem:
Standort 1: FritzBox 6840 LTE - Netz: 192.168.0.x
Standort 2: FritzBox 7270 Netz: 192.168.10.x
VPN-Tunnel zwischen den Netzen funktioniert.
Am Standort 2 befindet sich noch ein Proxy!
Vom Standort 1 erreiche ich nur die Clients (am Standort 2), die als Gateway
die FritzBox haben. Die Clients die über den Proxy laufen kann ich nicht erreichen.
Die FritzBox lässt kein 255.255.255.255 zu (angeblich ungültige Subnetzmaske)
Liegt das Problem bei der FritzBox oder zwischen meinen Ohren?
Bitte jetzt keine Hinweise über "Standortverknüpfung via AVM = macht man nicht" oder
"Fritzbox austauschen gegen anständigen Router"!!
Geht nicht anders...
Zweimal Astaro wär mir auch lieber 
Danke für´s Brainstorming...
Gruß
vielleicht hab ich ja nur nen Denkfehler. Folgendes Problem:
Standort 1: FritzBox 6840 LTE - Netz: 192.168.0.x
Standort 2: FritzBox 7270 Netz: 192.168.10.x
VPN-Tunnel zwischen den Netzen funktioniert.
Am Standort 2 befindet sich noch ein Proxy!
Vom Standort 1 erreiche ich nur die Clients (am Standort 2), die als Gateway
die FritzBox haben. Die Clients die über den Proxy laufen kann ich nicht erreichen.
Die FritzBox lässt kein 255.255.255.255 zu (angeblich ungültige Subnetzmaske)
Liegt das Problem bei der FritzBox oder zwischen meinen Ohren?
Bitte jetzt keine Hinweise über "Standortverknüpfung via AVM = macht man nicht" oder
"Fritzbox austauschen gegen anständigen Router"!!
Geht nicht anders...
Zweimal Astaro wär mir auch lieber Danke für´s Brainstorming...
Gruß
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 210692
Url: https://administrator.de/contentid/210692
Printed on: April 25, 2024 at 05:04 o'clock
7 Comments
Latest comment
Hi padix72,
eine Skizze wär ganz schön. Sind die Clients die hinterm Proxy hängen in einem anderen Subnetz? Transparenter Proxy vermute ich?
So spontan würde ich mal auf den Proxy tippen, oder die ACL, falls die anderen Clients in einem anderen Subnetz hängen.
Gruß
bronkz
eine Skizze wär ganz schön. Sind die Clients die hinterm Proxy hängen in einem anderen Subnetz? Transparenter Proxy vermute ich?
So spontan würde ich mal auf den Proxy tippen, oder die ACL, falls die anderen Clients in einem anderen Subnetz hängen.
Gruß
bronkz
Hi bronkz,
Skizze kommt sobald ich meine künstlerische Ader gefunden hab...
Ansonsten: Clients sind im gleichen Subnet und hängen hinterm transp. Proxy (is UGPF 6.0 v. EntenSys). Ein Bintec VPN5 im 192.168.20.x-Netz (Standort 3) geht ohne Probleme, da konnte ich auch /32er eintragen nur die olle FritzBox lässt das nicht zu *zum_heulen*
"Access Control"-mäßig hab schon mal zum testen "any/all/both/tcp/udp/gre/esp" (alles was geht)zugelassen...Proxy kann ich auch anpingen...wenn ich vom Standort 1 nen routing auf den entfernten Proxy eingeben will, geht auch nicht...oder wäre in der tunnel-config ein
accesslist = "permit ip any 192.168.10.proxy 255.255.255.255"
zusätlich sinnvoll statt
accesslist = "permit ip any 192.168.10.0 255.255.255.0"
das ganze Netz oder ehr sinnfrei, hab ich, muss ich gestehen, noch nicht getestet - erschien mir unlogisch?
Gruß und Dank
Skizze kommt sobald ich meine künstlerische Ader gefunden hab...
Ansonsten: Clients sind im gleichen Subnet und hängen hinterm transp. Proxy (is UGPF 6.0 v. EntenSys). Ein Bintec VPN5 im 192.168.20.x-Netz (Standort 3) geht ohne Probleme, da konnte ich auch /32er eintragen nur die olle FritzBox lässt das nicht zu *zum_heulen*
"Access Control"-mäßig hab schon mal zum testen "any/all/both/tcp/udp/gre/esp" (alles was geht)zugelassen...Proxy kann ich auch anpingen...wenn ich vom Standort 1 nen routing auf den entfernten Proxy eingeben will, geht auch nicht...oder wäre in der tunnel-config ein
accesslist = "permit ip any 192.168.10.proxy 255.255.255.255"
zusätlich sinnvoll statt
accesslist = "permit ip any 192.168.10.0 255.255.255.0"
das ganze Netz oder ehr sinnfrei, hab ich, muss ich gestehen, noch nicht getestet - erschien mir unlogisch?
Gruß und Dank
Hallo,
Ist doch auch korrekt so. Du pingst diese Clients an und die Antwort auch korrekt indem diese Clients ihre Antwort an deren (Default) Gateway senden. Das ist der andere genannte Proxy. Dieser stellt fest dieses Paket (Antwort des Clients auf dein Ping) ist für ein ihm unbekanntes Netz und leitet das an sein(Default) Gateway weiter (Inet?) oder wenn er gut ist und feststellt das das Ziel ein Privates Netz ist, das Paket verwirft. Die Antwort auf dein Ping kann folgerichtig niemals bei dir ankommen weil eben kein Route zu deinem (Ziel) Netz existiert für den weg den diese Clients nutzen müssen. Grundlagen Routing. An diesem Proxy eine Route definieren - nur eine Richtung reicht.
Gruß,
Peter
PS: http://www.magicpub.com/netprimer/acronyms.html
Ist doch auch korrekt so. Du pingst diese Clients an und die Antwort auch korrekt indem diese Clients ihre Antwort an deren (Default) Gateway senden. Das ist der andere genannte Proxy. Dieser stellt fest dieses Paket (Antwort des Clients auf dein Ping) ist für ein ihm unbekanntes Netz und leitet das an sein(Default) Gateway weiter (Inet?) oder wenn er gut ist und feststellt das das Ziel ein Privates Netz ist, das Paket verwirft. Die Antwort auf dein Ping kann folgerichtig niemals bei dir ankommen weil eben kein Route zu deinem (Ziel) Netz existiert für den weg den diese Clients nutzen müssen. Grundlagen Routing. An diesem Proxy eine Route definieren - nur eine Richtung reicht.
Die FritzBox lässt kein 255.255.255.255 zu (angeblich ungültige Subnetzmaske)
Was isr daran so merkwürdig?Liegt das Problem bei der FritzBox oder zwischen meinen Ohren?
PICNIC oder PEBKAC Gruß,
Peter
PS: http://www.magicpub.com/netprimer/acronyms.html
Hallo Peter,
vielleicht ist das auch schon zu viel Gebastel für heut...
aber genau das ist mein Problem, vom 10.x - Netz (übern Proxy) komm ich ja ins 0.x -Netz. Nur wo muss die Route hin, dass die 0er-Pakte über´n Proxy laufen? Der Tunnel hat doch als "Gateway" die FritzBox (.10.fritzbox) - deshalb wollt ich (0.x) von der FB zum Proxy routen.
Wenn das jetzt totale Grütze is...vergessen wir es für heute
Noch einmal drüber nächtigen...
vielleicht ist das auch schon zu viel Gebastel für heut...
aber genau das ist mein Problem, vom 10.x - Netz (übern Proxy) komm ich ja ins 0.x -Netz. Nur wo muss die Route hin, dass die 0er-Pakte über´n Proxy laufen? Der Tunnel hat doch als "Gateway" die FritzBox (.10.fritzbox) - deshalb wollt ich (0.x) von der FB zum Proxy routen.
Wenn das jetzt totale Grütze is...vergessen wir es für heute
Noch einmal drüber nächtigen...
Da Clients und Proxy ja im gleichen IP Netz sind ist das keine Frage des Routing.
Vielmehr stellt sich die Frage WELCHES Default Gateway diese Clients eingetragen haben die den Proxy benutzen ??
Du sagst ja selber das diese eben nicht die Fritzbox als Gateway eingetragen haben ! Genau das ist der Schlüssel zur Lösung (vermutlich) ?!
Du musst auf dem Gateway was diese Clients als Default Gateway nutzen eine statische Route in das remote Netz eingetragen haben ala route Zielnetz: <remotes Netz> <Maske> Gateway: <fritzbox m.VPN zum rem.Netz>
Das sollte das Problem lösen.
Ein Traceroute (tracert bei Winblows) oder ein Pathping auf diesen Clients ins remote Netz zeigt wo es kneift bzw. rennt durch wenn alles richtig konfiguriert ist !
Vielmehr stellt sich die Frage WELCHES Default Gateway diese Clients eingetragen haben die den Proxy benutzen ??
Du sagst ja selber das diese eben nicht die Fritzbox als Gateway eingetragen haben ! Genau das ist der Schlüssel zur Lösung (vermutlich) ?!
Du musst auf dem Gateway was diese Clients als Default Gateway nutzen eine statische Route in das remote Netz eingetragen haben ala route Zielnetz: <remotes Netz> <Maske> Gateway: <fritzbox m.VPN zum rem.Netz>
Das sollte das Problem lösen.
Ein Traceroute (tracert bei Winblows) oder ein Pathping auf diesen Clients ins remote Netz zeigt wo es kneift bzw. rennt durch wenn alles richtig konfiguriert ist !
So,
hab noch mal die Kollegen vom Proxy (Entensys) kontaktiert und siehe da:
Zitat:
"...den externen Standort müssen Sie per VPN an Ihr lokales Netzwerk anschließen, das vom UserGate gesteuert wird.
Die Routing-Regel im UserGate kann nur zwischen 2 lokalen Netzwerken "LAN-Schnittstellen" verwendet werden."
Also is nix mit Fritzbox und Proxy routen...sprich das Problem liegt wohl ehr im/am Proxy. Somit
komm ich WAN-seitig nicht durch den Proxy...das Problem kann also so nicht gelöst werden.
Wird mal checken ob ich die VPN-Verbindung Proxy -> zur_FRitzBox_am_Standort1,
denke wir können den thread als [nicht lösbar] schließen *heul*
Gruß und Dank!
hab noch mal die Kollegen vom Proxy (Entensys) kontaktiert und siehe da:
Zitat:
"...den externen Standort müssen Sie per VPN an Ihr lokales Netzwerk anschließen, das vom UserGate gesteuert wird.
Die Routing-Regel im UserGate kann nur zwischen 2 lokalen Netzwerken "LAN-Schnittstellen" verwendet werden."
Also is nix mit Fritzbox und Proxy routen...sprich das Problem liegt wohl ehr im/am Proxy. Somit
komm ich WAN-seitig nicht durch den Proxy...das Problem kann also so nicht gelöst werden.
Wird mal checken ob ich die VPN-Verbindung Proxy -> zur_FRitzBox_am_Standort1,
denke wir können den thread als [nicht lösbar] schließen *heul*
Gruß und Dank!
Das stimmt ja nur wenn man den Proxy nicht umgehen kann, sprich also wenn der ins Netzwerk so integriert ist das am Ausgang gleich direkt das Internet bzw. der Router dran ist....dann hättest du in der Tat keine Chance !
Aber welcher Dummie designt schon so ein Netz...?!
Aber welcher Dummie designt schon so ein Netz...?!
