5
Ipsec esp routing Frage
Hallo Zusammen,
ich hab ein kleines Problem bzw. vielmehr eine Verständnisfrage.
client 172.16.0.1/16---------Router A 172.16.0.2/16------------Router B 172.16.0.3/16 ----------Internet-----------VPN Server
Client ist ein Laptop mit xp und einer IPsec Software.
Client bezieht seine IP über DHCP. Und Router A ist das Default Gateway.
Auf Router A ist ein 0.0.0.0 EIntrag das auf Router B zeigt. Dieser Router B (NAT/ PAT Router) routet alles ins Internet.
Nun hab ich client mal gewiresharked und der sagt das Pakete an Router A gehen, solange bis er anfängt ESP Pakete zu übertragen.
Beim ersten ESP Paket fängt der nämlich an die Paktet direkt an Router B zu senden und zurück. IP Technisch ist der Verkehr natürlich immer von client zum VPN server und zurück.
Aber auf Ethernet Ebene sehe ich das die Pakete erst zum Router A gehen (Destination Mac Router A) aber ab dem Zeitpunkt wenn ESP übertragen wird nur noch Router B als Destination Mac aufgeführt wird.
Ist das ein normales Verhalten? Kann das jemand näher erläutern?
Mfg
Foxhound
ich hab ein kleines Problem bzw. vielmehr eine Verständnisfrage.
client 172.16.0.1/16---------Router A 172.16.0.2/16------------Router B 172.16.0.3/16 ----------Internet-----------VPN Server
Client ist ein Laptop mit xp und einer IPsec Software.
Client bezieht seine IP über DHCP. Und Router A ist das Default Gateway.
Auf Router A ist ein 0.0.0.0 EIntrag das auf Router B zeigt. Dieser Router B (NAT/ PAT Router) routet alles ins Internet.
Nun hab ich client mal gewiresharked und der sagt das Pakete an Router A gehen, solange bis er anfängt ESP Pakete zu übertragen.
Beim ersten ESP Paket fängt der nämlich an die Paktet direkt an Router B zu senden und zurück. IP Technisch ist der Verkehr natürlich immer von client zum VPN server und zurück.
Aber auf Ethernet Ebene sehe ich das die Pakete erst zum Router A gehen (Destination Mac Router A) aber ab dem Zeitpunkt wenn ESP übertragen wird nur noch Router B als Destination Mac aufgeführt wird.
Ist das ein normales Verhalten? Kann das jemand näher erläutern?
Mfg
Foxhound
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 289237
Url: https://administrator.de/contentid/289237
Printed on: April 20, 2024 at 13:04 o'clock
5 Comments
Latest comment
Moin,
die Konstellation ist komisch, wieso hast du zwei Router im selben Subnetz und definierst nicht Router B gleich als DefaultGW für den Client ?
Mach die Verbindung der Router untereinander doch mal deutlicher ...
Ja.
Paket wird nun von Router B "genattet" und zum VPN-Server geschickt, kommt zurück und durch die NAT-Table wird die DST-Address des Pakets auf die IP des Ursprungs-Client gesetzt. Da hier alle Router und der Client im selben Subnetz sind geht das Paket natürlich direkt an den Client ...
Gruß jodel32
die Konstellation ist komisch, wieso hast du zwei Router im selben Subnetz und definierst nicht Router B gleich als DefaultGW für den Client ?
Mach die Verbindung der Router untereinander doch mal deutlicher ...
Ja.
Kann das jemand näher erläutern?
Ganz einfach, der Absender möchte sich mit einer IP im Internet verbinden, dazu fragt er sein Default-GW, welcher seinerseits das Paket an den Router B weiterleitet das er diese IP nicht kennt. Absenderadresse (Source-Address) des Pakets bleibt aber die des Clients, klar weil du hier nur routest.Paket wird nun von Router B "genattet" und zum VPN-Server geschickt, kommt zurück und durch die NAT-Table wird die DST-Address des Pakets auf die IP des Ursprungs-Client gesetzt. Da hier alle Router und der Client im selben Subnetz sind geht das Paket natürlich direkt an den Client ...
Gruß jodel32
die Konstellation ist komisch, wieso hast du zwei Router im selben Subnetz und definierst nicht Router B gleich als DefaultGW für den > > > Client ?
Die Konstellation hab ich nicht so gewählt, das ist eine gewachsene Struktur...
Mach die Verbindung der Router untereinander doch mal deutlicher ...
Die beiden Router sind wirklich im gleichen Netzt, das muss wohl wegen Ausfallsicherheit und High Availability so sein...
Ganz einfach, der Absender möchte sich mit einer IP im Internet verbinden, dazu fragt er sein Default-GW, welcher seinerseits das Paket an den Router B weiterleitet das er diese IP nicht kennt. Absenderadresse (Source-Address) des Pakets bleibt aber die des Clients, klar weil du hier nur routest.
Ist schon klar.
Paket wird nun von Router B "genattet" und zum VPN-Server geschickt, kommt zurück und durch die NAT-Table wird die DST-Address des Pakets auf die IP des Ursprungs-Client gesetzt. Da hier alle Router und der Client im selben Subnetz sind geht das Paket natürlich direkt an den Client ...
Ist auch klar, war ja auch nicht meine Frage. Die Frage ist warum der Client in seinem "FRAMES" (Layer 2) die Mac des Router B als Destination einträgt.Router B ist doch nicht das Default Gateway, also wie kommt der darauf? Der müsste ja weiterhin die Frames zum GW schicken!?
Aber das tut der Client nicht mehr wenn ESP im Payload sich befindet. Die ISAKMP-Payloads gehen doch auch zum Router A.
Gruß jodel32
Gruß Foxhound
Moin,
bei 2 Routern im gleichen Netz kann es sein, dass Router A "ICMP Redirect" Messages an den Client schickt, damit dieser direkt Router B anspricht.
Sollte sich aber einfach mit Wireshark aufzeichnen lassen.
VG
Val
bei 2 Routern im gleichen Netz kann es sein, dass Router A "ICMP Redirect" Messages an den Client schickt, damit dieser direkt Router B anspricht.
Sollte sich aber einfach mit Wireshark aufzeichnen lassen.
VG
Val
Moin,
guter Hinweis mit dem ICMP Redirect.
Aber das scheint es nicht zu sein. Auf Router A sind Redirect ausgeschaltet. Und Wireshark zeigt auch keine ICMP Redirect Pakete an.
Das muss ja irgendwas mit diesem Tunnel zu tun haben. Weil die ISAKMP Frames gehen doch auch zum DEFAULT GATEWAY (ROUTER A). ?
guter Hinweis mit dem ICMP Redirect.
Aber das scheint es nicht zu sein. Auf Router A sind Redirect ausgeschaltet. Und Wireshark zeigt auch keine ICMP Redirect Pakete an.
Das muss ja irgendwas mit diesem Tunnel zu tun haben. Weil die ISAKMP Frames gehen doch auch zum DEFAULT GATEWAY (ROUTER A). ?
Keiner eine Idee?
