4
Kompletter Traffic über Firewall via VPN Netgear FVS338
Hallo zusammen
Ich habe 2 Netgear Router FVS338 mit denen ich ein VPN mache, was auch kein Problem ist.
Jedoch sollte der komplette Traffic übers VPN geschickt werden und auf der anderen Seite an eine Firewall geroutet werden.
Folgendes habe ich als Konfig versucht
Hauptstelle VPN 1:
LAN IP: 192.168.5.100
Netmak: 255.255.255.0
Nebenstelle VPN 2:
LAN IP: 193.134.5.142
Netmask: 255.255.255.240
Firewall (dient als Gateway für den Internetzugriff):
Ist am Router der Hauptstelle angeschlossen.
LAN IP: 192.168.5.101
Netmask: 255.255.255.0
VPN Konfig von Hauptstelle (Nebenstelle genau gleich einfach subnets verkehrt)
Gemäss dieser VPN Config sollte doch jeglicher Traffic von der Nebenstelle in den VPN Tunnel geschickt werden?!
Auf der Hauptstelle möchte ich dann ja den sämtlichen Traffic zur Firewall schicken:
Route 0.0.0.0 0.0.0.0 -> 192.168.5.101 mit einer Metric von 10
Dies ist auch keine Hexerei.
Damit jedoch die Nebenstelle erreichbar ist muss ich auch noch einen Route Eintrag für das externe Subnet machen:
Route 193.134.5.128 255.255.255.240 -> 192.168.5.100 mit einer Metric von 2
In meinen Augen müsste dies ja eigentlich funktionieren.
sobald ich jedoch die Route Einträge setzte, hauts mir den VPN Tunnel zusammen, wenn ich von der Firewall pingen möchte.
Nehme an, dass der Ping auf der Hauptstelle geloopt wird.
Nach etlichen Stunden finde ich leider keine Lösung.
Hat da jemand einen Tipp??
herzlichen dank, gruss righter
Ich habe 2 Netgear Router FVS338 mit denen ich ein VPN mache, was auch kein Problem ist.
Jedoch sollte der komplette Traffic übers VPN geschickt werden und auf der anderen Seite an eine Firewall geroutet werden.
Folgendes habe ich als Konfig versucht
Hauptstelle VPN 1:
LAN IP: 192.168.5.100
Netmak: 255.255.255.0
Nebenstelle VPN 2:
LAN IP: 193.134.5.142
Netmask: 255.255.255.240
Firewall (dient als Gateway für den Internetzugriff):
Ist am Router der Hauptstelle angeschlossen.
LAN IP: 192.168.5.101
Netmask: 255.255.255.0
VPN Konfig von Hauptstelle (Nebenstelle genau gleich einfach subnets verkehrt)
Gemäss dieser VPN Config sollte doch jeglicher Traffic von der Nebenstelle in den VPN Tunnel geschickt werden?!
Auf der Hauptstelle möchte ich dann ja den sämtlichen Traffic zur Firewall schicken:
Route 0.0.0.0 0.0.0.0 -> 192.168.5.101 mit einer Metric von 10
Dies ist auch keine Hexerei.
Damit jedoch die Nebenstelle erreichbar ist muss ich auch noch einen Route Eintrag für das externe Subnet machen:
Route 193.134.5.128 255.255.255.240 -> 192.168.5.100 mit einer Metric von 2
In meinen Augen müsste dies ja eigentlich funktionieren.
sobald ich jedoch die Route Einträge setzte, hauts mir den VPN Tunnel zusammen, wenn ich von der Firewall pingen möchte.
Nehme an, dass der Ping auf der Hauptstelle geloopt wird.
Nach etlichen Stunden finde ich leider keine Lösung.
Hat da jemand einen Tipp??
herzlichen dank, gruss righter
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 90801
Url: https://administrator.de/contentid/90801
Printed on: April 19, 2024 at 15:04 o'clock
4 Comments
Latest comment
Nein, da begehst du einen Denkfehler. Der NetGear vesucht durch die Default Route 0.0.0.0 0.0.0.0 -> 192.168.5.101 ja nun alle Packete an den Firewall Router zu schicken, und dazu gehören natürlich auch seine IPsec Packete für das VPN. Das killt vermutlich deinen VPN Tunnel. Ist dumm und sollte nicht so sein aber durchaus ein üblicher Bug bei billigen Consumer Endgeräten wie es dein NetGear leider ist wo die Firmware nicht sauber implementiert ist.
Ist die 193.134.5.128 die WAN (DSL) Adresse des remoten Routers oder die des lokalen Netzwerkes am remoten Standort ??
Wenns letzteres ist, ist das sehr unglücklich gewählt, denn das ist ein öffentliches IP Netzwerk und kein privates IP Netz
http://de.wikipedia.org/wiki/Private_IP-Adresse
das man dafür generell verwenden sollte !!!
Diese IP Adresse gehört folgender Organisation: (Abfrage http://www.heise.de/netze/tools/whois-abfrage )
inetnum: 193.134.4.0 - 193.134.7.255
netname: KPSH
descr: Main Police Departement in Schaffhausen
descr: Schaffhausen, Switzerland
country: CH
admin-c: PB145-RIPE
tech-c: PB145-RIPE
status: ASSIGNED PI
mnt-by: CH-UNISOURCE-MNT
source: RIPE # Filtered
person: Peter Brunner
address: Kantonspolizei Schaffhausen
address: Beckenstube 1
address: CH-8201 Schaffhausen
address: Switzerland
phone: +41 52 624 2424
fax-no: +41 52 624 5070
nic-hdl: PB145-RIPE
source: RIPE # Filtered
Wie du selber siehst eine mehr als unglückliche, wenn nicht sehr brisante Wahl die schon sehr Nahe an Dummheit grenzt !!!
Es sei denn du gehörst der Kantonspolizei Schaffhausen, Schweiz an ??!!
Vermutlich hast du das Problem nicht wenn du für deinen lokalen Standort eine IP Adresse nach RFC 1918 auswählst wie es eigentlich sein sollte.
Damit bedient dein netGear dann keine öffentlichen IP Adressen die von der default Route erfasst werden !
Ist die 193.134.5.128 die WAN (DSL) Adresse des remoten Routers oder die des lokalen Netzwerkes am remoten Standort ??
Wenns letzteres ist, ist das sehr unglücklich gewählt, denn das ist ein öffentliches IP Netzwerk und kein privates IP Netz
http://de.wikipedia.org/wiki/Private_IP-Adresse
das man dafür generell verwenden sollte !!!
Diese IP Adresse gehört folgender Organisation: (Abfrage http://www.heise.de/netze/tools/whois-abfrage )
inetnum: 193.134.4.0 - 193.134.7.255
netname: KPSH
descr: Main Police Departement in Schaffhausen
descr: Schaffhausen, Switzerland
country: CH
admin-c: PB145-RIPE
tech-c: PB145-RIPE
status: ASSIGNED PI
mnt-by: CH-UNISOURCE-MNT
source: RIPE # Filtered
person: Peter Brunner
address: Kantonspolizei Schaffhausen
address: Beckenstube 1
address: CH-8201 Schaffhausen
address: Switzerland
phone: +41 52 624 2424
fax-no: +41 52 624 5070
nic-hdl: PB145-RIPE
source: RIPE # Filtered
Wie du selber siehst eine mehr als unglückliche, wenn nicht sehr brisante Wahl die schon sehr Nahe an Dummheit grenzt !!!
Es sei denn du gehörst der Kantonspolizei Schaffhausen, Schweiz an ??!!
Vermutlich hast du das Problem nicht wenn du für deinen lokalen Standort eine IP Adresse nach RFC 1918 auswählst wie es eigentlich sein sollte.
Damit bedient dein netGear dann keine öffentlichen IP Adressen die von der default Route erfasst werden !
hehe nein das mit den IP's ist schon korrekt, das müssen public IP's sein.
so wie es aussieht geht dies nicht, denn die IPSEC Pakete sollten ja mit einer tieferen metric zur gegenstelle geroutet werden können. nur beim netgear router gibt es einen error wenn ich den eintrag mit ziel ip der gegenstelle einrichten will.
muss doch wohl ein cisco her, welcher auch richtiges routing beherrscht.
trotzdem herzlichen dank
so wie es aussieht geht dies nicht, denn die IPSEC Pakete sollten ja mit einer tieferen metric zur gegenstelle geroutet werden können. nur beim netgear router gibt es einen error wenn ich den eintrag mit ziel ip der gegenstelle einrichten will.
muss doch wohl ein cisco her, welcher auch richtiges routing beherrscht.
trotzdem herzlichen dank
Public müssen sie schon sein aber bestimmt NICHT von dem o.a. genannten Kontingent wenn du/ihr nicht wirklich selber die Polizei in der Schweiz seit. Nur dann ist die verwendung OK, sonst nicht !
Scheinbar greift die Metric in der Routingtabelle nicht wirklich, denn sonst sollte es klappen. Normalerweise hätte man sich die Route mit der Metrik 2 komplett sparen können denn diese Netze sind ja am Router selber dran !!!
Das kommt sehr häufig vor das solche Feinheiten bei der Implementierung der Firmware auf Consumersystemen nicht funktionieren. Auf einen Fix kann man dann auch meistens lange warten....
Mit dem Cisco sollte es klappen...auch wenn es damit etwas teuer wird aber ggf. wirst du bei eBay fündig.... Obwohl....ob die Polizei da einkaufen darf ??
Wenns das war bitte
How can I mark a post as solved?
nicht vergessen !
Scheinbar greift die Metric in der Routingtabelle nicht wirklich, denn sonst sollte es klappen. Normalerweise hätte man sich die Route mit der Metrik 2 komplett sparen können denn diese Netze sind ja am Router selber dran !!!
Das kommt sehr häufig vor das solche Feinheiten bei der Implementierung der Firmware auf Consumersystemen nicht funktionieren. Auf einen Fix kann man dann auch meistens lange warten....
Mit dem Cisco sollte es klappen...auch wenn es damit etwas teuer wird aber ggf. wirst du bei eBay fündig.... Obwohl....ob die Polizei da einkaufen darf ??
Wenns das war bitte
How can I mark a post as solved?
nicht vergessen !
ok werde es mit einem richtigen router versuchen.
herzlichen dank
herzlichen dank
