Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Kompletter Traffic über Firewall via VPN Netgear FVS338

Frage Netzwerke Router & Routing

Mitglied: righter

righter (Level 1) - Jetzt verbinden

27.06.2008, aktualisiert 02.07.2008, 6848 Aufrufe, 4 Kommentare

Hallo zusammen

Ich habe 2 Netgear Router FVS338 mit denen ich ein VPN mache, was auch kein Problem ist.
Jedoch sollte der komplette Traffic übers VPN geschickt werden und auf der anderen Seite an eine Firewall geroutet werden.

Folgendes habe ich als Konfig versucht

Hauptstelle VPN 1:
LAN IP: 192.168.5.100
Netmak: 255.255.255.0

Nebenstelle VPN 2:
LAN IP: 193.134.5.142
Netmask: 255.255.255.240

Firewall (dient als Gateway für den Internetzugriff):
Ist am Router der Hauptstelle angeschlossen.
LAN IP: 192.168.5.101
Netmask: 255.255.255.0

VPN Konfig von Hauptstelle (Nebenstelle genau gleich einfach subnets verkehrt)
10b8741986c5e2b93b00d149b62f652c-config - Klicke auf das Bild, um es zu vergrößern

Gemäss dieser VPN Config sollte doch jeglicher Traffic von der Nebenstelle in den VPN Tunnel geschickt werden?!

Auf der Hauptstelle möchte ich dann ja den sämtlichen Traffic zur Firewall schicken:
Route 0.0.0.0 0.0.0.0 -> 192.168.5.101 mit einer Metric von 10
Dies ist auch keine Hexerei.

Damit jedoch die Nebenstelle erreichbar ist muss ich auch noch einen Route Eintrag für das externe Subnet machen:
Route 193.134.5.128 255.255.255.240 -> 192.168.5.100 mit einer Metric von 2

In meinen Augen müsste dies ja eigentlich funktionieren.
sobald ich jedoch die Route Einträge setzte, hauts mir den VPN Tunnel zusammen, wenn ich von der Firewall pingen möchte.
Nehme an, dass der Ping auf der Hauptstelle geloopt wird.

Nach etlichen Stunden finde ich leider keine Lösung.

Hat da jemand einen Tipp??

herzlichen dank, gruss righter
Mitglied: aqui
30.06.2008 um 17:58 Uhr
Nein, da begehst du einen Denkfehler. Der NetGear vesucht durch die Default Route 0.0.0.0 0.0.0.0 -> 192.168.5.101 ja nun alle Packete an den Firewall Router zu schicken, und dazu gehören natürlich auch seine IPsec Packete für das VPN. Das killt vermutlich deinen VPN Tunnel. Ist dumm und sollte nicht so sein aber durchaus ein üblicher Bug bei billigen Consumer Endgeräten wie es dein NetGear leider ist wo die Firmware nicht sauber implementiert ist.

Ist die 193.134.5.128 die WAN (DSL) Adresse des remoten Routers oder die des lokalen Netzwerkes am remoten Standort ??
Wenns letzteres ist, ist das sehr unglücklich gewählt, denn das ist ein öffentliches IP Netzwerk und kein privates IP Netz
http://de.wikipedia.org/wiki/Private_IP-Adresse
das man dafür generell verwenden sollte !!!

Diese IP Adresse gehört folgender Organisation: (Abfrage http://www.heise.de/netze/tools/whois-abfrage )

inetnum: 193.134.4.0 - 193.134.7.255
netname: KPSH
descr: Main Police Departement in Schaffhausen
descr: Schaffhausen, Switzerland
country: CH
admin-c: PB145-RIPE
tech-c: PB145-RIPE
status: ASSIGNED PI
mnt-by: CH-UNISOURCE-MNT
source: RIPE # Filtered

person: Peter Brunner
address: Kantonspolizei Schaffhausen
address: Beckenstube 1
address: CH-8201 Schaffhausen
address: Switzerland
phone: +41 52 624 2424
fax-no: +41 52 624 5070
nic-hdl: PB145-RIPE
source: RIPE # Filtered


Wie du selber siehst eine mehr als unglückliche, wenn nicht sehr brisante Wahl die schon sehr Nahe an Dummheit grenzt !!!
Es sei denn du gehörst der Kantonspolizei Schaffhausen, Schweiz an ??!!

Vermutlich hast du das Problem nicht wenn du für deinen lokalen Standort eine IP Adresse nach RFC 1918 auswählst wie es eigentlich sein sollte.
Damit bedient dein netGear dann keine öffentlichen IP Adressen die von der default Route erfasst werden !
Bitte warten ..
Mitglied: righter
01.07.2008 um 09:16 Uhr
hehe nein das mit den IP's ist schon korrekt, das müssen public IP's sein.

so wie es aussieht geht dies nicht, denn die IPSEC Pakete sollten ja mit einer tieferen metric zur gegenstelle geroutet werden können. nur beim netgear router gibt es einen error wenn ich den eintrag mit ziel ip der gegenstelle einrichten will.

muss doch wohl ein cisco her, welcher auch richtiges routing beherrscht.

trotzdem herzlichen dank
Bitte warten ..
Mitglied: aqui
01.07.2008 um 10:59 Uhr
Public müssen sie schon sein aber bestimmt NICHT von dem o.a. genannten Kontingent wenn du/ihr nicht wirklich selber die Polizei in der Schweiz seit. Nur dann ist die verwendung OK, sonst nicht !

Scheinbar greift die Metric in der Routingtabelle nicht wirklich, denn sonst sollte es klappen. Normalerweise hätte man sich die Route mit der Metrik 2 komplett sparen können denn diese Netze sind ja am Router selber dran !!!
Das kommt sehr häufig vor das solche Feinheiten bei der Implementierung der Firmware auf Consumersystemen nicht funktionieren. Auf einen Fix kann man dann auch meistens lange warten....
Mit dem Cisco sollte es klappen...auch wenn es damit etwas teuer wird aber ggf. wirst du bei eBay fündig.... Obwohl....ob die Polizei da einkaufen darf ??

Wenns das war bitte
http://www.administrator.de/index.php?faq=32
nicht vergessen !
Bitte warten ..
Mitglied: righter
02.07.2008 um 08:48 Uhr
ok werde es mit einem richtigen router versuchen.

herzlichen dank
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Router & Routing
gelöst Netgear FVS338 - NAT VPN (9)

Frage von Multitask zum Thema Router & Routing ...

Firewall
gelöst Checkpoint Firewall - VPN CLient (5)

Frage von Leo-le zum Thema Firewall ...

Firewall
Mobile VPN Geräte ohne Windows Firewall (7)

Frage von Milchmann89 zum Thema Firewall ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (17)

Frage von JayyyH zum Thema Switche und Hubs ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

DSL, VDSL
DSL-Signal bewerten (14)

Frage von SarekHL zum Thema DSL, VDSL ...