28
Ping über mehrere VPN Tunnel
Hallo zusammen ich habe noch eine dringliche Frage:
Wie bekomme ich einen Ping über 2 VPN Tunnel hin?
Folgende Konfiguration:
1. Hauptstelle X = DC, DNS, DHCP, - Lancom Router 192.168.176.200 (default GW) und Fritz.Box 3490 192.168.176.201 (GW für VPN) -- KEINE FESTE IP VON AUßen nicht erreichbar
2. Hauptstelle Y = DC, DNS, DHCP, - Fritz.Box 3490 192.168.177.201 (default GW und VPN) Feste IP (Hat einen Trust Verbindung zum DC Hauptstelle X)
3. Nebenstelle von Z = FritzBox 3490 192.168.179.201 (DHCP und DNS macht FritzBox) keine feste IP von außen nicht erreichbar VPN zu Y
So nun folgende Konstelation läuft aktuell:
Hauptstelle X baut eine VPN zu Y auf da ja Y öffentlich erreichbar ist.
Nebenstelle Z baut auch eine VPN zu Y auf
Nebenstelle Z kann aber keine direkte VPN zu X aufbauen da beide nicht direkt aus dem WWW erreichbar sind.
Jetzt ist es z.B. so, dass in der Hauptstelle X eine große Auerswald TK Anlage mit Voip steht.
die Telefone bei Y können auch Problemlos mit X kommunizieren auch DNS geht.
das Gleiche ist mit Y zu Z das läuft auch prima.
Nur wie bekomme ich es hin, dass von Z nach X Ping und DNS anfragen durchgeleitet werden?
Also wenn ich aus dem Netz 192.168.179.0 eine Ping Anfrage an die Auerswald TK Anlage schicke 192.168.176.30
geht diese Anfrage per VPN an die FritzBox bei Y und von dort in den nächsten VPN Tunnel nach 192.168.176.0 das geht aber nicht da komme ich nicht durch.
Hat jemand eine Idee???
P.S. bitte keine Fragen nach dem warum und wie man es anders machen kann das hat tiefe Gründe die ich hier nicht näher erläutern möchte.
Ich bin mir sicher, dass es so zum lösen sein müsste.
DANKE für eure Antworten!!!
Wie bekomme ich einen Ping über 2 VPN Tunnel hin?
Folgende Konfiguration:
1. Hauptstelle X = DC, DNS, DHCP, - Lancom Router 192.168.176.200 (default GW) und Fritz.Box 3490 192.168.176.201 (GW für VPN) -- KEINE FESTE IP VON AUßen nicht erreichbar
2. Hauptstelle Y = DC, DNS, DHCP, - Fritz.Box 3490 192.168.177.201 (default GW und VPN) Feste IP (Hat einen Trust Verbindung zum DC Hauptstelle X)
3. Nebenstelle von Z = FritzBox 3490 192.168.179.201 (DHCP und DNS macht FritzBox) keine feste IP von außen nicht erreichbar VPN zu Y
So nun folgende Konstelation läuft aktuell:
Hauptstelle X baut eine VPN zu Y auf da ja Y öffentlich erreichbar ist.
Nebenstelle Z baut auch eine VPN zu Y auf
Nebenstelle Z kann aber keine direkte VPN zu X aufbauen da beide nicht direkt aus dem WWW erreichbar sind.
Jetzt ist es z.B. so, dass in der Hauptstelle X eine große Auerswald TK Anlage mit Voip steht.
die Telefone bei Y können auch Problemlos mit X kommunizieren auch DNS geht.
das Gleiche ist mit Y zu Z das läuft auch prima.
Nur wie bekomme ich es hin, dass von Z nach X Ping und DNS anfragen durchgeleitet werden?
Also wenn ich aus dem Netz 192.168.179.0 eine Ping Anfrage an die Auerswald TK Anlage schicke 192.168.176.30
geht diese Anfrage per VPN an die FritzBox bei Y und von dort in den nächsten VPN Tunnel nach 192.168.176.0 das geht aber nicht da komme ich nicht durch.
Hat jemand eine Idee???
P.S. bitte keine Fragen nach dem warum und wie man es anders machen kann das hat tiefe Gründe die ich hier nicht näher erläutern möchte.
Ich bin mir sicher, dass es so zum lösen sein müsste.
DANKE für eure Antworten!!!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 258777
Url: https://administrator.de/contentid/258777
Printed on: April 20, 2024 at 03:04 o'clock
28 Comments
Latest comment
Moin derhalf, Frohes Neues !
Wie schon in deinem letzten Post erwähnt müssen auf allen Routern entsprechenden Routen für die Netze vorhanden sein die erreicht werden sollen, damit die Pakete den richtigen Weg (und auch wieder zurück!!) finden.
D.h. also in deinem Fall für den Router in Netz X eine statische Route für das Netz 192.168.179.0/24 mit Gateway 192.168.176.201. Auf diesem Gateway erstellst du ebenfalls eine statische Route mit dem o.g. Zielnetz aber als Gateway die 192.168.177.201 in Netz Y. Der Router in Netz Y kennt nun seinerseits das Zielnetz da er ja selber mit dem Netz Z verbunden ist, er leitet die Pakete also direkt weiter nach Z. Für den umgekehrten Weg brauchst du natürlich auch eine statische Route, auf dem Router Z erstellst du diese mit Zielnetz 192.168.176.0/24 mit Gateway 192.168.177.201.
Du musst dir immer nur bildlich vorstellen wie die Pakete fließen und ob in den Routingtabellen des jeweiligen Routers ein Eintrag für das Zielnetz vorliegt, dann ist das alles kein Hexenwerk
Grüße Uwe
Wie schon in deinem letzten Post erwähnt müssen auf allen Routern entsprechenden Routen für die Netze vorhanden sein die erreicht werden sollen, damit die Pakete den richtigen Weg (und auch wieder zurück!!) finden.
D.h. also in deinem Fall für den Router in Netz X eine statische Route für das Netz 192.168.179.0/24 mit Gateway 192.168.176.201. Auf diesem Gateway erstellst du ebenfalls eine statische Route mit dem o.g. Zielnetz aber als Gateway die 192.168.177.201 in Netz Y. Der Router in Netz Y kennt nun seinerseits das Zielnetz da er ja selber mit dem Netz Z verbunden ist, er leitet die Pakete also direkt weiter nach Z. Für den umgekehrten Weg brauchst du natürlich auch eine statische Route, auf dem Router Z erstellst du diese mit Zielnetz 192.168.176.0/24 mit Gateway 192.168.177.201.
Du musst dir immer nur bildlich vorstellen wie die Pakete fließen und ob in den Routingtabellen des jeweiligen Routers ein Eintrag für das Zielnetz vorliegt, dann ist das alles kein Hexenwerk
Grüße Uwe
1
Hi,
Du solltest statische Routen des jeweils anderen Netzes auf den Fritten der Nebenstelle Z und Hauptstelle X einrichten.
Gruß orcape
Du solltest statische Routen des jeweils anderen Netzes auf den Fritten der Nebenstelle Z und Hauptstelle X einrichten.
Gruß orcape
Hallo der Fehler liegt sicherlich im Detail leider geht es nicht.
Wenn ich bei Z in der Fritz Box bei Satische Routen folgende eintrage:
192.168.176.0 Gateway 192.168.179.201 (Gateway 192.168.177.201 lässt sich nicht eintragen -> Fehler Route nicht zulässig)
192.168.177.0 Gateway 192.168.179.201
bei Y
192.168.179.0 Gateway 192.168.177.201
192.168.176.0.Gateway 192.168.177.201
Bei X
192.168.177.0 Gateway 192.168.176.201
192.168.179.0.Gateway 192.168.176.201
Dann geht überhaupt kein Ping mehr. Keine Verbindung
Wenn nur bei X im Lancom Router die satische Route drinnen ist und bei Y und Z keine Dann kann ich von X - Y pingen und Y - Z bingen aber nicht Z-X
also muss doch bei Y irgendwo der hund begraben sein. Wenn ich kann als Gateway bei der FritzBox kein Gateway bei statischer ROute einragen welches außerhalb den eigenen IP Bereiches ist.
Fall du gerade zeit hast könnten wir das auch per Fernwartung mal ansehen natürlich gegen Aufwandsentschädigung
Wenn ich bei Z in der Fritz Box bei Satische Routen folgende eintrage:
192.168.176.0 Gateway 192.168.179.201 (Gateway 192.168.177.201 lässt sich nicht eintragen -> Fehler Route nicht zulässig)
192.168.177.0 Gateway 192.168.179.201
bei Y
192.168.179.0 Gateway 192.168.177.201
192.168.176.0.Gateway 192.168.177.201
Bei X
192.168.177.0 Gateway 192.168.176.201
192.168.179.0.Gateway 192.168.176.201
Dann geht überhaupt kein Ping mehr. Keine Verbindung
Wenn nur bei X im Lancom Router die satische Route drinnen ist und bei Y und Z keine Dann kann ich von X - Y pingen und Y - Z bingen aber nicht Z-X
also muss doch bei Y irgendwo der hund begraben sein. Wenn ich kann als Gateway bei der FritzBox kein Gateway bei statischer ROute einragen welches außerhalb den eigenen IP Bereiches ist.
Fall du gerade zeit hast könnten wir das auch per Fernwartung mal ansehen natürlich gegen Aufwandsentschädigung
Eine Lösung wäre natürlich auch irgendwie X und Z per VPN direkt zu verbinden aber das bekomme ich glaube ich nicht hin da beide nicht öffenltich erreichbar sind.
Vorweg: Ich kenne die Fritzbox nicht und kann daher über deren Konfigurationsmöglichkeiten und Funktionsweise nur mutmaßen.
Was Du umsetzen möchtest ist eine sog. Hub- and Spoke-Konfiguration.
Zentraler Lösungsansatz ist es (vereinfacht/laienhaft ausgedrückt), dem VPN-Gateway am Standort Z mitzuteilen, dass sich das Subnetz von X am Standort Y befindet und dem Standardgateway sowie dem VPN-Gateway am Standort X, dass sich das Subnetz von Z am Standort Y befindet.
Grundsätzlich ist gibt es zwei Möglichkeiten, wie IPSec-VPN-Gateways entscheiden, ob Traffic durch den Tunnel geroutet wird oder nicht:
1) routebased
2) policybased
Zu 1)
Hierbei wird der Traffic anhand einer von der VPN-Definition unabhängigen zusätzlichen Regel/Route durch einen bestehenden Tunnel geschoben - dabei wird die VPN-Definition in Phase2 nicht beachtet
Zu 2)
Hier richtet sich das IPSec-Gateway bei seiner Routingentscheidung ausschließlich nach der Phase2-SA.
Möglichkeit 1 ist wesentlich flexibler als Variante 2, wird aber nicht von allen Gateways unterstützt.
Möglichkeit 2 sollte eigentlich von allen Gateways supportet sein. Daher würde ich in Unkentnis der Arbeitsweise der FB diesen Weg hier beschreiten wollen. Allerdings ist gibt es auch bei dieser Variante verschiedene Implementierungsvarianten: Manche Gateways erlauben in Phase 2 die Angabe mehrerer Remotesubnets. Dabei wird im Hintergrund letztlich eine zweite Phase2-Policy erstellt und mit der bestehenden Phase1-Policy verknüpft. Bei anderen GWs kann man nur ein Remotesubnet angeben und man muss daher von Hand eine zusätzliche Phase2-Policy definieren. Gelegentlich müssen sogar 2 komplette VPN-Tunnel definiert werden (also Phase1=IKE, Phase2=IPSec).
Am einfachsten wäre es jedoch im vorliegenden Fall, man könnte die bestehenden Phase2-Policies so erweitern, dass jeweils beide Remotenetze von der Policy erfasst werden. Dafür müssten wir im vorliegenden Fall allerdings mit Ranges statt mit Subnets arbeiten können, da sich die Subnets für Y und Z nicht überschneidungsfrei mit X per Supernetting zu einem Subnetz zusammenfassen lassen.
Sollten die Fritzboxen die Angabe von Ranges in der Phase2-Policy zulassen, wäre also folgendes zu definieren:
X-->Y:
lokales Subnetz=192.168.176.0/24
Remote-Range=192.168.177.0 bis 192.168.179.255 (Achtung: das schließt das Netz 192.168.178.0/24 mit ein!)
[zusätzlich muss noch auf dem Standardgateway am Standort X eine Route zum Subnetz Y gesetzt werden, die über das VPN-Gateway am Standiort X führt]
Y-->X:
lokale Range=192.168.177.0 bis 192.168.179.255 (Achtung: das schließt das Netz 192.168.178.0/24 mit ein!)
Remote-Subnetz=192.168.176.0/24
Y-->Z:
lokale Range=192.168.176.0 bis 192.168.177.255
Remote-Subnetz=192.168.179.0/24
Z-->Y:
lokales Subnetz=192.168.179.0/24
Remote-Range=192.168.176.0 bis 192.168.177.255
Gruß
sk
Was Du umsetzen möchtest ist eine sog. Hub- and Spoke-Konfiguration.
Zentraler Lösungsansatz ist es (vereinfacht/laienhaft ausgedrückt), dem VPN-Gateway am Standort Z mitzuteilen, dass sich das Subnetz von X am Standort Y befindet und dem Standardgateway sowie dem VPN-Gateway am Standort X, dass sich das Subnetz von Z am Standort Y befindet.
Grundsätzlich ist gibt es zwei Möglichkeiten, wie IPSec-VPN-Gateways entscheiden, ob Traffic durch den Tunnel geroutet wird oder nicht:
1) routebased
2) policybased
Zu 1)
Hierbei wird der Traffic anhand einer von der VPN-Definition unabhängigen zusätzlichen Regel/Route durch einen bestehenden Tunnel geschoben - dabei wird die VPN-Definition in Phase2 nicht beachtet
Zu 2)
Hier richtet sich das IPSec-Gateway bei seiner Routingentscheidung ausschließlich nach der Phase2-SA.
Möglichkeit 1 ist wesentlich flexibler als Variante 2, wird aber nicht von allen Gateways unterstützt.
Möglichkeit 2 sollte eigentlich von allen Gateways supportet sein. Daher würde ich in Unkentnis der Arbeitsweise der FB diesen Weg hier beschreiten wollen. Allerdings ist gibt es auch bei dieser Variante verschiedene Implementierungsvarianten: Manche Gateways erlauben in Phase 2 die Angabe mehrerer Remotesubnets. Dabei wird im Hintergrund letztlich eine zweite Phase2-Policy erstellt und mit der bestehenden Phase1-Policy verknüpft. Bei anderen GWs kann man nur ein Remotesubnet angeben und man muss daher von Hand eine zusätzliche Phase2-Policy definieren. Gelegentlich müssen sogar 2 komplette VPN-Tunnel definiert werden (also Phase1=IKE, Phase2=IPSec).
Am einfachsten wäre es jedoch im vorliegenden Fall, man könnte die bestehenden Phase2-Policies so erweitern, dass jeweils beide Remotenetze von der Policy erfasst werden. Dafür müssten wir im vorliegenden Fall allerdings mit Ranges statt mit Subnets arbeiten können, da sich die Subnets für Y und Z nicht überschneidungsfrei mit X per Supernetting zu einem Subnetz zusammenfassen lassen.
Sollten die Fritzboxen die Angabe von Ranges in der Phase2-Policy zulassen, wäre also folgendes zu definieren:
X-->Y:
lokales Subnetz=192.168.176.0/24
Remote-Range=192.168.177.0 bis 192.168.179.255 (Achtung: das schließt das Netz 192.168.178.0/24 mit ein!)
[zusätzlich muss noch auf dem Standardgateway am Standort X eine Route zum Subnetz Y gesetzt werden, die über das VPN-Gateway am Standiort X führt]
Y-->X:
lokale Range=192.168.177.0 bis 192.168.179.255 (Achtung: das schließt das Netz 192.168.178.0/24 mit ein!)
Remote-Subnetz=192.168.176.0/24
Y-->Z:
lokale Range=192.168.176.0 bis 192.168.177.255
Remote-Subnetz=192.168.179.0/24
Z-->Y:
lokales Subnetz=192.168.179.0/24
Remote-Range=192.168.176.0 bis 192.168.177.255
Gruß
sk
192.168.176.0 Gateway 192.168.179.201 (Gateway 192.168.177.201 lässt sich nicht eintragen -> Fehler Route nicht zulässig)
die ist ja auch falsch, siehe oben ....., les meinen Kommentar nochmal genauer dann fällt die auf was du vergessen hast Wie oben geschrieben einfach gedanklich die Pakete verfolgen und sich selber fragen hat der Router einen Eintrag in der Routingtabelle oder nicht. Der Router auf dem eine statische Route angelegt wird muss selber das Zielgateway mit seiner Routingtabellen erreichen können !
Eine Lösung wäre natürlich auch irgendwie X und Z per VPN direkt zu verbinden aber das bekomme ich glaube ich nicht hin da beide nicht öffenltich erreichbar sind.
Schon mal was von DynDNS gehört Fall du gerade zeit hast könnten wir das auch per Fernwartung mal ansehen natürlich gegen Aufwandsentschädigung
geht leider gerade nicht ...
Nicht zu vergessen am Standort X ist ein Lancom Router mit der 192.168.176.200 dort ist die Statische Route auf Gateway 192.168.176.201 mit Adressen: 192.168.177.0 und 192.168.179.0 eingerichtet
an der FritzBox bei X also der 192.168.176.201 ist keine Statische Route drinnen (muss ich da noch eine Eintragen denn die Verbindung zu 192.168.177.0 Netz klappt einwandfrei nur die zu 192.168.179.0 nicht
an der FritzBox bei X also der 192.168.176.201 ist keine Statische Route drinnen (muss ich da noch eine Eintragen denn die Verbindung zu 192.168.177.0 Netz klappt einwandfrei nur die zu 192.168.179.0 nicht
Wenn ich bei Z in der Fritz Box bei Satische Routen folgende eintrage:
192.168.176.0 Gateway 192.168.179.201 (Gateway 192.168.177.201 lässt sich nicht eintragen -> Fehler Route nicht zulässig)
Logisch, die Route zur Hauptstelle kennt der ja.192.168.176.0 Gateway 192.168.179.201 (Gateway 192.168.177.201 lässt sich nicht eintragen -> Fehler Route nicht zulässig)
Das sollte bei Z dann so heißen...
192.168.176.0 GW 192.168.176.201
Eine Alternative wäre OpenVPN mit einem Multiclienttunnel.Dazu müsstest Du aber eine Alternative zu Deiner Hardware suchen oder das Ganze mit Freetz etwas modifizieren.
Werde das gleich noch einmal testen DynDns geht nicht da die VPN Router hinten einem anderen Router stehen und dessen Verbindung mitnutzen. Diese Router welche eigentlich DSL aufbauen können nicht verändert werden auch kein Forwarding etc.
Zitat von @derhalf:
an der FritzBox bei X also der 192.168.176.201 ist keine Statische Route drinnen (muss ich da noch eine Eintragen denn dieVerbindung zu 192.168.177.0 Netz klappt einwandfrei nur die zu 192.168.179.0 nicht
Ja denn die VPN-Fritte hat selber keinen Routingtabelleneintrag für das 192.168.179.x Netz, weiß somit also ohne statische Route nicht wohin mit diesen Paketen !! Das 177er Netz dagegen kennt sie ja schon durch die VPN Verbindung...an der FritzBox bei X also der 192.168.176.201 ist keine Statische Route drinnen (muss ich da noch eine Eintragen denn dieVerbindung zu 192.168.177.0 Netz klappt einwandfrei nur die zu 192.168.179.0 nicht
192.168.176.0 GW 192.168.176.201 geht nicht --> Route nicht zulässig
Ich kann als GW anscheinend nur eine IP aus dem Eigenen Bereich eintragen also aus 192.168.179
Ich kann als GW anscheinend nur eine IP aus dem Eigenen Bereich eintragen also aus 192.168.179
Dass man der FB über eine statische Route mitteilen kann, welche Netze zusätzlich hinter dem Tunnel liegen, ist sehr unwahrscheinlich. Lies mal meinen Beitrag oben!
Danke für deine Ausführungen leider habe ich deinem Fall nur eine wage Vorstellung wie ich das umsetzen soll da ich beim Thema VPN nur mäßige Erfahrungen habe. Ich weis, dass FritzBoxen ziemlich viel VPN Verbindungen akzeptieren und sich einrichten lassen allerdings muss dies alles per Hand in die VPN CFG Dateien geschrieben werden und in die FB übertragen werden.
Leider übersteigt das meine fähigkeiten.
Gäbe es nicht am Standort Y eine möglichkeit per Software diese Verteilung vornehmen zu lassen dort steht ein Server 2012R2 welcher DC ist und DNS sowie DHCP verwaltet.
Gibt es keine "einfache" Softwarelösung welche diese Aufgabe übernimmt also z.B. auf Pings für 192.168.176.3 aus dem Netz 192.168.179.0 lauscht und diese dann an 192.168.176.0 weiterleitet?
Leider übersteigt das meine fähigkeiten.
Gäbe es nicht am Standort Y eine möglichkeit per Software diese Verteilung vornehmen zu lassen dort steht ein Server 2012R2 welcher DC ist und DNS sowie DHCP verwaltet.
Gibt es keine "einfache" Softwarelösung welche diese Aufgabe übernimmt also z.B. auf Pings für 192.168.176.3 aus dem Netz 192.168.179.0 lauscht und diese dann an 192.168.176.0 weiterleitet?
Hier steht wie du die Config (accesslist) auf der VPN-Fritte anpassen musst, dann lüpt das auch mit einer Fritte
http://en.avm.de/nc/service/fritzbox/fritzbox-6840-lte/knowledge-base/p ...
http://en.avm.de/nc/service/fritzbox/fritzbox-6840-lte/knowledge-base/p ...
2Zitat von @derhalf:
Danke für deine Ausführungen leider habe ich deinem Fall nur eine wage Vorstellung wie ich das umsetzen soll da ich beim
Thema VPN nur mäßige Erfahrungen habe. Ich weis, dass FritzBoxen ziemlich viel VPN Verbindungen akzeptieren und sich
einrichten lassen allerdings muss dies alles per Hand in die VPN CFG Dateien geschrieben werden und in die FB übertragen
werden.
Leider übersteigt das meine fähigkeiten.
Danke für deine Ausführungen leider habe ich deinem Fall nur eine wage Vorstellung wie ich das umsetzen soll da ich beim
Thema VPN nur mäßige Erfahrungen habe. Ich weis, dass FritzBoxen ziemlich viel VPN Verbindungen akzeptieren und sich
einrichten lassen allerdings muss dies alles per Hand in die VPN CFG Dateien geschrieben werden und in die FB übertragen
werden.
Leider übersteigt das meine fähigkeiten.
Ein wenig ausprobieren und einarbeiten gehört halt schon dazu. Die Aufgabenstellung ist definitiv lösbar. Der von colinardo gepostete KB-Eintrag sollte Dir weiterhelfen.
Eventuell wäre jetzt auch der richtige Zeitpunkt, das Fritzbox-Geraffel rauszuwerfen und gegen etwas professionelleres zu ersetzen, das sich gleichsam besser und einfacher konfigurieren lässt.
Eventuell wäre jetzt auch der richtige Zeitpunkt, das Fritzbox-Geraffel rauszuwerfen und gegen etwas professionelleres zu
ersetzen, das sich gleichsam besser und einfacher konfigurieren lässt.
Guter Spruch, nur setzt das beim Thema Wissen in Sachen Netzwerk und VPN schon einiges an Grundwissen voraus, welches der TO entweder nicht hat bzw. sich auch nicht erst aneignen möchte. So zumindest mein (subjektiver) Eindruck.ersetzen, das sich gleichsam besser und einfacher konfigurieren lässt.
Teils sind aber auch Provider bedingt, kaum weiteren Möglichkeiten gegeben das so problemlos umzusetzen, da das Thema Zwangsrouter in Sachen DSL immer mehr zum Thema wird.
Trotz der bisherige Konfiguration sollte sich das Problem aber auch mit den Fritten lösen lassen.
Ich bin ein wenig weiter gekommen.
EINER der großen Knackpunkte war, dass in den .CFG Dateien für die VPN Verbindungen die Accesslist erweitert werden muss:
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.179.0 255.255.255.0",
"permit ip any 192.168.176.0 255.255.255.0"; <<<--- wurde z.b. bei Y hinzugefügt
da sonst logischerweise die Tunnels die IPs nicht durchlassen.
Die CFG von Y sieht so aus:
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "Standort Y";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "Standort Z";
localid {
fqdn = "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx";
}
remoteid {
fqdn = "Standort Z";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.177.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.179.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.179.0 255.255.255.0",
"permit ip any 192.168.176.0 255.255.255.0"; <-- habe ich zugefügt
} {
enabled = yes;
conn_type = conntype_lan;
name = "fass";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "Standort X";
localid {
fqdn = "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx";
}
remoteid {
fqdn = "Standort X";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.177.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.176.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.176.0 255.255.255.0",
"permit ip any 192.168.179.0 255.255.255.0"; <-- habe ich zugefügt
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
// EOF
Permit ip any habe ich natürlich auch bei Z und X Erweitert.
So weit so gut nur lässt sich jetzt Standort X und Y nicht mehr untereinander anpingen von Y auf Z geht es .... hmmm
Naja das lässt sich sicherlich noch herausfinden.
P.S. zu den Routern.
FritzBoxen sind wohl in vielen Bereichn wesentlich bedienbarer als andere. (es kommt natürlich auf das Einsatzgebiet an)
Lancom Router sind in meinen Augen die besten
ich hatte auch schon einen TDT Router bei einem Einsatzleitwagen der Feuerwehr im Einsatz da hat sogar der Support von TDT 3 Stunden gebraucht eine OpenVpn verbindung zu einer gegenstelle aufzubauen. Die Dinger sind fast nicht konfigurierbar.
Lancom ist ausgeschieden da ich für die Redudanz an den Standorten XYZ ist ca. 800km jeweils von einander entfernt jeweils 2 Router stehen habe. Also eine FritzBox und eine mit gespiegelten Einstellunge, damit beim Versagen (z.b. durch äußere Einwirkungen oder sindiges) ein Leihe Vor Ort schnell die 2. Box anschließen kann damit Fernwartung möglich ist.
Lancom war da leiter schlichtweg zu teuer.
Ich habe sehr gute IT Kenntnisse allerding hatte ich bis jetzt noch die mehr als eine LAN LAn oder LAN Client Kopplung.
Diese Konstelation hier hatte ich so einfach noch nicht.
EINER der großen Knackpunkte war, dass in den .CFG Dateien für die VPN Verbindungen die Accesslist erweitert werden muss:
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.179.0 255.255.255.0",
"permit ip any 192.168.176.0 255.255.255.0"; <<<--- wurde z.b. bei Y hinzugefügt
da sonst logischerweise die Tunnels die IPs nicht durchlassen.
Die CFG von Y sieht so aus:
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "Standort Y";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "Standort Z";
localid {
fqdn = "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx";
}
remoteid {
fqdn = "Standort Z";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.177.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.179.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.179.0 255.255.255.0",
"permit ip any 192.168.176.0 255.255.255.0"; <-- habe ich zugefügt
} {
enabled = yes;
conn_type = conntype_lan;
name = "fass";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "Standort X";
localid {
fqdn = "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx";
}
remoteid {
fqdn = "Standort X";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.177.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.176.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.176.0 255.255.255.0",
"permit ip any 192.168.179.0 255.255.255.0"; <-- habe ich zugefügt
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
// EOF
Permit ip any habe ich natürlich auch bei Z und X Erweitert.
So weit so gut nur lässt sich jetzt Standort X und Y nicht mehr untereinander anpingen von Y auf Z geht es .... hmmm
Naja das lässt sich sicherlich noch herausfinden.
P.S. zu den Routern.
FritzBoxen sind wohl in vielen Bereichn wesentlich bedienbarer als andere. (es kommt natürlich auf das Einsatzgebiet an)
Lancom Router sind in meinen Augen die besten
ich hatte auch schon einen TDT Router bei einem Einsatzleitwagen der Feuerwehr im Einsatz da hat sogar der Support von TDT 3 Stunden gebraucht eine OpenVpn verbindung zu einer gegenstelle aufzubauen. Die Dinger sind fast nicht konfigurierbar.
Lancom ist ausgeschieden da ich für die Redudanz an den Standorten XYZ ist ca. 800km jeweils von einander entfernt jeweils 2 Router stehen habe. Also eine FritzBox und eine mit gespiegelten Einstellunge, damit beim Versagen (z.b. durch äußere Einwirkungen oder sindiges) ein Leihe Vor Ort schnell die 2. Box anschließen kann damit Fernwartung möglich ist.
Lancom war da leiter schlichtweg zu teuer.
Ich habe sehr gute IT Kenntnisse allerding hatte ich bis jetzt noch die mehr als eine LAN LAn oder LAN Client Kopplung.
Diese Konstelation hier hatte ich so einfach noch nicht.
Bekommen wir pro Tunnelhop 50 Euronen ??
Dann posten wir dir hier ne Lösung wie du es über 10 und mehr Tunnelhops bekommst
Das ist doch ein simpler Klassiker mit statischen oder dynamischen Routing !
Grundlagen zu IPsec Routing findest du auch hier:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Außrdem hat AVM die Lösung selber parat:
http://avm.de/nc/service/fritzbox/fritzbox-3270/wissensdatenbank/public ...
und auch:
http://avm.de/service/vpn/praxis-tipps/drei-oder-mehr-fritzbox-netzwerk ...
Die grundlegende Frage die sich auch stellt was der Unsinn in der Hauptstelle mit einer Router Kaskade soll ? Der Lancom supportet doch wunderbar auch IPsec VPNs die man dann auf den FBs hätte terminieren können ?!
Aber nundenn...warum einfach machen...?!
Dann posten wir dir hier ne Lösung wie du es über 10 und mehr Tunnelhops bekommst
Das ist doch ein simpler Klassiker mit statischen oder dynamischen Routing !
Grundlagen zu IPsec Routing findest du auch hier:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Außrdem hat AVM die Lösung selber parat:
http://avm.de/nc/service/fritzbox/fritzbox-3270/wissensdatenbank/public ...
und auch:
http://avm.de/service/vpn/praxis-tipps/drei-oder-mehr-fritzbox-netzwerk ...
Die grundlegende Frage die sich auch stellt was der Unsinn in der Hauptstelle mit einer Router Kaskade soll ? Der Lancom supportet doch wunderbar auch IPsec VPNs die man dann auf den FBs hätte terminieren können ?!
Aber nundenn...warum einfach machen...?!
Deine Änderungen ergeben so keinen Sinn. Wenn ich den KB-Artikel richtig verstehe, dann musst Du am Standort Y an den beiden bestehenden VPN-Tunneln gar nichts ändern, sondern nur an X und Z.
Am Standort X wird die Phase2-Policy um folgenden Eintrag erweitert:
"permit ip any 192.168.179.0 255.255.255.0"
Am Standort Z wird die Phase2-Policy um folgenden Eintrag erweitert:
"permit ip any 192.168.176.0 255.255.255.0"
Zusätzlich muss am Standort X noch dem LANCOM-Router per statischer Route mitgeteilt werden, dass er das Netz 192.168.179.0/24 über die lokale Fritzbox erreicht.
Gruß
sk
Am Standort X wird die Phase2-Policy um folgenden Eintrag erweitert:
"permit ip any 192.168.179.0 255.255.255.0"
Am Standort Z wird die Phase2-Policy um folgenden Eintrag erweitert:
"permit ip any 192.168.176.0 255.255.255.0"
Zusätzlich muss am Standort X noch dem LANCOM-Router per statischer Route mitgeteilt werden, dass er das Netz 192.168.179.0/24 über die lokale Fritzbox erreicht.
Gruß
sk
1
Leider nicht die Ausgangssituation gelesen der Lancom Router ist öffentlich nicht erreichbar...
Falls jemand interessiert ist hier die Lösung:
und schwuppdiwupp ist der Fuffy ausradiert
Spende ihn wenigstens dem Forum, wenn du hier schon damit rumwedelst ....
Spende ihn wenigstens dem Forum, wenn du hier schon damit rumwedelst ....
Ich habe ihn entfernt da keiner den wirklich entscheidenten Hinweis leisten konnte. Sonst hätte ich Ihn natürlich gewährt.
Gib mir n Spendenkonto vom Forum dann werde ich das machen.
P.S. als Nachweis poste ich sogar den Beleg!
Da ich die Lösung bereits gefunden habe, habe ich naütlich den Eintrag entfernt da sonst ja jetzt jemand noch mir die "Lösung" schreiben könnte.
P.S. ich habe mir auch extra die Mühe gemacht eine Anleitung für das Forum zu schreiben, damit meine Nachfolger auf das Forum kommen und wenigstes die Werbeeinnahmen steigen ;)
Gib mir n Spendenkonto vom Forum dann werde ich das machen.
P.S. als Nachweis poste ich sogar den Beleg!
Da ich die Lösung bereits gefunden habe, habe ich naütlich den Eintrag entfernt da sonst ja jetzt jemand noch mir die "Lösung" schreiben könnte.
P.S. ich habe mir auch extra die Mühe gemacht eine Anleitung für das Forum zu schreiben, damit meine Nachfolger auf das Forum kommen und wenigstes die Werbeeinnahmen steigen ;)
Moin,
schön das es funktioniert. Deshalb aber einen neuen Beitrag vom Typ Anleitung aufzumachen - ich weiß nicht. Die Anleitung geht mir zu wenig ins Detail und berücksichtigt keine Sicherheitsmaßnahmen. Du kannst die Anleitung gerne ausbauen (Details, Details, Details,...), dann lasse ich sie dort. Wenn du keine Zeit hast oder zu faul bist, poste den Inhalt hier als Antwort und ich trete die Anleitung in die Tonne.
Die Schlussfolgerungen sind so nicht ganz korrekt. Es hängt doch von den Anforderungen und den Sicherheitsbedürfnissen ab. Für mich sieht das, ohne genauere Infos, eher aus als würdest du in das linke und rechte Netzwerk eine Backdoor einbauen. Denn wenn eine Fremdling in VPN drin ist hat er freien Zugriff auf (fast) alles, denn die evtl. LANCOM-Firewalls hebelst du sauber mit den Switches aus. Sicherheit sieht anders aus - just my 5 cents...
Gruß,
Dani
schön das es funktioniert. Deshalb aber einen neuen Beitrag vom Typ Anleitung aufzumachen - ich weiß nicht. Die Anleitung geht mir zu wenig ins Detail und berücksichtigt keine Sicherheitsmaßnahmen. Du kannst die Anleitung gerne ausbauen (Details, Details, Details,...), dann lasse ich sie dort. Wenn du keine Zeit hast oder zu faul bist, poste den Inhalt hier als Antwort und ich trete die Anleitung in die Tonne.
Die Schlussfolgerungen sind so nicht ganz korrekt. Es hängt doch von den Anforderungen und den Sicherheitsbedürfnissen ab. Für mich sieht das, ohne genauere Infos, eher aus als würdest du in das linke und rechte Netzwerk eine Backdoor einbauen. Denn wenn eine Fremdling in VPN drin ist hat er freien Zugriff auf (fast) alles, denn die evtl. LANCOM-Firewalls hebelst du sauber mit den Switches aus. Sicherheit sieht anders aus - just my 5 cents...
Gruß,
Dani
Zitat von @derhalf:
Ich habe ihn entfernt da keiner den wirklich entscheidenten Hinweis leisten konnte.
wie bitte ... der Hinweis mit der Access-List war doch dein Schlüssel zum Glück mit deiner Frittenbude - umsetzen musst du es natürlich immer selber, das können wir dir hier ja nicht abnehmen.Ich habe ihn entfernt da keiner den wirklich entscheidenten Hinweis leisten konnte.
Gib mir n Spendenkonto vom Forum dann werde ich das machen.
wende dich mit einer PM an @Frank der nimmt das gerne entgegen... 
Grüße Uwe
Gesundes Neues!
LG, Thomas
denn die evtl. LANCOM-Firewalls hebelst du sauber mit den Switches aus
Jupp. Ist aber schick: wenn die firewalls fehlkonfiguriert sind, kannst Du trotzdem prima arbeiten damit meine Nachfolger auf das Forum kommen und wenigstes die Werbeeinnahmen steigen
Damit kann man aber die dann notwendigen Exorcismen vermutlich aber noch nicht bezahlen ...LG, Thomas
Die Sicherheitsbedenken sind sicherlich berechtigt.
Der "Schutz" wird Global von G-Data und einer Softwarefirewall sowie Device Control sicher gestellt.
Ich halte nicht viel von teuren Firewall Lösungen etc. (kommt natürlich auf den Kunden an)
Denn in den meisten Netzwerken reicht es aus wenn ich einem Mitarbeiter unter einem Vorwand einen USB Stick unterjubel. (Geht sogar bei Sony).
Also wenn keine "wichtigen" oder "teuren" Plände, Daten etc im Netzwerk sind ist mein Ansatz eine extrem gute und schnelle Datensicherung.
Denn mal ehrlich einen Laien Hacker hält G-Data und die externe Firewall auf. Ein profi lächelt doch nur drüber der es auf eine Firma abgesehen hat. Egal ob dieser Firewall im Wert von 5.000€ installiert hat oder nicht.
Aber darüber lässt sich sicherlich streiten.
Wenn die Anleitung nicht passt dann halt wieder löschen.
P.S. wegen dem entscheidenten Hinweis:
Ich hatte geschrieben 50€ für den der mir den entscheidenten Hinweis gibt und das hat definitiv keiner es waren lediglich bruchstücke zum Erfolg. Aber wie gesagt. nennt mir n Spendenkonto und ich üebrweise 50€ ans Forum hat mir schließlich in der Summe geholfen. Daran soll es nicht scheitern.
Danke an alle die gepostet haben!
Der "Schutz" wird Global von G-Data und einer Softwarefirewall sowie Device Control sicher gestellt.
Ich halte nicht viel von teuren Firewall Lösungen etc. (kommt natürlich auf den Kunden an)
Denn in den meisten Netzwerken reicht es aus wenn ich einem Mitarbeiter unter einem Vorwand einen USB Stick unterjubel. (Geht sogar bei Sony).
Also wenn keine "wichtigen" oder "teuren" Plände, Daten etc im Netzwerk sind ist mein Ansatz eine extrem gute und schnelle Datensicherung.
Denn mal ehrlich einen Laien Hacker hält G-Data und die externe Firewall auf. Ein profi lächelt doch nur drüber der es auf eine Firma abgesehen hat. Egal ob dieser Firewall im Wert von 5.000€ installiert hat oder nicht.
Aber darüber lässt sich sicherlich streiten.
Wenn die Anleitung nicht passt dann halt wieder löschen.
P.S. wegen dem entscheidenten Hinweis:
Ich hatte geschrieben 50€ für den der mir den entscheidenten Hinweis gibt und das hat definitiv keiner es waren lediglich bruchstücke zum Erfolg. Aber wie gesagt. nennt mir n Spendenkonto und ich üebrweise 50€ ans Forum hat mir schließlich in der Summe geholfen. Daran soll es nicht scheitern.
Danke an alle die gepostet haben!
Zitat von @derhalf:
Ich habe ihn entfernt da keiner den wirklich entscheidenten Hinweis leisten konnte. Sonst hätte ich Ihn natürlich
gewährt.
Ich habe ihn entfernt da keiner den wirklich entscheidenten Hinweis leisten konnte. Sonst hätte ich Ihn natürlich
gewährt.
Nicht dass ich das Geld hätte haben wollen, da ich hier ohnehin zum Zwecke der gegenseitigen (also auch meiner) Wissensmehrung mitwirke, aber DIESE Aussage von Dir ist doch wohl absolut unverschämt und peinlich! Du hast ausschließlich das umgesetzt, was colinardo und ich für Dich hier recherchiert und entwickelt haben!
Vergleiche nur mein Posting von 14:17 Uhr: Da stehen exakt die 3 Konfigurationsschritte drin, die letztlich umzusetzen waren!
Zitat von @derhalf:
P.S. ich habe mir auch extra die Mühe gemacht eine Anleitung für das Forum zu schreiben, damit meine Nachfolger auf das
Forum kommen und wenigstes die Werbeeinnahmen steigen ;)
P.S. ich habe mir auch extra die Mühe gemacht eine Anleitung für das Forum zu schreiben, damit meine Nachfolger auf das
Forum kommen und wenigstes die Werbeeinnahmen steigen ;)
Der Gedanke war ja ganz löblich, aber die Ausführung ist delittantisch! Der Umstand, dass es Dir hierbei nicht gelungen ist, das Wesentliche vom Unwesentlichen zu trennen, um die Aufgabenstellung und den Lösungsweg klar herauszuarbeiten, zeigt doch, dass Du allein eben nicht auf die Lösung gekommen wärst.
Mit einigem Kopfschütteln
sk
1
