Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Routing in 3 Netzwerken durch IPsec-Tunnel

Frage Netzwerke Router & Routing

Mitglied: leipy

leipy (Level 1) - Jetzt verbinden

13.07.2007, aktualisiert 16.07.2007, 8044 Aufrufe, 5 Kommentare

Problem mit Routingtabellen zur Kommunikation in 3 Netzwerken durch IPsec-Tunnel

Hallo zusammen,
nach vielen Stunden und erfolglosen Versuchen beschreibe mal mein Problem zum Netzwerkrouting in 3 Teilnetzwerken:

Aufbau:

Standort A
192.168.10.0/24
|
|
ROUTER 192.168.10.254 (Netgear FVS318)
|
|
IPSEC-Tunnel durchs Internet
|
|
ROUTER 192.168.0.254 (Netgear FVS318)
|
|
Standort B
192.168.0.0/24
|
|
interner Router 192.168.0.10
2.NIC=192.168.3.10
Debian mit iptables
|
|
internes Netz 192.168.3.0/24
|
|
irgendein Server 192.168.3.101


Kein dynamisches Routing, d. h. keine Routingprotokolle wie RIP oder so...
So, das ganze funktioniert von Standort A zu Standort B und umgekehrt einwandfrei durch den IPSEC-Tunnel.
Die Rechner aus dem 10.0-Netz erreichen das 0.0er Netz und umgekehrt. Die Routingtabellen haben wir auf den PCs und Servern (nur dort, wo der Zugriff ins andere Netz notwendig war), statisch eingetragen (route add -p ...)

Jetzt kommt das 3.0-er Netz ins Spiel:
Das 3er Netz kommt problemlos ins 0.0-er Netz über den internen Router und umgekehrt, aber leider nicht zum Standort A durch.
Standort A kommt auch nicht ins 3.0-er Netz von Standort B.

Wohin muss der Client in Standort A sein Paket schicken, wenn er ins 3.0er-Netz will ? Vermutlich zuerst an den IPSEC-Router 192.168.10.254. Und wie dann weiter ? Am IPsec-Router kann man statische Routingtabellen anlegen. Der IPsec-Router muss das Paket vermutlich weiterleiten an den Router in Standort B, oder direkt an den internen Router im Standort B ?
Welche Route braucht der Server 3.101 zurück ?
Vermutlich ist die Lösung ganz simpel, nur ich komm einfach net drauf

Danke schonmal für Eure Hilfe !
Mitglied: Randyman
14.07.2007 um 17:13 Uhr
Hi,

ich vermute es liegt an der Rückroute.

Zuerst das einfache:

Der Server 192.168.3.101 braucht als Standardgateway die 192.168.3.10; sonst nichts; also keine weiteren statischen Routen.

Der Router 192.168.10.254 muss wissen dass das Netz 192.168.3.0 hinter dem VPN-Tunnel liegt. Kenne den Router nicht; entweder in der VPN-Konfig einzustellen oder als Route.

Der Router 192.168.0.254 braucht eine statische Route für das Netz 192.168.3.0 mit Gateway auf die 192.168.0.10.
Diese interne Router kennt dann den Weg; das Netz 192.168.3.0 ist ja sein eigenes auf der entsprechenden NIC, aber er kennt u.U. den Weg zu 192.168.10.0 nicht, also hier auch eine statische Route mit Gateway 192.168.0.254.

Viel Erfolg und lass uns wissen obs geklappt hat.

Gruss
Randy
Bitte warten ..
Mitglied: leipy
14.07.2007 um 20:55 Uhr
Hi Randy,
danke erstmal für Deine Antwort !

<<
Der Router 192.168.10.254 muss wissen dass das Netz 192.168.3.0 hinter dem VPN-Tunnel liegt. Kenne den Router nicht; entweder in der VPN-Konfig einzustellen oder als Route.
<<

Vermutlich liegt hier der Hund begraben. Durch den Tunnel werden keine Daten mit Destination 3.0/24 geleitet. Auch nach dem statischen Eintragen auf 10.254 (192.168.3.0/24 via 0.10/24) gings net. Vom Router aus kann ich die 0.10 aber anpingen, die Daten kommen dort auch an (mit tcpdump verifiziert). Nur wenn ich 3.10 ping, kommt nix an auf 0.10 lt. tcpdump.

Also muss ich mir das ipsec genauer anschauen. Allerdings wirds hier Schwierig, weil das IPSEC wird ja mit einem lokalen LAN und einem remote-LAN konfiguriert (10.0 und 0.0 in diesem Falle).
Leider bietet der Router 10.254 (Netgear FVS 318 auf beiden Seiten) keine Möglichkeit, hier zusätzliche Parameter zu konfigurieren. Die Zugangsrestriktionen für den Tunnel (any local subnet usw...) habe ich alle freigeschalten. Leider auch ohne erfolg.

Evtl. hilft ein zweiter Tunnel weiter. Da muss ich mal noch rumexperimentieren. Sonst fällt mir leider nix ein. Solange keine Daten auf 0.10 ankommen, liegts sicher am IPSEC.

Fällt Dir sonst noch was ein ?

Grüssle, Stefan
Bitte warten ..
Mitglied: Randyman
15.07.2007 um 09:47 Uhr
Hi,

ich hab mir die Anleitung des Routers grad mal angesehen. Man kann hier scheinbar nur ein Netz für die Gegenseite des Tunnels angeben. Aber das ist genau das Problem; der Router muss wissen dass er die 192.168.3.0 in den Tunnel routen soll.

Frag doch mal bei Netgear nach: https://my.netgear.com/myNETGEAR/support.asp

Wie kann man weitere Subnetze eines Standortes in den Tunnel routen?

Sorry, sonst fällt mir im Moment auch nix ein.

Gruss
Randy
Bitte warten ..
Mitglied: leipy
16.07.2007 um 08:32 Uhr
Hi Randy,
vielen Dank für Deine Hilfe !

Das mitlesen mit tcpdump bestätigt den Verdacht, dass es an den IPSEC-Routern liegt.

Ich werde daher mal beim Support nachfragen, obs ne Lösung gibt. Ansonsten muss ich die Router wohl mal langsam ersetzen...

Bis ich die Antwort vom Support habe, werde ich den Thread noch offen lassen.
Gruss, Stefan
Bitte warten ..
Mitglied: leipy
16.07.2007 um 14:42 Uhr
Hier die Antwort vom Support:
7/16/2007 11:27:00 AM

Um das zweite Subnetz erreichen zu können, benötigen Sie einen direkten tunnel in das Zielnetz.
Der LAN-Router, der die beiden Subnetze trennt muss als Tunnel-Endpunkt konfiguriert werden.

Eine Angabe von mehreren Teilnetzen im VPN-Client ist nicht möglich und auch ein Weiterrouten mittels statischer Routen im Gatewayrouter wird nicht funktionieren.
Damit kann der Thread geschlossen werden, da das Problem zwar nicht gelöst werden konnte, aber die Ursache ermittelt wurde.
Gruss
Stefan
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Routing VPN-Tunnel anderes Netzwerk
Frage von LandorCaeyranRouter & Routing5 Kommentare

Hallo zusammen, ich bin Entwickler und helfe einem Bekannten bei seiner Kleinen Firma bei EDV Dingen aus. Meine Idee ...

Router & Routing
Routingproblem IPsec Tunnel
gelöst Frage von tvprog1Router & Routing3 Kommentare

Hallo, folgende Konstellation: Eine Firewall hat drei Interfaces (eth1, eth2 und eth3). eth1 (5.1.1.10/30) dient als Transfernetz zum Provider ...

LAN, WAN, Wireless
Sophos SG - IPSEc Routing
Frage von EvilmachineLAN, WAN, Wireless2 Kommentare

Hallo. vor einer Weile hatte ich hier nach Firewalls gefragt und mir wurde die Sophos UTM empfohlen. Ich habe ...

Router & Routing
PfSense Routing durch VPN-Tunnel
Tipp von FA-jkaRouter & Routing2 Kommentare

Ich hatte vorhin das Problem, dass eine pfSense keine Route auf einen OpenVPN-Client setzen kann. In der Sense war ...

Neue Wissensbeiträge
Windows 10

Windows 10 Fall Creators Update - Neue Funktion Hyper-V Standardswitch kann ggf. Fehler bei Proxy Configs verursachen

Erfahrungsbericht von rzlbrnft vor 7 StundenWindows 101 Kommentar

Hallo Kollegen, Da wir die Gefahr lieben, haben wir bei einigen Usern nun mittlerweile das Creators Update drauf. Einige ...

Sicherheit

TLS-Zertifikat und privater Schlüssel von Microsofts Dynamics 365 geleakt

Information von Penny.Cilin vor 8 StundenSicherheit

Microsoft hat versehentlich das TLS-Zertifikat inklusive dem privaten Schlüssel seiner Business-Anwendung Dynamics 365 geleakt. TLS-Zertifikat und privater Schlüssel von ...

Viren und Trojaner

Deaktivierter Keylogger in HP Notebooks entdeckt

Information von bitcoin vor 1 TagViren und Trojaner2 Kommentare

Ein Grund mehr warum man Vorinstallationen der Hersteller immer blank bügeln sollte Der deaktivierte Keylogger findet sich im vorinstallierten ...

Router & Routing

Lets Encrypt kommt auf die FritzBox

Information von bitcoin vor 1 TagRouter & Routing

In der neuesten Labor-Version der FB7490 integriert AVM unter anderem einen Let's Encrypt Client für Zugriffe auf das Webinterface ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Firefox Profieles im Roaming
gelöst Frage von Hendrik2586Netzwerkmanagement17 Kommentare

Hallo liebe Leute. :) Ich hab da ein kleines Problem, welches anscheinend nicht unbekannt ist. Wir nutzen hier in ...

LAN, WAN, Wireless
Häufig Probleme beim Anmelden in WLAN
Frage von mabue88LAN, WAN, Wireless15 Kommentare

Hallo zusammen, in einem Netzwerk gibt es relativ häufig (1-2 mal pro Woche) Probleme mit der WLAN-Verbindung. Zunächst mal ...

Batch & Shell
Trusted Sites für alle User auf dem PC einpflegen
Frage von xXTaKuZaXxBatch & Shell12 Kommentare

Aufgabestellung: Es sollen auf 1 PC (bzw. mehreren PCs) vertrauenswürdige Sites per Powershell eingetragen werden, die für alle User ...

Netzwerkgrundlagen
Hi eine blöde frage. xD
Frage von 132954Netzwerkgrundlagen12 Kommentare

Also: Habe 2012 r2 essentials neuinstalliert, allerdings installiert diese version ja gleich diesen gangen AD kram mit, den hab ...