Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Routing-Problem Checkpoint VPN-1 UTM

Frage Sicherheit Firewall

Mitglied: SaschaHB-1980

SaschaHB-1980 (Level 1) - Jetzt verbinden

19.08.2010 um 08:58 Uhr, 6261 Aufrufe, 3 Kommentare

Hallo Mit-Administratorinnen und Administratoren!

Ich habe mal wieder ein kleines Problem, das sich von mir partout nicht lösen lassen will.

Hier einmal das Szenario: Wir wurden "geschluckt" von einer anderen Firma. Diese Firma hat ein Class C Netz (192.168.176.0) und eine Astaro-Firewall. Wir haben intern ein Class B Netz (10.10.0.0) mit einer Checkpoint VPN-1 UTM. Die Kommunikation zwischen beiden Firmen und Netzen klappt einwandfrei. Wir haben jedoch noch ein Außenlager angebunden über eine VPN-1 UTM Edge X Series. Das Außenlager hat ein Class C Netz (10.10.129.0).

Das Problem ist nun die Kommunikation mit dem Außenlager. Momentan muss von dort nur mit einem Rechner hier im Hause, auf dem eine Java-Anwendung läuft, kommuniziert werden. Auf diesem Rechner ist eine feste Route hinterlegt, die über unsere Firewall zum Außenlager routet. Nun muss aber etwas umgestellt werden, ich will nun also erreichen, dass ich direkt aus unserem Class B Netz mit dem Außenlager kommunizieren kann (letzter Schritt soll dann auch sein, dass wir direkt aus dem Netz unserer Mutterfirma mit dem Außenlager kommunizieren wollen.

Ich denke, ich müsste das Ganze über eine NAT-Regel machen, oder? Aber egal, was ich da bisher versucht habe, ich kann keinen Ping absetzen. Erst, wenn ich über route add eine Route einrichte, funktioniert es. Dieses manuelle Einrichten der Routen auf jeden Rechner will ich mir irgendwie sparen, indem ich es über die Firewall abdecke.

Ich bin dankbar für jede Hilfe.

Einen schönen Tag und vielen Dank.

Sascha
Mitglied: aqui
19.08.2010 um 12:21 Uhr
Das ist auch mit NAT nicht möglich, da du vermutlich aus Unwissenheit einen schweren IP Adressierungsfehler in deinem Netzdesign gemacht hast !
In eurem Standort hast du ein Class B Netz 10.10.0.0 /16 das Außenlager Netz hat aber die 10.10.129.0 /24.
Der Standort Router kann nun niemals mehr unterscheiden das die 10.10.129.x ein weiteres Netzwerk ist denn für ihn mit seiner 16 Bit Class B Adresse ist alles was mit 10.10.129.x adressiert ist natürlich ein Host aus seinem lokalen LAN Netzwerk.
Klar, denn sein Netzwerkteil hört bei 10.10.x.x auf. Alles was für ihn im 3ten und 4ten Byte steht sind Endgeräte ! Ein Routing ins Außenlager Netzwerk ist damit für ihn IP-technisch nicht mehr möglich durch die Subnetzmasken Überschneidung der 10.10er Netze !
Also nochmal das Knowhow mit der Netz Maskierung auffrischen !!
http://de.wikipedia.org/wiki/Netzmaske

Du kannst das Problem aber ganz einfach lösen indem du dem Außenlager ein anderes IP Netz gibst wie z.B. 10.11.126.0 /24 oder 10.100.126.0 /24 usw. (Vermutlich ist das einfach da es hier nur wenig IP Endgeräte Adressen gibt ?!)
Damit ist dieses Netz für den Stanortrouter dann wieder eindeutig zuortbar.
Der "Schluck" Firma reicht dann eine Standardroute 10.0.0.0 /8 auf euren Router damit alle 10er Pakete auch die des Außenlagers zu euch kommen.

Das o.a entfällt allerdings wenn der VPN Link ins Außenlager als Bridge konfiguriert ist. Das macht aber kein normaler (VPN) Mensch so, so das du das Routing bzw. IP Netzwerkproblem erst lösen musst !
Bitte warten ..
Mitglied: SaschaHB-1980
19.08.2010 um 15:13 Uhr
Hallo aqui!

Vielen Dank für die Antwort. Mir ist bewusst, dass das ganze ein struktureller Fehler ist, aber dafür bin ich nicht verantwortlich! Das war historisch gewachsen... Ich versuche hier momentan den Scherbenhaufen zu beseitigen. Habe intern schon zwei Netze zusammen geführt (zwei Class C Netze 10.10.10.0 und 10.10.11.0 => daher das neue Class B Netz).

Ich hatte jetzt nur gehofft, dass ich die Netzänderung im Außenlager noch ein wenig aufschieben könnte, weil wir nebenbei in einer großen ERP-Umstellung stecken. Aber es wird dann wohl nichts anderes übrig bleiben. Werde dann schnellstmöglich dort die Endgeräte (1 Drucker, 4 Access-Points und 4 mobile Datenerfassungsgeräte) und die Edge umstellen.

Aber wie gesagt - vielen Dank für die Antwort!

Sascha
Bitte warten ..
Mitglied: aqui
19.08.2010 um 16:22 Uhr
Das ist auf alle Fälle der sicherste Weg für ein funktionierendes Netz wenn du die IPs änderst im Außenlager !

Wenns das war bitte
http://www.administrator.de/index.php?faq=32
nicht vergessen !
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Router & Routing
gelöst VPN- Routing - Problem - Netzwer 1 kommt auf 2 aber anders herum nicht (8)

Frage von itschloegl zum Thema Router & Routing ...

Microsoft
AD Problem und VPN (4)

Frage von Yannosch zum Thema Microsoft ...

LAN, WAN, Wireless
Script bei starten einer VPN Verbindung mit Checkpoint-VPN Client (2)

Frage von maddig zum Thema LAN, WAN, Wireless ...

Netzwerke
Integration eines fremden Netzwerks (Routing-Problem) (63)

Frage von Brian85 zum Thema Netzwerke ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...