Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Netzwerke Router & Routing

Routingproblem über ein Zwischennetzwerk hinweg (incl. VPN)

Mitglied: knibbelmumpf

knibbelmumpf (Level 1) - Jetzt verbinden

23.04.2009, aktualisiert 17:56 Uhr, 4180 Aufrufe, 3 Kommentare

Hallo alle zusammen,
ich hoffe, Ihr könnt mir auf die Sprünge helfen. Ich bin mit meinem Latein am Ende

Es geht um insgeamt 3 Netze.
A) "mein" eigenes: 171.1.1.0 MASK 255.255.255.0 - hier gibt es eine FireWall mit der IP 171.1.1.65
B) unser befreundets, ebenfalls zur Firma gehörendes Netz 10.0.100.0 MASK 255.255.255.0 - hier hat die FireWall die 10.0.100.2
C) das Netz des Dienstleisters - dort gibt es eine IP, auf die wir zugreifen wollen - 192.168.111.145

Im Endeffekt geht es darum, dass die 192.168.111.145 ein SAP System ist, auf das wir mittels SAP GUI aus Netz A zugreifen wollen.
Zwischen Netz B (befreundet) und C (SAP des Dienstleisters) existiert ein VPN - und über dieses funktioniert auch der Zugriff mittels SAP GUI. Auch der Ping von B auf 192.168.11.145 funktioniert über das VPN.

Wir können nun leider kein eigenes VPN zwischen A ("meins") und C (Dienstleister) einrichten.
Wir haben aber ein funktionierendes VPN zwischen A und B. Hier klappen die Zugriffe und Pings etc. in beide Richtungen.

Eigentlich dachte ich, dass es nun auch einfach sein müsste, dem DefaultGateway von A (das ist dort meine FireWall 171.1.1.65) beizubringen, dass 192.168.111.145 über das VPN zu erreichen ist - und damit der Zugriff von A nach C funktionieren würde.

Leider klappt das nicht ! Ich hoffe, ihr könnt mir helfen.

Folgende Randbedingungen:
Im VPN von B nach C wird geNATet - d.h alle Clients in B erscheinen mit derselben IP (der der dortigen FireWall) bei C. Wäre das nicht so, müsste ich bei C einen Routingeintrag für 171.1.1.0 (Netz A) anlegen lassen. Das geht leider nicht.

Im VPN zwischen A und B habe ich freie Hand.
Dort habe ich alle Varianten von NAT und nichtNAT ausprobiert (kein NAT. NAT nur von A nach B, NAT nur von B nach A, NAT in beide Richtungen) - trotzdem bekome ich beim Ping von A nach C "Zeitüberschreitung der Anforderung"
Von A nach B kann ich pingen (z.B. von 171.1.1.33 nach 10.0.100.2)
Von B nach C kann ich auch pingen (z.B. von 10.0.100.20 nach 192.168.111.145)

Bei den FireWalls handelt es sich nicht um Windows-rechner sondern um a) Watchguard und b) FortiGate.

Wisst Ihr noch einen Rat ?

Beste Grüße
knibbelmumpf
Mitglied: spacyfreak
23.04.2009 um 20:07 Uhr
Das geht nicht weil Netz A nicht in der Encryption Domain des VPNs von Netz C drin ist.
Daher wird keine Verbindung von A nach C funktionieren.

Daher muss das A Netz entweder in die Encryption Domain zwischen B und C hinzugefügt werden, oder man bedient sich eines NAT-Tricks.
Mit einer Masquerading Rule könnte man dem VPN Server in C vorgaukeln, eine Anfrage von A käme eigentlich vom B Netz.
Dazu muss die A-Ip Adresse via "source NAT" auf VPN Server B übersetzt werden in eine freie (virtuelle) IP-Adresse die zum B-Netz gehört. Dann kann einer aus Netz A über die virtuelle IP aus Netz B auf C zugreifen.
Bitte warten ..
Mitglied: knibbelmumpf
24.04.2009 um 04:19 Uhr
Hallo,

danke für Deine Antwort.

Ich war bisher der Meinung, dass dies ja durch das NATen von B nach C erfolgen würde - dadurch kommen aus sich von C (bzw. aus Sich von 192.168.111.145) alle Anfragen von derselben IP-Adresse - nämlich von B, oder ?

Dann dachte ich: doppelt hält besser: Ich habe von A nach B geNATet - d.h. alle Anfragen von A nach B scheinen von der IP des VPN-Endpunkts in B zu kommen (also von 10.0.100.2).
Funktionierte abefr auch nicht...
Wenn ich mich von A auf einen Server in B verbunden habe, sagte der Server, 10.0.100.2 hätte sich mit ihm zu verbinden.
Mein Ping auf 192.168.111.145 kam aber nicht ab - bzw. kam nicht zurück

Ich werde mich auf jeden Fall mal mit dem Thema "Source NAT" beschäftigen - und gucken, ob ich das auf einer der FireWalls aktivieren kann.

Beste Grüße,
knibbelmumpf
Bitte warten ..
Mitglied: spacyfreak
24.04.2009 um 12:02 Uhr
Ich hab mit solchen Problemen täglich zu tun, das sollte funktionieren. Eventuell auch FW Regeln anpassen, Schritt für Schritt vorgehen und schaun wo die Pakete hängenbleiben wenns nicht funktioniert. Eventuell auch Netzwerksniffer / tcpdump benutzen um zu schauen wo was ankommt oder eben nicht ankommt.
Bitte warten ..
Ähnliche Inhalte
Router & Routing
OpenVPN Routingproblem
gelöst Frage von BirdyBRouter & Routing11 Kommentare

Hallo zusammen, ich versuche mich gerade daran, ein Site-to-Site-VPN zwischen einer pfSense und einem Mikrotik-Router aufzusetzen. Das Setup sieht ...

Windows 8
Windowsfreigaben über Netzwerke hinweg
gelöst Frage von ejaybassWindows 85 Kommentare

Hallo! Ich stehe vor einem kleinen Fragezeichen. Und zwar habe ich zwei Rechner, die über die Fritzbox VPN an ...

Router & Routing
Virtuelles Netzwerk (Virtualbox) - Routingproblem
gelöst Frage von HellgoreRouter & Routing6 Kommentare

Aloah! Ich kämpfe seit zwei Tagen mit einer Aufgabe im Rahmen meiner Ausbildung und finde einfach keine Lösung. Das ...

Router & Routing
Routingproblem in Homerouter-Kaskade mit Raspi
gelöst Frage von OldschoolRouter & Routing25 Kommentare

Hallo liebe Netzwerkspezialisten, Ich habe in unserem Netzwerk einen Standardfall der gefühlt mehrere Tausend Mal in diesem Forum geschildert ...

Neue Wissensbeiträge
Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 2 TagenLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 2 TagenTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 2 TagenSicherheit12 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 2 TagenSicherheit10 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Heiß diskutierte Inhalte
E-Mail
Erfahrungen mit hMailServer gesucht
Frage von it-fraggleE-Mail10 Kommentare

Hallo, meine neue Stelle möchte einen eigenen Mailserver. Ich als Linuxkind war direkt geistig mit Postfix dabei. Leider wollen ...

Firewall
Penetrationstester-Labor - Firewalls
Frage von Oli-nuxFirewall9 Kommentare

Mich würde interessieren warum man beim Einrichten eines Penetrationstester-Labor (VMs) die Firewall der Systeme deaktivieren soll? Hat das nur ...

Entwicklung
VBS: alle PDF-Dateien in einem Ordner gleichzeitig öffnen
gelöst Frage von JuweeeEntwicklung9 Kommentare

Hallo, ich habe in deiner Ordnerstruktur (.\Tagesberichte\xx.18\) mehrere dynamische PDF-Formulare (mit LCD erstellt). Die Berichtsformulare sind im Layout alle ...

Netzwerkgrundlagen
IPv6 Inter-VLAN Routing
gelöst Frage von clSchakNetzwerkgrundlagen8 Kommentare

Hi ich befasse mich gerade mit der Implementierung von IPv6 was bisher (in einem VLAN) korrekt funktioniert inkl. DNS ...