Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VPN Netzwerk mit verschiedenen Subnetzen

Frage Sicherheit Firewall

Mitglied: JoeWied

JoeWied (Level 1) - Jetzt verbinden

20.07.2009, aktualisiert 22:05 Uhr, 6876 Aufrufe, 8 Kommentare

Wäre nett, wenn mir da jemand helfen könnte, der sich etwas mit Routing auskennt.

Wir haben ein Netzwerk mit einer Hauptstelle und 3 Filialen.
Der Hauptsitz besitzt das Segment 192.168.2.1 / 255.255.255.0 und die Filiale-A 192.168.1.1 / 255.255.255.0 und die
Filiale-B 192.168.3.1 / 255.255.255.0 und Filiale-C 192.168.4.1 / 255.255.255.0.

Der Hauptsitz ist mit je einem VPN-Link zu den Filialen verbunden. Das funktioniert soweit gut, das heisst, jedes
Filial-Netz kann nun den Hauptsitz kontaktieren und der Hauptsitz jedes einzelne Subnetz.

Nun kommt jedoch der Wunsch auf, dass jedes Subnetz auch jeweils das andere Subnetz kontaktieren sollte
können. Wie macht man das und wie sollte die Konfiguration aussehen ohne dass man zwischen den
Subnetzen auch noch je ein VPN legt. Durch legen von VPNs zwischen den einzelnen Subnetzen könnte
es doch Verbindungen kommen die dann im Kreis laufen.

Besten Dank für jeden Tip
Joe
Mitglied: aqui
20.07.2009 um 22:19 Uhr
Das ist ganz einfach und im Handumdrehen gemacht.
Normalerweise wird ja nur das Hauptsitz Netz ins VPN geroutet und alles andere würde lokal in den Filialen ins Internet gehen, da der lokale Router das default Gateway ist.
Damit geht es dann ins Nirwana, da deine RFC_1918_Netze im Internet nicht geroutet werden und sofort in den Mülleimer beim Provider wandern !

Die Lösung ist ganz einfach:
Du trägst in den Filialnetzen einfach eine Route ein die die anderen Filialnetze auch in den VPN Tunnel zum Hauptsitz routet und von da in die anderen Filialnetze.
Hier mal als Beispiel für die Filiale A

Statische Routen in die Filialen
Zielnetz: 192.168.3.0, Maske: 255.255.255.0, Gateway: <VPN Router IP Adresse>
Zielnetz: 192.168.4.0, Maske: 255.255.255.0, Gateway: <VPN Router IP Adresse>

Fertig bist du und schon funktioniert die Any zu Any Kommunikation aller Filialen !

P.S.: Du hast oben statt der IP Netzadressen fälschlicherweise eine IP Hostadresse angegeben für deine Netze.
Die IP Netzadresse ist IMMER die Adresse in der alle Hostbits auf Null sind !
Richtig lautet also die Liste mit einer 24 Bit Subnetzmaske:
Hauptsitz: 192.168.2.0 /24
Filiale A: 192.168.1.0 /24
Filiale B: 192.168.3.0 /24
Filiale C: 192.168.4.0 /24

Siehe:
http://de.wikipedia.org/wiki/IP-Adresse
Bitte warten ..
Mitglied: JoeWied
20.07.2009 um 22:43 Uhr
Hallo aqui

Vielen Dank, habs grad mal remote konfiguriert.

Darf ich zu deiner ausführlichen Beschreibung noch folgende Fragen stellen ?

<VPN Router IP Adresse> : ist das die lokale oder die WAN-Adresse des Filialrouters ?

Aber es ist schon richtig, dass der Router zB. die Adresse 192.168.1.1 hat und nicht 192.168.1.0 mit
der Maske 255.255.255.0 - du sprichst nur die Notation an. Ist das korrekt ?

Bei Metric habe ich 2 eingegeben und bei auch Private angekreuzt. Muss ich möglicherweise im
Hauptnetz auch etwas konfigurieren. zb. NAT-Traversal oder so ?

Komischerweise bekomme ich beim Ping auf den Router 192.168.4.1 vom (Subnetz 192.168.1.1) die Meldung:

Antwort von 212.55.xx.xx (wobei es sich dabei um eine WAN-Adresse handelt, die ich nicht kenne) : Zielhost nicht erreichbar
Bitte warten ..
Mitglied: RoterFruchtZwerg
20.07.2009 um 23:54 Uhr
Das Ziel der Routen muss ein Router im Hauptnetz der Firma sein, welcher die anderen Netze kennt. Also der dortige VPN Router.
Mit <VPN Router IP Adresse> war also die VPN-IP des jeweiligen VPN Endpunktes am Hauptnetz gemeint, sofern dieser eine hat, oder auch die lokale LAN-IP des VPN Routers im Hauptnetz.
Bitte warten ..
Mitglied: JoeWied
21.07.2009 um 00:05 Uhr
Das habe ich eigentlich so gemacht. Die lokale Adresse des Hauptsitz-Routers (der auch den Hauptsitz-Gateway darstellt) ist
192.168.2.1. An Firewall-Regeln kann es nicht liegen, da ich die FW vorübergehend deaktiviert habe.

Gemacht habe ich folgendes Filial-Netz 192.168.1.1 route von
Zielnetz 192.168.4.0 Maske 255.255.255.0 Gateway 192.168.2.1

Ping im Filial-Netz 192.168.1.0 /24 auf 192.168.4.1

Es kommt in der Filiale immer
Antwort von 212.55.xx.xx (wobei es sich dabei um eine WAN-Adresse handelt, die ich nicht kenne) : Zielhost nicht erreichbar

Nachdem ich das Private rausgenommen habe kommt:
Zeitüberschreitung der Anforderung


Ein Ping im Hauptsitz auf die Zielfiliale funktioniert natürlich.

Konfiguration:
Filial-Netz Router-Adresse 192.168.1.1 Maske 255.255.255.0
Ziel-Filial-Netz Router-Adresse 192.168.4.1 Maske 255.255.255.0
Hauptsitz Router-Adresse 192.168.2.1 Maske 255.255.255.0
Bitte warten ..
Mitglied: RoterFruchtZwerg
21.07.2009 um 00:17 Uhr
Ping im Filial-Netz 192.168.1.0 /24 auf 192.168.4.1

Es kommt in der Filiale immer
Antwort von 212.55.xx.xx (wobei es sich dabei um eine WAN-Adresse
handelt, die ich nicht kenne) : Zielhost nicht erreichbar

Dürfte der erste Router deines ISPs auf Seite der Filiale sein. Sieht so aus, als würde der Router das Paket nicht durch den VPN Tunnel sondern aufs WAN geben.
Bitte warten ..
Mitglied: JoeWied
21.07.2009 um 00:25 Uhr
Es kommt jetzt immer Zeitüberschreitung.

Was kann das sein ?

Die Hardware ist folgende:
Filialen firewall fvx538 mit Zyxel 870m Modem im Bridge-Mode
Hauptsitz (derzeit) Zyxel P660HWI - wird aber noch gewechselt auf Fvx538 und Zyxel 870.
Bitte warten ..
Mitglied: aqui
21.07.2009 um 14:40 Uhr
@JoeWied
Mit "<VPN Router IP Adresse>" ist immer die lokale IP Adresse des Routers/Servers gemeint der den next Hop ins Zielnetz herstellt.

So sollte dein Netz beispielhaft mit Filiale A aussehen:

d438395409df27a83262e47cfec6083e-vpn3fil - Klicke auf das Bild, um es zu vergrößern

Sofern das Hauptsitz Netzwerk in den VPN Tunnel übertragen wird muss im FVX bei den statischen Filial Routen die Tunnel IP des Hauptsitz Routers als next Hop Gateway angegeben werden !
Sofern der FVX das supportet kannst du die Routen auch ganz normal über den VPN Tunnel vom Hauptsitz propagieren über den VPN Tunnel. Die Filialrouter lernen es dann dynmaisch und du kannst die statischen Routen sparen. Bessere VPN Router supporten sowas problemlos.
NetGear ist nicht gerade bekannt für gute VPN Features (keine gute Wahl für ein Firmennetz ) so das es zweifelhaft ob die Komponenten das überhaupt supporten.
Mit statischen Routen sollte es aber auf Anhieb klappen !
Bitte warten ..
Mitglied: JoeWied
01.09.2009 um 11:49 Uhr
@aqui

Vielen Dank für die Erklärung und das Detailbild !

Leider hat es nicht funktioniert. Vermutlich liegt es an den Routern (Netgear) und bin deshalb mit dem
Netgear-Support unterwegs.

Wenn ich etwas mehr weiss, werde ich nochmals hier posten.

Mit freundlichen Grüssen
Joe
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Router & Routing
gelöst VPN aus Fritz!box Netzwerk (8)

Frage von PharIT zum Thema Router & Routing ...

Netzwerke
gelöst VPN Sichtbarkeit im Netzwerk nicht möglich (6)

Frage von serguni zum Thema Netzwerke ...

Heiß diskutierte Inhalte
Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...

Exchange Server
DNS Einstellung - zwei feste IPs für Mailserver (15)

Frage von ivan0s zum Thema Exchange Server ...