Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 1 subscriber
  • Views 3115 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Routing auf zweiten gateway über VPN

ASG120-User
Hallo beisammen,

ich sehe gerade den Wald vor lauter Bäumen nicht mehr!
Es kann eigentlich nicht schwierig sein, aber mir will es einfach nicht gelingen.

Wir haben zwei Standorte die mittels Site-to-site VPN over ISec miteinander verbunden sind. Dies läuft auch ohne Probleme.

Im Netzwerk der Niderlassung ist ein zweiter Gateway vorhanden, dieser ermöglicht eine verbindung zum Netzwerk eines Dienstleisters.
Auf den Clients der niederlassung wurden die Routen für dieses Netz mittels route add manuell hinzugefügt.

Jetzt möchte ich allerdings das auch Clients des Hauptsitzes diese Verbindung aufbauen können, leider vergebens.

Kurz zur besseren Übersicht dient glaube ich eine Skizze ganz gut:

Hauptsitz:
Netz: 192.168.1.x

Niederlassung:
Netz: 192.168.2.x

Weiterer Gateway Niederlassung:
IP: 192.168.2.200 und routet z.B. in das Netz: 130.11.254.0
An den Clients führe ich folgenden Befehl aus und alles Supi.
route add -p 130.11.254.0 mask 255.255.255.0 192.168.2.200

Jetzt ist es z.B. möglich im Netzwerk an der Ip:130.11.254.x Netzlaufwerke zu mappen.

Das würde ich gerne auch an den Clients im Hauptsitz können.
Ich spare mir mal einfach alles was ich probiert habe!
Wäre super wenn mir einer auf die sprünge helfen würde.


This thread was automatically locked due to age.
  • 0
    Als erstes sollte man das netzt 130.11.254.0 in  der VPN-IPSEc Konfiguration als ein Remote Netzworks eintragen.
  • 0 in reply to Forscher
    Als erstes sollte man das netzt 130.11.254.0 in  der VPN-IPSEc Konfiguration als ein Remote Netzworks eintragen.


    Ok das Probiere ich aus, danke dir. Ich hatte es schon mit Static Routing probiert. 
    Ping zum Gateway der Niederlassung funktioniert, ich glaube es liegt einfach nur daran das die Pakete den Weg zurück nicht finden.
  • 0 in reply to ASG120-User
    Ich habe inzwischen die Anforderung etwas ändern müssen.

    Ich fasse kurz den Stand der konfiguration zusammen:

    -Remote Access über SSL aktiv.
    -Unter Local networks: 
      internal und 150.121.254.0 eingetragen
    -Automatic packet filter rules eingeschaltet.

    Unter -Network -> Static Routing den Gateway (192.168.2.200) im Internal Lan für Pakete ins Netz 150.121.254.0 eintragen.

    Beim Client:
    route add -p 150.121.254.0 mask 255.255.255.0 192.168.2.200
    (ist das überhaupt nötig, das ich bereits das remote Netz unter Local Networks in der SSL config eingetragen habe)

    Jetzt verbinde ich mich mittels UMTS mit den Internet und baue darauf die Remote SSL verbindung auf. 

    Daraufhin starte ich meine Software die eine Verbindung ins zum Server im 150.121.254.x herstellen möchte.

    Ich sehe das die Pakete durch den Tunnel geroutet werden, auf eth0 (internes lan) wird eine ARP Anfrage nach der IP von meinem Gateway für das Netz 150.121.254.0 versendet, diese wird auch erfolgreich beantwortet, eigentlich müssten jetzt die Pakete weitergeleitet werden, leider ohne Erfolg.

    Es passiert nicht mehr.

    Hier ein TCPDump :

    tcpdump -i eth0 host 192.168.2.200 -vn
    tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
    17:01:03.950624 arp who-has 192.168.2.200 tell 192.168.2.100
    17:01:03.950729 arp reply 192.168.2.200 is-at 00:02:b3:a6:75:b8

    Jetzt müsste eigentlich das Paket weitergeleitet werden oder?
  • 0
    das Netz 150.121.254.x kann mit den Ips aus 192.168.1.x nicht anfangen. Auf der FW in der Niederlassung, wird eine Nat Regel benötigt, die das Netzt 192.168.1.x hinter einer IP aus 192.168.2.x versteckt
  • 0 in reply to Forscher
    Hm... ich glaube eine NAT Regel ist nicht nötig. Allerdings werden wohl entsprechende routen auf der seite des 150.121.254.x (gw = ip der filialen-astaro mit der sie sich mit dem 150er netz verbindet) benötigt, um die antwortrouten festzulegen.
    NAT würde wahrscheinlich funktionieren aber könnte andere probleme hervorrufen.
  • 0 in reply to Krycek
    @asg120-user
    also den route add Befehl an jedem PC in der Niederlassung
    könntest du auch durch eine Statische Route an der Firewall ersetzen.

    Rest sollte mit Masquerading und Erweiterung der Tunneldefinionen lösbar sein.
  • 0 in reply to Krycek
    Hm... ich glaube eine NAT Regel ist nicht nötig. Allerdings werden wohl entsprechende routen auf der seite des 150.121.254.x (gw = ip der filialen-astaro mit der sie sich mit dem 150er netz verbindet) benötigt, um die antwortrouten festzulegen.
    NAT würde wahrscheinlich funktionieren aber könnte andere probleme hervorrufen.


    Das kann gut sein, aber verwunderlichist doch das die FW das Paket nachdem es nach dem Gateway fragt und die Antwort erhält die Pakete nicht weiterleitet.

    Somit kann das Gateway fürs Netz 150.121.254.x garnicht antworten.
  • 0 in reply to Forscher
    das Netz 150.121.254.x kann mit den Ips aus 192.168.1.x nicht anfangen. Auf der FW in der Niederlassung, wird eine Nat Regel benötigt, die das Netzt 192.168.1.x hinter einer IP aus 192.168.2.x versteckt


    Das Thema habe ich bereits gekürtzt, wünsche eigentlich nur noch das die user die mittels ssl vpn sich anmelden in das Netzt 150.121.254.x connecten können.
  • 0 in reply to gkemter
    @asg120-user
    also den route add Befehl an jedem PC in der Niederlassung
    könntest du auch durch eine Statische Route an der Firewall ersetzen.

    Rest sollte mit Masquerading und Erweiterung der Tunneldefinionen lösbar sein.


    Die Statischen Routen habe ich eingetragen, bringt auch nichts.
  • 0
    ich glaube hier wäre gerade mal ein netzwerkdiagramm nötig. Ich hab den Durchblick verloren wer wohin mit wem oder was kommunizieren soll.