Ändern der (VPN) Route auf Class B

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

Antworten
TschungTschung
Beiträge: 59
Registriert: 07 Mai 2012, 10:35

Ändern der (VPN) Route auf Class B

Beitrag von TschungTschung »

Hallo Kollegen,

ich habe folgendes Szenario:
LANCOM 7100+ VPN in der Zentrale - Netz derzeit 10.1.0.0/24
LANCOM 1783VA ind er AUßenstelle - Netz derzeit 10.2.0.0/24
IKEv2 Verbindung zwischen beiden Standorten, Außenstelle initiiert den Aufbau.

Nun implementieren wir in der Zentrale VLANs welche sich immer im dritten Oktett unterscheiden,.. z.B: 10.1.0.0/24 bleibt Server, 10.1.1.0/24 --> Clients, 10.1.90.0/24 --> Mgmt Netz, usw.

Funktioniert auch alles bisher wunderbar.

Nun würde ich jedoch gerne erstmal für die Übergangszeit bis alles fertig ist dir Außenstelle alle IP-Bereiche in der Zentrale bekannt machen. Also in der Routingtabelle von 10.1.0.0/24 auf 10.1.0.0/16 geändert.
Der VPN baut auf, mehr aber auch nicht, die Route wird "nicht erkannt" und keine Pakete ins rübergeschickt.

Jetzt kann ich natürlich nicht während des Betriebes ständig die Leitung abschießen, also dachte ich ich ändere wieder auf Class C und erstelle eine Rückroute zum Test ins Mgmt Netz.
Also auf der Außenstelle 10.1.90.0/24 an Router "Geschäftsstelle"
Klappt irgendwie auch nicht.

Firewall haben wir eine DENY-ALL Regel, bei der jedoch nichts aufläuft. Habe explizit Dienste und Gegenstellen freigeschalten.

Evtl. fehlt mir nur der richtige Kniff.

Vielen Dank schon mal...


PS: Und ein Anderes Thema: Vielleicht ließt es ja jemand. Warum bekommt man bei den VPN-Tunneln (IKEv2) obwohl sie tadellos bestehen immer einen "Allgemeiner Fehler (Aktiver Verbindungsaufbau, IKE) [0x21FF]" - ich dachte es schon irgendwo gelesen zu haben, finde es aber nicht mehr :oops:
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: Ändern der (VPN) Route auf Class B

Beitrag von GrandDixence »

Siehe die in diesem Beitrag verlinkten Beiträge:
fragen-zum-thema-vpn-f14/vpn-einwahl-fi ... ml#p100373
Benutzeravatar
Bernie137
Beiträge: 1700
Registriert: 17 Apr 2013, 21:50
Wohnort: zw. Chemnitz und Annaberg-Buchholz

Re: Ändern der (VPN) Route auf Class B

Beitrag von Bernie137 »

Hallo,

"Nun würde ich jedoch gerne erstmal für die Übergangszeit bis alles fertig ist dir Außenstelle alle IP-Bereiche in der Zentrale bekannt machen. Also in der Routingtabelle von 10.1.0.0/24 auf 10.1.0.0/16 geändert.
Der VPN baut auf, mehr aber auch nicht, die Route wird "nicht erkannt" und keine Pakete ins rübergeschickt. "

Das funktioniert so nicht. Es muss auf beiden Seiten etwas geändert werden. Der Router in der Zentrale muss als SA auch mit Maske 16 arbeiten. Dann stellt sich noch die Frage, wie er die IP Pakete im LAN der Zentrale abstellen soll, alles auf Maske 16, also auch seine eigene IP? Oder bekommt der Router schon in jedem Netz eine eigene IP?

Und selbstverständlich muss der größere Bereich in beiden Firewalls angepasst werden.

Gruß Bernie

Gesendet von meinem HTC U12 life mit Tapatalk

Man lernt nie aus.
TschungTschung
Beiträge: 59
Registriert: 07 Mai 2012, 10:35

Re: Ändern der (VPN) Route auf Class B

Beitrag von TschungTschung »

Guten Morgen,

vielen Dank.
Ich glaube ganz so falsch bin ich nicht. Ich habe das Ganze mal mit einem weiteren Standort getestet und siehe da, hier funktionierts.
Dann stellt sich noch die Frage, wie er die IP Pakete im LAN der Zentrale abstellen soll, alles auf Maske 16, also auch seine eigene IP? Oder bekommt der Router schon in jedem Netz eine eigene IP?
Er hat für jedes Netz bereits eine bekannte eigene IP eingetragen
Und selbstverständlich muss der größere Bereich in beiden Firewalls angepasst werden.
Hab ich natürlich gemacht.

Code: Alles auswählen

Das funktioniert so nicht. Es muss auf beiden Seiten etwas geändert werden. Der Router in der Zentrale muss als SA auch mit Maske 16 arbeiten.
Wie realisiere ich das?

Komme gerade noch nicht drauf was an diesem Einen Standort anders reagiert. Firmware habe ich mittlerweile auf 10.32

Ich bleib dran und schau mal an was das liegen könnte
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: Ändern der (VPN) Route auf Class B

Beitrag von GrandDixence »

Der "manuelle" Weg ist unter:
fragen-zum-thema-vpn-f14/lan-lan-kopplu ... tml#p99942
beschrieben.
TschungTschung
Beiträge: 59
Registriert: 07 Mai 2012, 10:35

Re: Ändern der (VPN) Route auf Class B

Beitrag von TschungTschung »

Guten Morgen,

besten Dank für den Hinweis. Mit den manuellen SA-Regeln hat es nun geklappt. Zauberworte: show vpn @ * :D
Verstehen werde ich es zwar immernoch nicht warum die automatische Regelerzeugung bei 9 Standorten klappt, aber bei einem nicht (ggf. weil dieser etwas komplexer aufgebaut ist und mehrere lokale Adressen "besitzt")
Weiterhin musste ich lediglich die Regelerzeugung in der Zentrale zu diesen Standort anpassen und mit der VPN-Verbindung verknüpfen.

Nichts desto trotz, danke für den Schubs ;-)
:M
Antworten