Hallo Kollegen,
ich habe folgendes Szenario:
LANCOM 7100+ VPN in der Zentrale - Netz derzeit 10.1.0.0/24
LANCOM 1783VA ind er AUßenstelle - Netz derzeit 10.2.0.0/24
IKEv2 Verbindung zwischen beiden Standorten, Außenstelle initiiert den Aufbau.
Nun implementieren wir in der Zentrale VLANs welche sich immer im dritten Oktett unterscheiden,.. z.B: 10.1.0.0/24 bleibt Server, 10.1.1.0/24 --> Clients, 10.1.90.0/24 --> Mgmt Netz, usw.
Funktioniert auch alles bisher wunderbar.
Nun würde ich jedoch gerne erstmal für die Übergangszeit bis alles fertig ist dir Außenstelle alle IP-Bereiche in der Zentrale bekannt machen. Also in der Routingtabelle von 10.1.0.0/24 auf 10.1.0.0/16 geändert.
Der VPN baut auf, mehr aber auch nicht, die Route wird "nicht erkannt" und keine Pakete ins rübergeschickt.
Jetzt kann ich natürlich nicht während des Betriebes ständig die Leitung abschießen, also dachte ich ich ändere wieder auf Class C und erstelle eine Rückroute zum Test ins Mgmt Netz.
Also auf der Außenstelle 10.1.90.0/24 an Router "Geschäftsstelle"
Klappt irgendwie auch nicht.
Firewall haben wir eine DENY-ALL Regel, bei der jedoch nichts aufläuft. Habe explizit Dienste und Gegenstellen freigeschalten.
Evtl. fehlt mir nur der richtige Kniff.
Vielen Dank schon mal...
PS: Und ein Anderes Thema: Vielleicht ließt es ja jemand. Warum bekommt man bei den VPN-Tunneln (IKEv2) obwohl sie tadellos bestehen immer einen "Allgemeiner Fehler (Aktiver Verbindungsaufbau, IKE) [0x21FF]" - ich dachte es schon irgendwo gelesen zu haben, finde es aber nicht mehr
Ändern der (VPN) Route auf Class B
Moderator: Lancom-Systems Moderatoren
-
- Beiträge: 59
- Registriert: 07 Mai 2012, 10:35
-
- Beiträge: 1054
- Registriert: 19 Aug 2014, 22:41
Re: Ändern der (VPN) Route auf Class B
Siehe die in diesem Beitrag verlinkten Beiträge:
fragen-zum-thema-vpn-f14/vpn-einwahl-fi ... ml#p100373
fragen-zum-thema-vpn-f14/vpn-einwahl-fi ... ml#p100373
- Bernie137
- Beiträge: 1700
- Registriert: 17 Apr 2013, 21:50
- Wohnort: zw. Chemnitz und Annaberg-Buchholz
Re: Ändern der (VPN) Route auf Class B
Hallo,
"Nun würde ich jedoch gerne erstmal für die Übergangszeit bis alles fertig ist dir Außenstelle alle IP-Bereiche in der Zentrale bekannt machen. Also in der Routingtabelle von 10.1.0.0/24 auf 10.1.0.0/16 geändert.
Der VPN baut auf, mehr aber auch nicht, die Route wird "nicht erkannt" und keine Pakete ins rübergeschickt. "
Das funktioniert so nicht. Es muss auf beiden Seiten etwas geändert werden. Der Router in der Zentrale muss als SA auch mit Maske 16 arbeiten. Dann stellt sich noch die Frage, wie er die IP Pakete im LAN der Zentrale abstellen soll, alles auf Maske 16, also auch seine eigene IP? Oder bekommt der Router schon in jedem Netz eine eigene IP?
Und selbstverständlich muss der größere Bereich in beiden Firewalls angepasst werden.
Gruß Bernie
Gesendet von meinem HTC U12 life mit Tapatalk
"Nun würde ich jedoch gerne erstmal für die Übergangszeit bis alles fertig ist dir Außenstelle alle IP-Bereiche in der Zentrale bekannt machen. Also in der Routingtabelle von 10.1.0.0/24 auf 10.1.0.0/16 geändert.
Der VPN baut auf, mehr aber auch nicht, die Route wird "nicht erkannt" und keine Pakete ins rübergeschickt. "
Das funktioniert so nicht. Es muss auf beiden Seiten etwas geändert werden. Der Router in der Zentrale muss als SA auch mit Maske 16 arbeiten. Dann stellt sich noch die Frage, wie er die IP Pakete im LAN der Zentrale abstellen soll, alles auf Maske 16, also auch seine eigene IP? Oder bekommt der Router schon in jedem Netz eine eigene IP?
Und selbstverständlich muss der größere Bereich in beiden Firewalls angepasst werden.
Gruß Bernie
Gesendet von meinem HTC U12 life mit Tapatalk
Man lernt nie aus.
-
- Beiträge: 59
- Registriert: 07 Mai 2012, 10:35
Re: Ändern der (VPN) Route auf Class B
Guten Morgen,
vielen Dank.
Ich glaube ganz so falsch bin ich nicht. Ich habe das Ganze mal mit einem weiteren Standort getestet und siehe da, hier funktionierts.
Wie realisiere ich das?
Komme gerade noch nicht drauf was an diesem Einen Standort anders reagiert. Firmware habe ich mittlerweile auf 10.32
Ich bleib dran und schau mal an was das liegen könnte
vielen Dank.
Ich glaube ganz so falsch bin ich nicht. Ich habe das Ganze mal mit einem weiteren Standort getestet und siehe da, hier funktionierts.
Er hat für jedes Netz bereits eine bekannte eigene IP eingetragenDann stellt sich noch die Frage, wie er die IP Pakete im LAN der Zentrale abstellen soll, alles auf Maske 16, also auch seine eigene IP? Oder bekommt der Router schon in jedem Netz eine eigene IP?
Hab ich natürlich gemacht.Und selbstverständlich muss der größere Bereich in beiden Firewalls angepasst werden.
Code: Alles auswählen
Das funktioniert so nicht. Es muss auf beiden Seiten etwas geändert werden. Der Router in der Zentrale muss als SA auch mit Maske 16 arbeiten.
Komme gerade noch nicht drauf was an diesem Einen Standort anders reagiert. Firmware habe ich mittlerweile auf 10.32
Ich bleib dran und schau mal an was das liegen könnte
-
- Beiträge: 1054
- Registriert: 19 Aug 2014, 22:41
-
- Beiträge: 59
- Registriert: 07 Mai 2012, 10:35
Re: Ändern der (VPN) Route auf Class B
Guten Morgen,
besten Dank für den Hinweis. Mit den manuellen SA-Regeln hat es nun geklappt. Zauberworte: show vpn @ *
Verstehen werde ich es zwar immernoch nicht warum die automatische Regelerzeugung bei 9 Standorten klappt, aber bei einem nicht (ggf. weil dieser etwas komplexer aufgebaut ist und mehrere lokale Adressen "besitzt")
Weiterhin musste ich lediglich die Regelerzeugung in der Zentrale zu diesen Standort anpassen und mit der VPN-Verbindung verknüpfen.
Nichts desto trotz, danke für den Schubs
besten Dank für den Hinweis. Mit den manuellen SA-Regeln hat es nun geklappt. Zauberworte: show vpn @ *
Verstehen werde ich es zwar immernoch nicht warum die automatische Regelerzeugung bei 9 Standorten klappt, aber bei einem nicht (ggf. weil dieser etwas komplexer aufgebaut ist und mehrere lokale Adressen "besitzt")
Weiterhin musste ich lediglich die Regelerzeugung in der Zentrale zu diesen Standort anpassen und mit der VPN-Verbindung verknüpfen.
Nichts desto trotz, danke für den Schubs