[GELÖST] Warum funktioniert 1-Click VPN nur mit "Alle Netze verbinden" nicht aber mit "Nur Intranet erreichbar machen"?

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
b.junghans
Beiträge: 59
Registriert: 08 Okt 2013, 15:25

[GELÖST] Warum funktioniert 1-Click VPN nur mit "Alle Netze verbinden" nicht aber mit "Nur Intranet erreichbar machen"?

Beitrag von b.junghans »

Moin,
bin ja momentan dabei unseren neuen Router einzurichten (1900EF). Dabei scheint es so zu sein, dass die VPN Verbindung mit einem entfernten Lancom Router nur funktioniert, wenn man bei dem Wizard der kommt wenn man einen Router auf den anderen schiebt (1-Click VPN), die Auswahl "Alle Netze verbinden" wählt, nicht aber wenn man "Nur das Intranet der Zentrale erreichbar machen" wählt.

Wähle ich nur Intranet, scheitert er währen des Verbindungsversuchs mit IKE Aushandlungs Fehler oder so.

Habe mir mal die Configs duchgeguckt und die Unterschiede rausgesucht. Die Unterschiede sind:

Im Remoterouter sind es folgende Unterschiede:
Bei alle Netze verbinden wird die Route des Zentralsubnetz mit 255.255.0.0 maskiert, außerdem noch Routen für 172.16.0.0/255.240.0.0 und 10.0.0.0/255.0.0.0 angelegt.

Bei nur Intranet wird die erste Route mit 255.255.255.0 maskiert und die anderen fehlen.
Außerdem gibt es in der config einen anderen Eintrag zu dem ich nicht genau weiß wozu er gehört: (1.2.23.6.1.2) = 0
Bei nur Intranet steht hier: (1.2.23.6.1.2) = 8

Im Zentralrouter sind es folgende Unterschiede:
Bei alle Netze verbinden ist im VPN Eintrag bei "Regelerzeugung: Manuell" ausgewählt.
Außerdem gibt es Firewall Objekte mit den 3 Netzen 192.168.0.0/255.255.0.0, 173.16.0.0/255.240.0.0 und 10.0.0.0/255.0.0.0 welche dann in einer Firewallregel namens "VPN-Netzwerke die alle Außenstellen verbinden" verwendet wird.

Bei nur Intranet gibt es die Objekte und die Regel nicht und die Regelerzeugung steht auf automatisch.


Alles in allem sind das keine Unterschiede bei denen ich jetzt gedacht hätte, dass sie Probleme bei der Verbindungsaushandlung machen. Eher dann wenn der Tunnel steht, welche Daten durch den Tunnel laufen.
Kann das einer erklären?

Ich meine am Ende nehme ich halt "Alle Netze verbinden". Außer das hier die Netze 172.16.0.0/255.240.0.0 und 10.0.0.0/255.0.0.0 zusätzlich geroutet werden, welche wir sowieso nicht einsetzen, sehe ich erstmal kein Problem.

Einzig 192.168.0.0/255.255.0.0 könnte ein etwas unerwünschtes Verhalten hervorrufen, denn dann würde ja auch der Internettraffic der Außenstelle über die Zentrale laufen, wenn z.B. das Außenstellennetz 192.168.178.0/255.255.255.0 und das Zentralnetz 192.168.0.0/255.255.255.0 ist, oder?
Muss mal versuchen diese Route testweise auf 255.255.255.0 zu ändern und gucken ob dann immer noch alles funktioniert.

edit: grad mal getestet: selbst mit der 192.168.0.0/255.255.0.0 Route scheint der Internettraffic, welcher über den Router 192.168.178.1 laufen soll, nicht über die Zentrale geroutet zu werden. Versteh ich zwar grad nicht, aber so soll es ja sein.

edit2: Nun habe ich im Remoterouter mal die Routen 10.x.x.x und 172.16.x.x raus geschmissen und die 192.168.0.0 auf 255.255.255.0 geändert. Es funktioniert immer noch alles, der Unterschied warum es mit "Nur Intranet" nicht funktioniert muss also am Zentralrouter liegen.
Oder an dem ominösen (1.2.23.6.1.2) = 0 bei dem ich immern och nicht weiß wozu das gehört...

edit3: Nun habe ich im Zentralrouter zuerst die Regelerzeugung von manuell auf automatisch geändert. Kein Problem, funktioniert immer noch.
Anschließend die Netze 10.x.x.x und 172.16.x.x raus geschmissen aus dem Objekt, funktioniert immer noch.
Dann die Maskierung des Eintrag 192.168.0.0 im Objekt auf 255.255.255.0 geändert. Und dann hatte ich den gleichen Fehler wie wenn ich "Nur Intranet" auswähle.
Für eine funktionierende Verbindung scheint also einzig und allein dieser Firewalleintrag (192.168.0.0/255.255.0.0) notwendig zu sein. Werde jetzt gleich mal tetsen wie es ist wenn ich "Nur Intranet" wähle und diesen Eintrag nachträglich händisch erzuge.

edit4: Wie erwartet hat es nun funktioniert. Im Wizard "Nur Intranet" gewählt und nachträglich die Firewallregel erzeugt, alles funktioniert. Keine Ahnung warum Lancom das nicht direkt so gemacht hat.

Nehme mal an, die Regel muss im Gegensatz zur Route im Remoterouter deshalb mit 255.255.0.0 maskiert werden, da das entfernte Netz im 3. Oktett ja keine 0 hat.

Bleiben das ominöse (1.2.23.6.1.2) = 0 bzw = 8 und die Tatsache, dass wenn im Remoterouter die Route 192.168.0.0 mit 255.255.0.0 maskiert ist, Traffic nach 192.168.178.1 trotzdem nicht durchs VPN sondern direkt zum remoteseitigen Internetrouter geleitet wird, was ich nicht verstehe.

Vielleicht hat hier ja noch jemand die Auflösung dazu ;)
Antworten