IPsec V2 N:N Mapping funktioniert nicht

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

tiptel170
Beiträge: 51
Registriert: 06 Nov 2013, 20:27
Wohnort: Cas Concos

IPsec V2 N:N Mapping funktioniert nicht

Beitrag von tiptel170 »

Hallo liebes Forum,
vielleicht kann mir jemand weiterhelfen?

Sezario:
Zwei Lancom-Router 1781 mittels IPSec V2 Tunnel aufgebaut.
Der Tunnel steht auch, Problem ist auf beiden Seiten sind zwei Netzwerke mit 192.168.3.0 vorhanden und diese möchte ich gerne mittels dem Tunnel verbinden. Dazu habe ich das N:N-Mapping eingerichtet, leider passiert in dieser Hinsicht nichts, diese können nicht mit einander kommunizieren.

Router 1 (AS43):
Network-name IP-Address IP-Netmask VLAN-ID Interface Src-check Type Rtg-tag
==================-----------------------------------------------------------------------------------------------
AGFEO 192.168.3.12 255.255.255.0 3 LAN-1 loose Intranet 0

Idx. Scr-Address Scr-Mask Dst-Station Mapped-Network
================================================
1 192.168.3.0 255.255.255.0 AS45 10.10.3.0

IP-Address IP-Netmask Rtg-tag Peer-or-IP Distance Masquarde Active
==========================================================
10.10.3.0 255.255.255.0 0 AS45 0 No Yes

Router 2 (AS45):
Network-name IP-Address IP-Netmask VLAN-ID Interface Src-check Type Rtg-tag
==================-----------------------------------------------------------------------------------------------
AGFEO 192.168.3.21 255.255.255.0 3 LAN-3 loose Intranet 0

IP-Address IP-Netmask Rtg-tag Peer-or-IP Distance Masquarde Active
==========================================================
10.11.3.0 255.255.255.0 0 AS43 0 No Yes

Idx. Scr-Address Scr-Mask Dst-Station Mapped-Network
================================================
1 192.168.3.0 255.255.255.0 AS43 10.11.3.0

Wer kann mir damit weiterhelfen?

Gruß tiptel170
PappaBaer
Beiträge: 157
Registriert: 21 Jul 2016, 20:49

Re: IPsec V2 N:N Mapping funktioniert nicht

Beitrag von PappaBaer »

Moin,

Aus Sicht des Routers 1 ist über das VPN das Netz 10.10.3.0 auf der Seite des Routers 2 (A545) erreichbar.
Dein Eintrag in der Routing Tabelle stimmt so.

Aus Sicht des Routers 2 ist über das VPN das Netz 10.11.3.0 auf der Seite des Routers 1 (A543) erreichbar.
Da stimmt Dein Routing-Eintrag auch.

Auf Router 1 (A543) brauchst Du nun für den Traffic über die VPN also ein Mapping auf das Netz 10.11.3.0. D.h. Du versteckst das lokale Netz hinter dem Netz 10.11.3.0

Code: Alles auswählen

Idx. Scr-Address Scr-Mask Dst-Station Mapped-Network
================================================
1 192.168.3.0 255.255.255.0 AS45 10.11.3.0 
Auf Router 2 (A545) brauchst Du entsprechend ein Mapping auf das Netz 10.10.3.0

Code: Alles auswählen

Idx. Scr-Address Scr-Mask Dst-Station Mapped-Network
================================================
1 192.168.3.0 255.255.255.0 AS43 10.10.3.0 
So kannst Du dann das Netz A545 über 10.10.3.0 vom Netz auf Router 1 ansprechen und das Netz A543 über 10.11.3.0 vom Netz auf Router 2.

Grüße,
Torsten
tiptel170
Beiträge: 51
Registriert: 06 Nov 2013, 20:27
Wohnort: Cas Concos

Re: IPsec V2 N:N Mapping funktioniert nicht

Beitrag von tiptel170 »

Hallo Torsten,
Danke für die Info, die Einträge in der N:N Tabelle habe ich jetzt geändert. Ich kann zwar den Router 1 und 2 anpingen:

Router1:

Code: Alles auswählen

Idx. Scr-Address Scr-Mask Dst-Station Mapped-Network
================================================
1 192.168.3.0 255.255.255.0 AS45 10.11.3.0 

Code: Alles auswählen

root@Router1:/
> ping 10.10.3.21

	56 Byte Packet from 10.10.3.21 seq.no=0 time=3.276ms
	....
Aber vom Router 1 einen Ping zu 192.168.3.24 geht nicht - bleibt noch im lokalem Netzwerk im Router 1.

Router2:

Router1:

Code: Alles auswählen

Idx. Scr-Address Scr-Mask Dst-Station Mapped-Network
================================================
1 192.168.3.0 255.255.255.0 AS43 10.10.3.0 

Code: Alles auswählen

root@Router2:/
> ping 10.11.3.12

	56 Byte Packet from 10.11.3.12 seq.no=0 time=5.175ms
	....
Auch hier umgekehrt bleibt es noch im lokalem Netzwerk, wird nicht weitergeleitet.
PappaBaer
Beiträge: 157
Registriert: 21 Jul 2016, 20:49

Re: IPsec V2 N:N Mapping funktioniert nicht

Beitrag von PappaBaer »

Was meinst Du damit, es bleibt im lokalen Netz hängen?
Aber vom Router 1 einen Ping zu 192.168.3.24 geht nicht - bleibt noch im lokalem Netzwerk im Router 1.
Das ist klar. Natürlich musst Du das Gerät, welches auf Seite 2 lokal die 192.168.3.24 hat auf der Seite 1 nun mit 10.10.3.24 ansprechen.

Mache mal bitte auf der CLI ein ping -r (traceroute) auf das Ziel 10.10.3.24. Dann siehst Du, ob der Next-Hop der Lancom auf der Gegenseite ist, das Paket also richtig geroutet wird.

Was sind das für ein Gerät, das sich hinter dem Ziel x.x.x.24 verbirgt? Falls PC mit Windows 10, dann werden dort standardmäßig ICMP Pakete aus Fremdnetzen verworfen. Du musst das also in der Windows 10 Firewall freigeben, damit Du die anpingen kannst.

Grüße,
Torsten
tiptel170
Beiträge: 51
Registriert: 06 Nov 2013, 20:27
Wohnort: Cas Concos

Re: IPsec V2 N:N Mapping funktioniert nicht

Beitrag von tiptel170 »

Nun, es soll nach diesem Dokument funktionieren:
https://www2.lancom.de/kb.nsf/1275/4669 ... enDocument

Wie geschrieben, beide Seiten haben den gleichen lokalen Adressbereich ( 192.168.3.0 NW ). Und sind mittels VPN IPSecV2 verbunden. Klar ist das ich nicht Routen kann, daher muss ich die N:N Mapping Tabelle verwenden, damit die beiden Netze via VPN verbunden werden können.

Gruß tiptel170
PappaBaer
Beiträge: 157
Registriert: 21 Jul 2016, 20:49

Re: IPsec V2 N:N Mapping funktioniert nicht

Beitrag von PappaBaer »

Ja, und was ist jetzt die Frage?

Code: Alles auswählen

Standort 1                                  Standort 2
lokales Netz: 192.168.3.0/24                lokales Netz: 192.168.3.0/24
gemappt auf: 10.11.3.0/24                   gemappt auf: 10.10.3.0/24
Standort 1 erreicht seine lokalen Geräte also über 192.168.3.0
Standort 1 erreicht die Geräte am Standort 2 über 10.10.3.0

Standort 2 erreicht seine lokalen Geräte über 192.168.3.0
Standort 2 erreicht die Geräte am Standort 1 über 10.11.3.0

Beispiel 1:
Server am Standort 1 hat lokal die 192.168.3.100
Rechner am Standort 1 greifen auf diesen über die 192.168.3.100 zu
Rechner am Standort 2 greifen auf diesen über die 10.11.3.100 zu

Beispiel 2:
Server am Standort 2 hat lokal die 192.168.3.111
Rechner am Standort 2 greifen auf diesen über die 192.168.3.111 zu
Rechner am Standort 1 greifen auf diesen über die 10.10.3.111 zu.

Grüße,
Torsten
tiptel170
Beiträge: 51
Registriert: 06 Nov 2013, 20:27
Wohnort: Cas Concos

Re: IPsec V2 N:N Mapping funktioniert nicht

Beitrag von tiptel170 »

Scheint wohl mit IPSec V2 nicht zu gehen. Habe mir die Dokumentation von EoGRE angeschaut, die Tunnel sind auf beiden Seiten vorhanden, aber die Daten gehen auch nicht durch den Tunnel vom Router 1 zu Router 2.

Router 1:

Code: Alles auswählen

[GRE] 2021/01/26 15:17:07,742[info]  : GRE-TUNNEL-3 send 92 bytes packet to 10.10.3.12
[GRE] 2021/01/26 15:17:07,746[info]  : GRE-TUNNEL-3 send 92 bytes packet to 10.10.3.12
[GRE] 2021/01/26 15:17:11,707[info]  : GRE-TUNNEL-3 send 134 bytes packet to 10.10.3.12
[GRE] 2021/01/26 15:17:26,712[info]  : GRE-TUNNEL-3 send 134 bytes packet to 10.10.3.12
[GRE] 2021/01/26 15:17:38,621[info]  : GRE-TUNNEL-8 send 60 bytes packet to 10.10.8.21
[GRE] 2021/01/26 15:17:41,716[info]  : GRE-TUNNEL-3 send 134 bytes packet to 10.10.3.12
Router 2:

Code: Alles auswählen

[GRE] 2021/01/26 15:18:39,626[info]  : GRE-TUNNEL-3 send 60 bytes packet to 10.10.3.21
[GRE] 2021/01/26 15:18:41,620[info]  : GRE-TUNNEL-3 send 60 bytes packet to 10.10.3.21
[GRE] 2021/01/26 15:18:41,870[info]  : GRE-TUNNEL-3 send 60 bytes packet to 10.10.3.21
[GRE] 2021/01/26 15:18:42,368[info]  : GRE-TUNNEL-3 send 60 bytes packet to 10.10.3.21
[GRE] 2021/01/26 15:18:43,361[info]  : GRE-TUNNEL-3 send 60 bytes packet to 10.10.3.21
[GRE] 2021/01/26 15:18:45,348[info]  : GRE-TUNNEL-3 send 60 bytes packet to 10.10.3.21
Zur Erinnerung:
Router1 192.168.3.0 ---- VPN IPSecV2 (EoGRE 10.10.3.12) <-----> VPN IPSecV2 (EoGRE 10.10.3.21) ----- Router2 192.168.0.3

Es sollen beide Seiten das gleiche IP-Netzwerk haben und sind mit dem VPN über den EoGRE-Tunnel verbunden.
Benutzeravatar
hyperjojo
Beiträge: 801
Registriert: 26 Jul 2009, 02:26

Re: IPsec V2 N:N Mapping funktioniert nicht

Beitrag von hyperjojo »

hallo,

jetzt schreibst du EoGRE, bisher war nur von N:N Mapping die Rede. Was genau möchtest du denn umsetzen. Beides in Kombination macht vermutl. keinen Sinn :)
Beides einzeln funktioniert auch mit IKEv2.

Gruß hyperjojo
tiptel170
Beiträge: 51
Registriert: 06 Nov 2013, 20:27
Wohnort: Cas Concos

Re: IPsec V2 N:N Mapping funktioniert nicht

Beitrag von tiptel170 »

Umsetzten in EoGRE. Kein N:N-Mapping.
Benutzeravatar
hyperjojo
Beiträge: 801
Registriert: 26 Jul 2009, 02:26

Re: IPsec V2 N:N Mapping funktioniert nicht

Beitrag von hyperjojo »

hallo,

dann lösche mal dein N:N Mapping und richte EoGRE sauber nach diesem KB Artikel ein:
https://www2.lancom.de/kb.nsf/fe78f8220 ... enDocument

Da es bei IKEv2 das "Extranet" nicht mehr gibt, musst du das zusätzlich wie folgt einrichten:
https://www2.lancom.de/kb.nsf/1275/AEB0 ... enDocument

Gruß hyperjojo
tiptel170
Beiträge: 51
Registriert: 06 Nov 2013, 20:27
Wohnort: Cas Concos

Re: IPsec V2 N:N Mapping funktioniert nicht

Beitrag von tiptel170 »

Danke für diese Infos, soweit bin ich auch gekommen an Hand diesen Anleitungen. Aber die Daten werden, nicht weitergeleitet.

/Setup/IP-Router/IP-Routing-Table

Code: Alles auswählen

IP-Address       IP-Netmask       Rtg-tag  Peer-or-IP        Distance  Masquerade  Active   Comment       
===========================================---------------------------------------------------------------
10.10.3.21       255.255.255.255  0        AS45              0         on          Yes      Mask: Agfeo <-
10.10.3.0        255.255.255.0    0        AS45              0         No          Yes      Agfeo         
/Setup/LAN-Bridge/Port-Data

Code: Alles auswählen

Port                Active      Bridge-Group   Private-Mode    DHCP-Limit    Point-To-Point-Port 
====================-----------------------------------------------------------------------------
LAN-1               Yes         BRG-2          No              0             Auto                
LAN-2               Yes         BRG-2          No              0             Auto                
LAN-3               Yes         BRG-2          No              0             Auto                
LAN-4               Yes         BRG-2          No              0             Auto                
GRE-TUNNEL-3        Yes         BRG-2          No              0             Auto                
/Setup/TCP-IP/Network-list

Code: Alles auswählen

Network-name      IP-Address       IP-Netmask       VLAN-ID  Interface           Src-check      Type      Rtg-tag  Comment            
==================--------------------------------------------------------------------------------------------------------------------
DMZ               0.0.0.0          255.255.255.0    0        LAN-4               loose          DMZ       0        demilitarized zone 
INTRANET          192.168.0.12     255.255.255.0    1        BRG-2               loose          Intranet  0        local intranet     
AGFEO             192.168.3.12     255.255.255.0    3        BRG-2               loose          Intranet  0        Agfeo              
/Setup/VLAN/Networks

Code: Alles auswählen

Name              VLAN-ID     Ports     LLDP-Tx-TLV-PPID   LLDP-Tx-TLV-Name
==================----------------------------------------------------------
Default_VLAN      1           LAN-1, LAN-2, LAN-3 *-*	*-*
Agfeo             3           LAN-1, GRE-TUNNEL-3, LAN-4 *-*	*-*
/Setup/VLAN/Port-Table

Code: Alles auswählen

Port                Tagging-Mode      Allow-All-VLANs       Port-VLAN-Id     Tx-LLDP-TLV-Port-VLAN    
====================----------------------------------------------------------------------------------
LAN-1               Trunk             Yes                   1                Yes                      
LAN-4               Access            Yes                   3                Yes                      
GRE-TUNNEL-3        Access            Yes                   3                Yes                      
/Setup/WAN/EoGRE-Tunnel

Code: Alles auswählen

Port             Active      Remote-Endpoint-Address Rtg-tag   Key-Present    Key-Value   Checksum    Sequencing     Loopback-Address
=================-------------------------------------------------------------------------------------------------------------------------------
GRE-TUNNEL-3     Yes         10.10.3.21                                                        0         No             0           No          No             AGFEO           
/Setup/WAN/IP-List

Code: Alles auswählen

Peer IP-Address IP-Netmask  Masq.-IP-Addr.   Gateway DNS-Default  DNS-Backup NBNS-Default     NBNS-Backup
==================----------------------------------------------------------------------------------------------------------
AS45              0.0.0.0          0.0.0.0          10.10.3.12       0.0.0.0          0.0.0.0          0.0.0.0          0.0.0.0          0.0.0.0        
AS45 = Name von dem VPN ( IPSec V2 )

Auf dem zweitem Router ist die Konfiguration gleich, nur das das VPN AS43 heisst und nicht die 10.10.3.12 ist, sondern die 10.10.3.21 .

Vielleicht hilft dies weiter?

Gruß tiptel170
PappaBaer
Beiträge: 157
Registriert: 21 Jul 2016, 20:49

Re: IPsec V2 N:N Mapping funktioniert nicht

Beitrag von PappaBaer »

Moin,
hast Du auch die unten stehende Standard-Block-Route aus der Routingtabelle entfernt?

Code: Alles auswählen

IP-Address       IP-Netmask       Rtg-tag  Admin-Distance  Peer-or-IP             Distance  Masquerade  Active   Comment                                                         
===========================================================----------------------------------------------------------------------------------------------------------------------
10.0.0.0         255.0.0.0        0        0               0.0.0.0                0         No          Yes      block private networks: 10.x.y .z
Grüße,
Torsten
tiptel170
Beiträge: 51
Registriert: 06 Nov 2013, 20:27
Wohnort: Cas Concos

Re: IPsec V2 N:N Mapping funktioniert nicht

Beitrag von tiptel170 »

Ist nicht in der Liste drin.
PappaBaer
Beiträge: 157
Registriert: 21 Jul 2016, 20:49

Re: IPsec V2 N:N Mapping funktioniert nicht

Beitrag von PappaBaer »

Entferne mal bitte zur Sicherheit noch die Route auf 10.10.3.0/24 über VPN aus der Routing-Tabelle. Das ist wohl ein Überbleibsel aus den N:N NAT Tests.
Man dürfte die zwar nicht stören, da die Route auf 10.10.3.21 more specific ist, aber wer weiss... Eine Block-Route dürfte ja auch nicht stören, trotzdem wird in Lancom-KB extra darauf hingewiesen, dass die Extranet-Adressen nicht innerhalb der Block-Routen liegen dürfen.

Das N:N Nat hast Du doch wieder rausgenommen, oder?
tiptel170
Beiträge: 51
Registriert: 06 Nov 2013, 20:27
Wohnort: Cas Concos

Re: IPsec V2 N:N Mapping funktioniert nicht

Beitrag von tiptel170 »

Hallo und guten Morgen,
die 10.10.3.0 Route habe ich auf beiden Seiten rausgenommen.

Router 1:

Code: Alles auswählen

> ping 10.10.3.12

    56 Byte Packet from 10.10.3.12 seq.no=0 time=3.113 ms 
    56 Byte Packet from 10.10.3.12 seq.no=1 time=3.643 ms 
    56 Byte Packet from 10.10.3.12 seq.no=2 time=4.094 ms 

 ---10.10.3.12 ping statistic---
 56 Bytes Data, 3 Packets transmitted, 3 Packets received, 0% loss 

root@1781VA4G_Router:/
> ping 192.168.3.12

ICMP Destination unreachable: host unreachable by localhost

 ---192.168.3.12 ping statistic---
 56 Bytes Data, 4 Packets transmitted, 0 Packets received, 100% loss
Router 2:

Code: Alles auswählen

> ping 10.10.3.21

    56 Byte Packet from 10.10.3.21 seq.no=0 time=3.833 ms 
    56 Byte Packet from 10.10.3.21 seq.no=1 time=42.988 ms 

 ---10.10.3.21 ping statistic---
 56 Bytes Data, 2 Packets transmitted, 2 Packets received, 0% loss 

root@1781EF_Buero:/
> ping 192.168.3.21

ICMP Destination unreachable: host unreachable by localhost

 ---192.168.3.21 ping statistic---
 56 Bytes Data, 4 Packets transmitted, 0 Packets received, 100% loss
Die N:N-Tabelle ist auf beiden Seiten leer.

GRE-Tunnel sieht jetzt so aus:
Router 1 ( 193.10.3.21 ):

Code: Alles auswählen

[GRE] 2021/01/27 10:27:07,572[info]  : GRE-TUNNEL-1 send 85 bytes packet to 193.10.3.12
[GRE] 2021/01/27 10:27:07,572[info]  : GRE-TUNNEL-1 send 95 bytes packet to 193.10.3.12
[GRE] 2021/01/27 10:27:07,573[info]  : GRE-TUNNEL-1 send 228 bytes packet to 193.10.3.12
[GRE] 2021/01/27 10:27:07,574[info]  : GRE-TUNNEL-1 send 162 bytes packet to 193.10.3.12
tr # bridge @ "VLAN Id 0x003"

Code: Alles auswählen

[Bridge] 2021/01/27 10:42:25,950
Bridge frame coming from ifc LAN-3:
 00:a0:57:1b:6c:cc (LANCOM 1b:6c:cc) to ff:ff:ff:ff:ff:ff (Broadcast), 56 bytes
 VLAN Id 0x003 Prio 0
 -->multi/broadcast
 -->forwarding into own LSL stack
Router 2 ( 193.10.3.12 ):

Code: Alles auswählen

[GRE] 2021/01/27 10:26:36,154[info]  : GRE-TUNNEL-1 send 64 bytes packet to 193.10.3.21
[GRE] 2021/01/27 10:26:36,403[info]  : GRE-TUNNEL-1 send 64 bytes packet to 193.10.3.21
[GRE] 2021/01/27 10:26:36,901[info]  : GRE-TUNNEL-1 send 64 bytes packet to 193.10.3.21
[GRE] 2021/01/27 10:26:37,895[info]  : GRE-TUNNEL-1 send 64 bytes packet to 193.10.3.21
tr # bridge @ "VLAN Id 0x003"

Code: Alles auswählen

[Bridge] 2021/01/27 10:29:13,349
Bridge frame coming from ifc LAN-1:
 00:09:40:6c:1f:44 to ff:ff:ff:ff:ff:ff (Broadcast), 60 bytes
 VLAN Id 0x003 Prio 0
 -->multi/broadcast
 -->forwarding 60 bytes to ifc LAN-4
 -->forwarding 60 bytes to ifc GRE-TUNNEL-1
 -->forwarding into own LSL stack
Antworten