SAP-Router neben einem LANCOM 1900EF

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
hicks
Beiträge: 5
Registriert: 25 Feb 2019, 11:37

SAP-Router neben einem LANCOM 1900EF

Beitrag von hicks »

Guten Morgen!

Ich habe folgendes Szenario:
  • eine DMZ mit öffentlichen IPs -> angenommene Adressen sind 88.77.66.0/24 (momentan noch durch eine Checkpoint geschützt)
  • ein LANCOM 1900EF, der einen VPN-Tunnel zu SAP aufbaut und die öffentliche IP 88.77.66.253 hat
  • eine Maschine (SAP-Router) mit einer öffentlichen IP 88.77.66.196, welche mit der SAP kommunizieren soll und dafür den LANCOM über die IP 88.77.66.253 anspricht (der LANCOM hat auch noch "interne Interfaces, aber die scheiden aus)
im LANCOM gibt es zwei Firewallregeln (die auch zum Erzeugen der VPN-Netzbeziehungen verwendet werden), die dem SAP-Router erlauben, das Subnetz der SAP zu erreichen (194.117.106.128/30).

Auf dem SAP-Router ist eine Route zum Subnetz 194.117.106.128/30 eingetragen, welche auf den LANCOM (88.77.66.253) zeigt.

Ein traceroute funktioniert, ein ping und ein telnet auf die andere Seite (194.117.106.129) aber nicht.

Was muss ich am LANCOM denn noch einstellen, damit es funktioniert?

Vielen Dank für die (hoffentliche) Hilfe
Kelsey
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: SAP-Router neben einem LANCOM 1900EF

Beitrag von backslash »

Hi hicks

also, wenn ein traceroute funktioniertm, dann muß auch ein ping funktionieren (denn traceroute int nicht anderes als ein ping, bei dem die TTL der Pakete schrittweise erhöht wird).
Was muss ich am LANCOM denn noch einstellen, damit es funktioniert?
vermutlich nichts, aber:

Ganz allgemein: weiss denn die SAP-Seite, daß sie deinen SAP-Router durch den Tunnel erreichen kann? Sprich: Haben alle Rechner auf der SAP-Seite, die du erreichen willst, eine Route zu deinem 88.77.66.x-Netz, die auf das VPN-Gateway auf der SAP-Seite zeigt. Sind auf dem VPN-Gateway auf der SAP-Seite auch die richtigen Routen und VPN-Regeln angelegt?

Gruß
Backslash
hicks
Beiträge: 5
Registriert: 25 Feb 2019, 11:37

Re: SAP-Router neben einem LANCOM 1900EF

Beitrag von hicks »

Hi backslash,

traceroute gibt diese Meldung
traceroute to 194.117.106.129 (194.117.106.129), 30 hops max, 40 byte packets
1 88.77.66.253 (88.77.66.253) 0.280 ms 0.215 ms 0.180 ms

und ping gibt diese Meldung
ping 194.117.106.129
PING 194.117.106.129 (194.117.106.129) 56(84) bytes of data.
From 88.77.66.253 icmp_seq=1 Destination Port Unreachable
.
.
.
usw.

SAP sagt, daß die alles richtig angelegt haben und den SAP -Router auch anpingen können (der SAP-Router ist kein Router im klassischen Sinne sondern ein Application Layer Gateway, eine Linux-Maschine mit einer extra Software).

Kann der LANCOM so ein Szenario denn prinzipiell abbilden? Traffic auf der WAN-Schnittstelle eingehend und über einen VPN-Tunnel wieder rausgeben? Das ist hier ja die Situation?

Gruß
Kelsey
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: SAP-Router neben einem LANCOM 1900EF

Beitrag von backslash »

Hi hicks,
traceroute gibt diese Meldung
traceroute to 194.117.106.129 (194.117.106.129), 30 hops max, 40 byte packets
1 88.77.66.253 (88.77.66.253) 0.280 ms 0.215 ms 0.180 ms
daß heißt: traceroute funktioniert auch nicht, denn sonst hätten da weitere Zeilen stehen müssen, bis halt eine Antwort von der 194.117.106.129 kommt...
und ping gibt diese Meldung
ping 194.117.106.129
PING 194.117.106.129 (194.117.106.129) 56(84) bytes of data.
From 88.77.66.253 icmp_seq=1 Destination Port Unreachable
daß heißt, daß das LANCOM das Paket schon nicht zustellen kann, denn es schickt ja die Fehlermeldung. Merkwürdig dabei ist nur, daß "Destination Port Unreachable" kommt statt "Destination Net Unreachable" oder "Destination Host Unreachable".

Da solltest du die Konfig de LANCOMs nochmal ganz genau durchsehen.
  • Hast du eine Route zur SAP-Seite (194.117.106.x), die auf den VPN-Tunnel zeigt.
  • Wenn diese maskiert wird: hast du dem VPN-Tunnel auch eine IP-Adresse (über die IP-Parameterliste) zugewiesen?
  • Das LANCOM hat nicht zufälligerweise eine "Loopback-Adresse", die 194.117.106.129 lautet.
  • Du hast nicht zufälligerweise in der Firewall den gewünschten Traffic geblockt.
  • Ist der VPN-Tunnel überhaupt aufgebaut?
  • Was sagten ein IP-Router, Firewall- und VPN-Paket-Tarce zum ping-Versuch (bitte dafür sorgen, daß sonst nichts läuft, denn sonst sieht du den Wals vor lauter Bäunmen nicht.
  • ... fragen über fragen
Gruß
Backslash
Antworten