statische Routen in andere VPN sites funktionieren nicht

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
ThomasHa
Beiträge: 8
Registriert: 19 Sep 2024, 15:21

statische Routen in andere VPN sites funktionieren nicht

Beitrag von ThomasHa »

Hallo,

ich habe zwei Filialen, die per VPN mit der Zentrale verbunden sind (IKEv1). Clients können sich ebenfalls in der Zentrale einwählen (IKEv1 oder IKEv2).

Vom Zentralennetzwerk erreiche ich die Hosts in den Filialen (statische Routen mit den jeweiligen Gegenstellen als Ziel).
Wenn ich mich als Client zur Zentrale verbinde, erreiche ich die Hosts der Filialen nicht mehr.
Andere Subnetze in der Zentrale (auch per statischer Route) kann ich aber erreichen.
Blockierende Firewallregeln existieren nicht. Probeweise hatte ich die Firewall auch schon abgeschaltet, ohne Ergebnis.

Frage: Woran kann es liegen? Was ist zu ändern?

Danke für's lesen.
TH
backslash
Moderator
Moderator
Beiträge: 7028
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: statische Routen in andere VPN sites funktionieren nicht

Beitrag von backslash »

Hi ThomasHa,
Frage: Woran kann es liegen?
kurz und knapp: an den Netzbeziehungen. Wenn du einfach nur Routen eingetragen hast und bei den VPN-Gegenstellen die Regelerzeugung auf "automatisch" stehen hast, dann können alle Filialen nur mit dem LAN in der Zentrale kommunizieren. Es wird (in der Zentrale) für jede Filiale die Netzbeziehung LAN der Zenrale <-> Netz der Filiale erstellt.
Was ist zu ändern?
Wenn jetzt die eine Filiale-1 mit einer anderen Filiale-2 reden können soll, brauchst du zusätzlich die Netzbeziehung Netz Filiale-1 <-> Netz Filiale-2 - und zwar für jede Filiale, d.h. die Anzahl der nötigen Regeln wächst quadratisch mit der Anzahl der Filialen, die miteinander kommunizieren sollen.

Übersichtlichkeit kanst du schaffen, wenn du die Filialnetze und das Zentralnetz zusammenfassen kannst, z.B. 192.186.1.x/24 in der Zentrale und jeweils 192.186.y.x/24 in den Filialen. Dann kannst du in den Filialen einfach eine Route zum Netz 192.168.x.x/16 auf die Zentrale legen und in der Zentrale mußt (neben den Routen zu den Filialen) du nur eine weitere Netzwerkregel anlegen, die die allen Filialen zuweist, nämlich 192.168.x.x/16 <-> 192.168.x.x/16

Gruß
Backslash
ThomasHa
Beiträge: 8
Registriert: 19 Sep 2024, 15:21

Re: statische Routen in andere VPN sites funktionieren nicht

Beitrag von ThomasHa »

Hallo Backslash,
vielen Dank für die Antwort.

Wo im Lanconfig stelle ich die Netzbeziehungen ein?

TH
Frühstücksdirektor
Beiträge: 124
Registriert: 08 Jul 2022, 12:53
Wohnort: Aachen

Re: statische Routen in andere VPN sites funktionieren nicht

Beitrag von Frühstücksdirektor »

VPN-Netzwerkregeln sind was für einfache Strukturen.

Will man zwischen den Filialen Routen (wie bei Dir) skaliert das nicht mehr. Für den Fall setzt man die Netzwerkregeln auf "ANY-to-ANY" d.h. 0.0.0.0/0 <=> 0.0.0.0/0.
Zu finden im VPN-Gegenstelleintrag unter "IPv4-Netzwerkregeln". Außerdem muss man die Regelerzeugung auf "manuell" setzen.
Danach steuern nur noch die Routing-Einträge die Netzbeziehungen und nicht mehr die VPN SAs. Spätestens bei dynamischen Routing muss man mit ANY-to-ANY Netzwerkregeln arbeiten.

VPN-Netzwerkregeln gibt es bei IKEv1 und IKEv2. Die Netzwerkregeln werden nicht mehr über die Firewall, wie früher gesteuert.
ThomasHa
Beiträge: 8
Registriert: 19 Sep 2024, 15:21

Re: statische Routen in andere VPN sites funktionieren nicht

Beitrag von ThomasHa »

Hallo,
vielen Dank für die Antworten.
Ich habe noch eine Information hinzuzufügen.
Die VPN Clients erhalten eine IP aus einem anderen Subnetz (ohne Schnittstellenzuweisung, quasi nur existent im Router). Ich war überrascht, dass das einfach so ging und bin davon ausgegangen, dass der Lancom dieses Netzwerk mit den anderen NW gebridged(?) hat.

Nun habe ich probeweise einem VPN Client eine IP aus dem Zentralen-Intranet gegeben und damit funktioniert der Zugriff auf die Filialhosts.
Frage: Kann ich es irgendwie hinbiegen, dass der Zugriff auch mit IP-Adressen aus dem anderen Subnetz funktioniert? Wie gesagt, Zugriff auf Subnetze am selben Router gehen ja.

TH
backslash
Moderator
Moderator
Beiträge: 7028
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: statische Routen in andere VPN sites funktionieren nicht

Beitrag von backslash »

Hi ThomasHa
Frage: Kann ich es irgendwie hinbiegen, dass der Zugriff auch mit IP-Adressen aus dem anderen Subnetz funktioniert? Wie gesagt, Zugriff auf Subnetze am selben Router gehen ja.
die Frage wurde hier in diesem Thread bereits zweimal beantwortet (einmal von mir und einmal von Frühstücksdirektor)

Gruß
Backslash
ThomasHa
Beiträge: 8
Registriert: 19 Sep 2024, 15:21

Re: statische Routen in andere VPN sites funktionieren nicht

Beitrag von ThomasHa »

Hallo,

alles klar. Jetzt geht's. Ich musste die Route auch auf dem Filialrouter eintragen.
Danke.
Antworten