statische Routen in andere VPN sites funktionieren nicht
Moderator: Lancom-Systems Moderatoren
statische Routen in andere VPN sites funktionieren nicht
Hallo,
ich habe zwei Filialen, die per VPN mit der Zentrale verbunden sind (IKEv1). Clients können sich ebenfalls in der Zentrale einwählen (IKEv1 oder IKEv2).
Vom Zentralennetzwerk erreiche ich die Hosts in den Filialen (statische Routen mit den jeweiligen Gegenstellen als Ziel).
Wenn ich mich als Client zur Zentrale verbinde, erreiche ich die Hosts der Filialen nicht mehr.
Andere Subnetze in der Zentrale (auch per statischer Route) kann ich aber erreichen.
Blockierende Firewallregeln existieren nicht. Probeweise hatte ich die Firewall auch schon abgeschaltet, ohne Ergebnis.
Frage: Woran kann es liegen? Was ist zu ändern?
Danke für's lesen.
TH
ich habe zwei Filialen, die per VPN mit der Zentrale verbunden sind (IKEv1). Clients können sich ebenfalls in der Zentrale einwählen (IKEv1 oder IKEv2).
Vom Zentralennetzwerk erreiche ich die Hosts in den Filialen (statische Routen mit den jeweiligen Gegenstellen als Ziel).
Wenn ich mich als Client zur Zentrale verbinde, erreiche ich die Hosts der Filialen nicht mehr.
Andere Subnetze in der Zentrale (auch per statischer Route) kann ich aber erreichen.
Blockierende Firewallregeln existieren nicht. Probeweise hatte ich die Firewall auch schon abgeschaltet, ohne Ergebnis.
Frage: Woran kann es liegen? Was ist zu ändern?
Danke für's lesen.
TH
Re: statische Routen in andere VPN sites funktionieren nicht
Hi ThomasHa,
Übersichtlichkeit kanst du schaffen, wenn du die Filialnetze und das Zentralnetz zusammenfassen kannst, z.B. 192.186.1.x/24 in der Zentrale und jeweils 192.186.y.x/24 in den Filialen. Dann kannst du in den Filialen einfach eine Route zum Netz 192.168.x.x/16 auf die Zentrale legen und in der Zentrale mußt (neben den Routen zu den Filialen) du nur eine weitere Netzwerkregel anlegen, die die allen Filialen zuweist, nämlich 192.168.x.x/16 <-> 192.168.x.x/16
Gruß
Backslash
kurz und knapp: an den Netzbeziehungen. Wenn du einfach nur Routen eingetragen hast und bei den VPN-Gegenstellen die Regelerzeugung auf "automatisch" stehen hast, dann können alle Filialen nur mit dem LAN in der Zentrale kommunizieren. Es wird (in der Zentrale) für jede Filiale die Netzbeziehung LAN der Zenrale <-> Netz der Filiale erstellt.Frage: Woran kann es liegen?
Wenn jetzt die eine Filiale-1 mit einer anderen Filiale-2 reden können soll, brauchst du zusätzlich die Netzbeziehung Netz Filiale-1 <-> Netz Filiale-2 - und zwar für jede Filiale, d.h. die Anzahl der nötigen Regeln wächst quadratisch mit der Anzahl der Filialen, die miteinander kommunizieren sollen.Was ist zu ändern?
Übersichtlichkeit kanst du schaffen, wenn du die Filialnetze und das Zentralnetz zusammenfassen kannst, z.B. 192.186.1.x/24 in der Zentrale und jeweils 192.186.y.x/24 in den Filialen. Dann kannst du in den Filialen einfach eine Route zum Netz 192.168.x.x/16 auf die Zentrale legen und in der Zentrale mußt (neben den Routen zu den Filialen) du nur eine weitere Netzwerkregel anlegen, die die allen Filialen zuweist, nämlich 192.168.x.x/16 <-> 192.168.x.x/16
Gruß
Backslash
Re: statische Routen in andere VPN sites funktionieren nicht
Hallo Backslash,
vielen Dank für die Antwort.
Wo im Lanconfig stelle ich die Netzbeziehungen ein?
TH
vielen Dank für die Antwort.
Wo im Lanconfig stelle ich die Netzbeziehungen ein?
TH
-
- Beiträge: 1102
- Registriert: 19 Aug 2014, 22:41
Re: statische Routen in andere VPN sites funktionieren nicht
Vielleicht hilft dieser Beitrag weiter:
fragen-zum-thema-vpn-f14/standortvernet ... ml#p118345
fragen-zum-thema-vpn-f14/standortvernet ... ml#p118345
-
- Beiträge: 124
- Registriert: 08 Jul 2022, 12:53
- Wohnort: Aachen
Re: statische Routen in andere VPN sites funktionieren nicht
VPN-Netzwerkregeln sind was für einfache Strukturen.
Will man zwischen den Filialen Routen (wie bei Dir) skaliert das nicht mehr. Für den Fall setzt man die Netzwerkregeln auf "ANY-to-ANY" d.h. 0.0.0.0/0 <=> 0.0.0.0/0.
Zu finden im VPN-Gegenstelleintrag unter "IPv4-Netzwerkregeln". Außerdem muss man die Regelerzeugung auf "manuell" setzen.
Danach steuern nur noch die Routing-Einträge die Netzbeziehungen und nicht mehr die VPN SAs. Spätestens bei dynamischen Routing muss man mit ANY-to-ANY Netzwerkregeln arbeiten.
VPN-Netzwerkregeln gibt es bei IKEv1 und IKEv2. Die Netzwerkregeln werden nicht mehr über die Firewall, wie früher gesteuert.
Will man zwischen den Filialen Routen (wie bei Dir) skaliert das nicht mehr. Für den Fall setzt man die Netzwerkregeln auf "ANY-to-ANY" d.h. 0.0.0.0/0 <=> 0.0.0.0/0.
Zu finden im VPN-Gegenstelleintrag unter "IPv4-Netzwerkregeln". Außerdem muss man die Regelerzeugung auf "manuell" setzen.
Danach steuern nur noch die Routing-Einträge die Netzbeziehungen und nicht mehr die VPN SAs. Spätestens bei dynamischen Routing muss man mit ANY-to-ANY Netzwerkregeln arbeiten.
VPN-Netzwerkregeln gibt es bei IKEv1 und IKEv2. Die Netzwerkregeln werden nicht mehr über die Firewall, wie früher gesteuert.
Re: statische Routen in andere VPN sites funktionieren nicht
Hallo,
vielen Dank für die Antworten.
Ich habe noch eine Information hinzuzufügen.
Die VPN Clients erhalten eine IP aus einem anderen Subnetz (ohne Schnittstellenzuweisung, quasi nur existent im Router). Ich war überrascht, dass das einfach so ging und bin davon ausgegangen, dass der Lancom dieses Netzwerk mit den anderen NW gebridged(?) hat.
Nun habe ich probeweise einem VPN Client eine IP aus dem Zentralen-Intranet gegeben und damit funktioniert der Zugriff auf die Filialhosts.
Frage: Kann ich es irgendwie hinbiegen, dass der Zugriff auch mit IP-Adressen aus dem anderen Subnetz funktioniert? Wie gesagt, Zugriff auf Subnetze am selben Router gehen ja.
TH
vielen Dank für die Antworten.
Ich habe noch eine Information hinzuzufügen.
Die VPN Clients erhalten eine IP aus einem anderen Subnetz (ohne Schnittstellenzuweisung, quasi nur existent im Router). Ich war überrascht, dass das einfach so ging und bin davon ausgegangen, dass der Lancom dieses Netzwerk mit den anderen NW gebridged(?) hat.
Nun habe ich probeweise einem VPN Client eine IP aus dem Zentralen-Intranet gegeben und damit funktioniert der Zugriff auf die Filialhosts.
Frage: Kann ich es irgendwie hinbiegen, dass der Zugriff auch mit IP-Adressen aus dem anderen Subnetz funktioniert? Wie gesagt, Zugriff auf Subnetze am selben Router gehen ja.
TH
Re: statische Routen in andere VPN sites funktionieren nicht
Hi ThomasHa
Gruß
Backslash
die Frage wurde hier in diesem Thread bereits zweimal beantwortet (einmal von mir und einmal von Frühstücksdirektor)Frage: Kann ich es irgendwie hinbiegen, dass der Zugriff auch mit IP-Adressen aus dem anderen Subnetz funktioniert? Wie gesagt, Zugriff auf Subnetze am selben Router gehen ja.
Gruß
Backslash
Re: statische Routen in andere VPN sites funktionieren nicht
Hallo,
alles klar. Jetzt geht's. Ich musste die Route auch auf dem Filialrouter eintragen.
Danke.
alles klar. Jetzt geht's. Ich musste die Route auch auf dem Filialrouter eintragen.
Danke.