[Gelöst] Zusätzliches Netz über VPN-Tunnel routen

EDVNet · Beitrag von **EDVNet** » 16 Jan 2009, 17:19

Hallo zusammen,

ich habe schon fast geglaubt, ich hätte eine Lösung hier im Forum gefunden. Aber leider hat das Ausprobierte nicht funktioniert. Daher hoffe ich jetzt noch auf Eure Hilfe.

Ich habe zwei LC 1711 VPN im Einsatz, die einen VPN-Tunnel über das Internet verbunden haben. Der eine steht im Büro, der andere zu Hause. Im Büro ist hinter dem Lancom noch ein SBS 2003 mit externer und interner Netzwerkkarte.

Die externe Netzwerkkarte kann ich noch anpingen. Die interne Netzwerkkarte wird gar nicht bis zum SBS geroutet.
Jetzt habe ich hier im Forum die Anleitung "Weitere Netze über einen VPN-Tunnel routen" gefunden. Die habe ich auch abgearbeitet. Aber irgendwie will es nicht so, wie es soll.

Der Adressaufbau ist wie folgt:
SoHo-Netzwerk: 192.168.1.0/24
SoHo-Router: 192.168.1.1
Internet
Buero-Router: 192.168.0.254 (2 x DSL mit Loadbalancing und Ausnahmen über PolicyBasedRouting)
Zwischennetzwerk: 192.168.0.0/24
SBS 2003 extern: 192.168.0.200
SBS 2003 intern: 192.168.10.1
Buero-Netzwerk: 192.168.10.0/24

Der VPN-Tunnel zwischen den beiden Lancoms funktioniert.
Das Routing ist wie folgt eingerichtet:
SoHo-Router:

Code: Alles auswählen

Routing-Tabelle:
IP-Adresse       Netzmaske    Routing-Tag Aktiv  Router     Distanz Mask. Kommentar
192.168.0.0     255.255.255.0 0           Ja     VPNBUERO   1       Aus   Zwischennetzwerk
192.168.10.0    255.255.255.0 0           Ja     VPNBUERO   2       Aus   Buero-Netzwerk
192.168.0.0     255.255.0.0   0           Ja     0.0.0.0    0       Aus   block private networks: 192.168.x.y
172.16.0.0      255.240.0.0   0           Ja     0.0.0.0    0       Aus   block private networks: 172.16-31.x.y
10.0.0.0        255.0.0.0     0           Ja     0.0.0.0    0       Aus   block private network: 10.x.y.z
224.0.0.0       224.0.0.0     0           Ja     0.0.0.0    0       Aus   block multicasts: 224-255.x.y.z
255.255.255.255 0.0.0.0       0           Ja     T-ONLINE   0       An

Buero-Router:

Code: Alles auswählen

Routing-Tabelle:
IP-Adresse       Netzmaske     Routing-Tag Aktiv Router         Distanz Mask. Kommentar
192.168.1.0      255.255.255.0 0           Ja     VPNSOHO       0       Aus   SoHo-Netz
192.168.10.0     255.255.255.0 0           Ja     192.168.0.200 0       Aus   Buero-Netzwerk
192.168.0.0      255.255.0.0   0           Ja     0.0.0.0       0       Aus   block private networks: 192.168.x.y
172.16.0.0       255.240.0.0   0           Ja     0.0.0.0       0       Aus   block private networks: 172.16-31.x.y
10.0.0.0         255.0.0.0     0           Ja     0.0.0.0       0       Aus   block private network: 10.x.y.z
224.0.0.0        224.0.0.0     0           Ja     0.0.0.0       0       Aus   block multicasts: 224-255.x.y.z
255.255.255.255  0.0.0.0       1           Ja     T-DSLBIZ2     0       An
255.255.255.255  0.0.0.0       0           Ja     INTERNET      0       An

Die Firewallregeln sind wie folgt:
SoHo-Router:

Code: Alles auswählen

Regel-Tabelle

Name            Prot.     Quelle              Ziel            Aktion            verknuepft  Prio  Aktiv   VPN-Regel   Stateful  Rtg-Tag   Kommentar
VPN_SOHO_BUERO  ANY       LOCALNET            %HVPNBUERO      %Lcds0 %A         nein        1     ja      nein        ja        0         Erlaubt Verkehr zwischen SoHo- und Buero-Netzwerk
WINS            TCP,UDP   %S137-139 ANYHOST   ANYHOST         %Lcds0 @i %R      nein        0     ja      nein        ja        0         block NetBIOS/WINS name resolution via DNS
DNS-ANFRAGEN    UDP       ANYHOST  %S53       ANYHOST         %Lcds0 %A         nein        0     ja      nein        ja        0         
INTERNET        ANY       %DSWAW026           ANYHOST         %Lcds0 @i %R %N   nein        0     ja      nein        ja        0         Internet-Sperre
VPN-TRAFFIC     ANY       ANYHOST             ANYHOST         %Lcds0 @v %A      nein        1     nein    nein        ja        0         erlaubt VPN-Traffic

Buero-Router:

Code: Alles auswählen

Regel-Tabelle

Name                        Prot.   Quelle                          Ziel                          Aktion          verknuepft  Prio  Aktiv   VPN-Regel   Stateful  Rtg-Tag   Kommentar
VPN_BUERO_SOHO              ANY     %A192.168.10.0 %M255.255.255.0  %HVPNSOHO                     %Lcds0 %A     nein        1     ja      nein        ja        0         Verkehr vom Buero- zum SoHo-Netzwerk 
WINS                        TCP,UDP %S137-139 ANYHOST               ANYHOST                       %Lcds0 @i %R  nein        0     ja      nein        ja        0         block NetBIOS/WINS name resolution via DNS
BUERO-NETZ                  ANY     %A192.168.10.1-192.168.10.254   ANYHOST                       %Lcds0 %A     nein        0     ja      nein        ja        0  
IP_BASED_ROUTING_NO_BALANCE ANY     ANYHOST                         IP_BASED_ROUTING_NO_BALANCE10 %Lcds0 %A     nein        0     ja      nein        ja        1         Routing ueber einzelnen DSL fuer bestimmte IP-Adressen
VPN-TRAFFIC                 ANY     ANYHOST                         ANYHOST                       %Lcds0 @v %A  nein        1     nein    nein        ja        0         laesst allen Verkehr ueber den VPN-Tunnel zu
HTTPS_TEST                  TCP     ANYHOST                         %S443 ANYHOST                 %Lcds0 %A %N  nein        0     nein    nein        ja        1         Zum Herausfinden der benutzten IP-Adresse von HTTPS-Seiten

Könnt Ihr mir vielleicht noch einen Hinweis geben?

Danke.
Ulf

backslash · Beitrag von **backslash** » 16 Jan 2009, 18:31

Hi EDVNet,

im Büro-Router muß in der Regel "VPN_BUERO_SOHO" das Häkchen bei "Diese Regel wird zur Erzeugung von VPN-Regeln herangezogen" gesetzt sein bzw. bei "VPN-Regel" muß "ja" stehen... So steht es auch in dem von dir zitierten Knowledgebas-dokument

Gruß
Backslash

EDVNet · Beitrag von **EDVNet** » 16 Jan 2009, 19:11

Hallo Backslash,

danke für die schnelle Reaktion.
Ich habe wieder mal nur auf die Bilder geschaut.

Trotzdem bringt die Änderung leider keinen Erfolg. Der Ping auf die interne Netzwerkkarte wird nicht zum SBS weitergeleitet.

Gibt es noch etwas, was ich überprüfen kann?

Danke.
Ulf

backslash · Beitrag von **backslash** » 16 Jan 2009, 19:36

Hi EDVNet,

die SAs werden aber aufgebaut, oder? Was sagt ein VPN-Status-Trace (trace # vpn-st)

Was sagt ein Router-Trace im Büro-Router? Den Trace aber unbedingt auf die gewünschte IP-Adresse einschränken (z.b. auf deinen PC zuhause), damit du überhaupt noch etwas in dem Trace siehst. (trace # ip-ro @ 192.168.1.)

Desweiteren solltest du das machen, wenn nicht allzuviel auf dem Router los ist, weil so ein Trace doch sehr Performancefressend und Speicherintensiv ist, denn die Einschränkung erfolgt erst bei der Ausgabe

Gruß
Backslash

EDVNet · Beitrag von **EDVNet** » 16 Jan 2009, 19:56

Hallo Backslash,

der VPN-Tunnel ist aufgebaut. Das funktioniert alles einwandfrei. Die externe Schnittstelle des SBS kann ich ja anpingen. Nur das Routing zur internen NIC funktioniert nicht. Wobei am SBS auch nichts ankommt. Ich kann das im Firewall-Log des SBS sehen.

Der Trace auf dem Buero-Router ergab folgendes:

Code: Alles auswählen

[IP-Router] 2009/01/16 19:43:04,550
IP-Router Rx (VPNSOHO, RtgTag: 0):
DstIP: 192.168.10.1, SrcIP: 192.168.1.89, Len: 60, DSCP/TOS: 0x00
Prot.: ICMP (1), echo request, id: 0x0001, seq: 0x0043
Route: LAN Tx (BUERO-NETZ):

[IP-Router] 2009/01/16 19:43:09,510
IP-Router Rx (VPNSOHO, RtgTag: 0):
DstIP: 192.168.10.1, SrcIP: 192.168.1.89, Len: 60, DSCP/TOS: 0x00
Prot.: ICMP (1), echo request, id: 0x0001, seq: 0x0044
Route: LAN Tx (BUERO-NETZ):

[IP-Router] 2009/01/16 19:43:14,140
IP-Router Rx (VPNSOHO, RtgTag: 0):
DstIP: 192.168.10.1, SrcIP: 192.168.1.89, Len: 60, DSCP/TOS: 0x00
Prot.: ICMP (1), echo request, id: 0x0001, seq: 0x0045
Route: LAN Tx (BUERO-NETZ):

[IP-Router] 2009/01/16 19:43:18,760
IP-Router Rx (VPNSOHO, RtgTag: 0):
DstIP: 192.168.10.1, SrcIP: 192.168.1.89, Len: 60, DSCP/TOS: 0x00
Prot.: ICMP (1), echo request, id: 0x0001, seq: 0x0046
Route: LAN Tx (BUERO-NETZ):

EDVNet · Beitrag von **EDVNet** » 16 Jan 2009, 19:59

Hallo Backslash,

danke für Deine unermüdliche Unterstützung.
Ich habe meine eigenen Unkenntnis entdeckt. Ich hatte irgendwann mal was ausprobiert und hatte das Netzwerk bei den IP-Netzwerken mit eingtragen. Da meinte der Router natürlich er ist selbst an diesem LAN angeschlossen.
Habe den Eintrag jetzt gelöscht und siehe da es funktioniert.

Danke. Danke. DAnke.
Schönes Wochenende.

Ulf