6
3 Standorte über 2 ipsec VPN-Tunnel miteinander verbinden
Hallo zusammen,
in meinem ersten posting in diesem Forum, geht es um die Verschaltung von 2 ipsecVPNs. Habe dazu bereits fleißig geforscht...aber noch nicht die passende Info gefunden. Vielleicht hat ja hier jemand eine Idee...
Problemstellung:
Es sollen 3 Standorte über 2 ipsecVPN-Tunnel verbunden werden.
Die IP-Adressen sind im Folgenden nur beispielhaft gewählt.
Standort A
LAN: 192.168.1.0/24
GW: 192.168.1.1
WAN-IP: 80.1.2.3
|
ipsecVPN-Tunnel1
|
Standort B (Cisco RV042)
LAN: 10.10.10.0/24
GW: 10.10.10.1
WAN-IP: 81.1.2.3
|
ipsecVPN-Tunnel2
|
Standort C
LAN: 172.168.1.0/24
GW: 172.168.1.1
WAN-IP: 82.1.2.3
Beide Tunnel sind bereits aktiv, und man kann vom Standort B in das LAN von A und C pingen.
Dementsprechend natürlich auch von A nach B und von C nach B.
Was nicht funktioniert ist die Verbindung von A nach C oder umgekehrt.
Hier die relevanten Daten der aktuellen Konfigurationen der Tunnel (alle als Netz/Netz-Kopplung aufgesetzt):
Standort A
local ip: 80.1.2.3
local subnet: 192.168.1.0/24
remote ip: 81.1.2.3
remote subnet: 10.10.10.0/24
Standort B Tunnel1 (Richtung A)
local ip: 81.1.2.3
local subnet: 10.10.10.0/24
remote ip: 80.1.2.3
remote subnet:
Standort B Tunnel2 (Richtung C)
local ip: 81.1.2.3
local subnet: 10.10.10.0/24
remote ip: 82.1.2.3
remote subnet: 172.168.1.0/24
Standort C
local ip: 82.1.2.3
local subnet: 172.168.1.0/24
remote ip: 81.1.2.3
remote subnet: 10.10.10.0/24
Fragen:
Wie müsste die Konfiguration nach obigem Beispiel richtigerweise aussehen?
Sind zusätzliche routen und/oder Regeln erforderlich?
Ist der Router an Standort B (Cisco RV042 HW:03, FW:4.2.1.02-20120118) für dieses Vorhaben überhaupt geeignet - oder braucht man hier ein etwas "professionelleres" Gerät?
Vielen Dank im Voraus!
Gruß
Stefan
in meinem ersten posting in diesem Forum, geht es um die Verschaltung von 2 ipsecVPNs. Habe dazu bereits fleißig geforscht...aber noch nicht die passende Info gefunden. Vielleicht hat ja hier jemand eine Idee...
Problemstellung:
Es sollen 3 Standorte über 2 ipsecVPN-Tunnel verbunden werden.
Die IP-Adressen sind im Folgenden nur beispielhaft gewählt.
Standort A
LAN: 192.168.1.0/24
GW: 192.168.1.1
WAN-IP: 80.1.2.3
|
ipsecVPN-Tunnel1
|
Standort B (Cisco RV042)
LAN: 10.10.10.0/24
GW: 10.10.10.1
WAN-IP: 81.1.2.3
|
ipsecVPN-Tunnel2
|
Standort C
LAN: 172.168.1.0/24
GW: 172.168.1.1
WAN-IP: 82.1.2.3
Beide Tunnel sind bereits aktiv, und man kann vom Standort B in das LAN von A und C pingen.
Dementsprechend natürlich auch von A nach B und von C nach B.
Was nicht funktioniert ist die Verbindung von A nach C oder umgekehrt.
Hier die relevanten Daten der aktuellen Konfigurationen der Tunnel (alle als Netz/Netz-Kopplung aufgesetzt):
Standort A
local ip: 80.1.2.3
local subnet: 192.168.1.0/24
remote ip: 81.1.2.3
remote subnet: 10.10.10.0/24
Standort B Tunnel1 (Richtung A)
local ip: 81.1.2.3
local subnet: 10.10.10.0/24
remote ip: 80.1.2.3
remote subnet:
Standort B Tunnel2 (Richtung C)
local ip: 81.1.2.3
local subnet: 10.10.10.0/24
remote ip: 82.1.2.3
remote subnet: 172.168.1.0/24
Standort C
local ip: 82.1.2.3
local subnet: 172.168.1.0/24
remote ip: 81.1.2.3
remote subnet: 10.10.10.0/24
Fragen:
Wie müsste die Konfiguration nach obigem Beispiel richtigerweise aussehen?
Sind zusätzliche routen und/oder Regeln erforderlich?
Ist der Router an Standort B (Cisco RV042 HW:03, FW:4.2.1.02-20120118) für dieses Vorhaben überhaupt geeignet - oder braucht man hier ein etwas "professionelleres" Gerät?
Vielen Dank im Voraus!
Gruß
Stefan
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 193792
Url: https://administrator.de/forum/3-standorte-ueber-2-ipsec-vpn-tunnel-miteinander-verbinden-193792.html
Ausgedruckt am: 15.04.2025 um 21:04 Uhr
6 Kommentare
Neuester Kommentar
Hallo,
dann muss den Routern von A und C noch eine Route mitegegeben werden, dass das jeweilige Netz über das Netz B erreichbar ist.
Evtl. muss beim Router B auch noch eingestellt werden das ihm erlaubt ist von A nach C zu routen
Gruß
Chonta
dann muss den Routern von A und C noch eine Route mitegegeben werden, dass das jeweilige Netz über das Netz B erreichbar ist.
Evtl. muss beim Router B auch noch eingestellt werden das ihm erlaubt ist von A nach C zu routen
Gruß
Chonta
Hallo,
wenn die Tunnel konfiguration schon passt benötigst du lediglich noch das entpsrechende Routing das Pakete aus Tunnel A in Standort B nach Standort c dürfen und natrülich den Weg in Gegenrichtung.
brammer
wenn die Tunnel konfiguration schon passt benötigst du lediglich noch das entpsrechende Routing das Pakete aus Tunnel A in Standort B nach Standort c dürfen und natrülich den Weg in Gegenrichtung.
brammer
Hallo Chonta,
vielen Dank für die Antwort!
Sowas hatte ich mir auch schon überlegt...funktioniert in dem Setup aber leider nicht...
Also folgende routen habe ich hinzugefügt:
Standort A
dest gateway interface
172.168.1.0/24 10.10.10.1 LAN
Standort C
dest gateway interface
192.168.1.0/24 10.10.10.1 LAN
In der Firewall an Standort C
source dest interface action
any any LAN allow
Vieleicht noch ein Hinweis zum Setup:
Router A geht über einen speziellen APN per GPRS ins Internet und bekommt darüber eine fixe ip zugewiesen
Router B hängt hinter einem DSL-Modem und wählt sich per pppoe ins internet ein (dsl-business mit fixer ip)
Router C hängt hinter einem DSL-Router (dsl-business mit fixer ip) und erhält die ipsec-Pakete per portforwarding.
Noch eine Idee...oder stimmt die 10.10.10.1 als gateway nicht?
Gruß
Stefan
vielen Dank für die Antwort!
Sowas hatte ich mir auch schon überlegt...funktioniert in dem Setup aber leider nicht...
Also folgende routen habe ich hinzugefügt:
Standort A
dest gateway interface
172.168.1.0/24 10.10.10.1 LAN
Standort C
dest gateway interface
192.168.1.0/24 10.10.10.1 LAN
In der Firewall an Standort C
source dest interface action
any any LAN allow
Vieleicht noch ein Hinweis zum Setup:
Router A geht über einen speziellen APN per GPRS ins Internet und bekommt darüber eine fixe ip zugewiesen
Router B hängt hinter einem DSL-Modem und wählt sich per pppoe ins internet ein (dsl-business mit fixer ip)
Router C hängt hinter einem DSL-Router (dsl-business mit fixer ip) und erhält die ipsec-Pakete per portforwarding.
Noch eine Idee...oder stimmt die 10.10.10.1 als gateway nicht?
Gruß
Stefan
Hallo,
die Router sollten die möglichkeit haben eine Statische Route eintragen zu können.
Alle Router sind Teil eines VPN Netzes mit eigenem Adressraum.
Der Router A braucht um C erreichen zu können eine Statische Route für das lokale Netz von C mit der VPN-IP von B
Und C umgekehrt also eine Route für das Nezt von A mit Gatway IP von B.
Ich gehe mal davon aus, das sich A und C immer mit B verbinden und B so eine Art Server ist.
Ansonsten müsste man noch eine VPN Verbindung zwischen A und C separat aufbauen.
Denn jetzt würde wenn B ausfällt die Kommunikation zwischen A und C wegbrechen, wenn die aber eine eigene Verbindung haben kann B auch wegbrechen und die Kommunikation bleibt bestehen.
Gruß
Chonta
die Router sollten die möglichkeit haben eine Statische Route eintragen zu können.
Alle Router sind Teil eines VPN Netzes mit eigenem Adressraum.
Der Router A braucht um C erreichen zu können eine Statische Route für das lokale Netz von C mit der VPN-IP von B
Und C umgekehrt also eine Route für das Nezt von A mit Gatway IP von B.
Ich gehe mal davon aus, das sich A und C immer mit B verbinden und B so eine Art Server ist.
Ansonsten müsste man noch eine VPN Verbindung zwischen A und C separat aufbauen.
Denn jetzt würde wenn B ausfällt die Kommunikation zwischen A und C wegbrechen, wenn die aber eine eigene Verbindung haben kann B auch wegbrechen und die Kommunikation bleibt bestehen.
Gruß
Chonta
Trotz dem Hinweis, dass es sich nur um Beispiel IPs handelt, solltest du mal deinen Standort C überprüfen!
172.168.x.x/24 ist kein Subnetz für den lokalen Gebrauch. Wenn schon, dann sollte eser richtigerweise etwas zwischen 172.16.0.0 mit ner Maske von 255.240.0.0 sein. Wähle also dein 24erFreund subnet aus zwischen 172.16.0.0 und 172.31.0.0 aus (zum Beispiel 172.16.20.0/24)
172.168.x.x/24 ist kein Subnetz für den lokalen Gebrauch. Wenn schon, dann sollte eser richtigerweise etwas zwischen 172.16.0.0 mit ner Maske von 255.240.0.0 sein. Wähle also dein 24erFreund subnet aus zwischen 172.16.0.0 und 172.31.0.0 aus (zum Beispiel 172.16.20.0/24)
Hallo zusammen,
mit dem routing hat das nicht funktioniert...aber so geht es dann doch:
An Standort A und C habe ich in der Tunnel-Konfiguration als "remote subnet" jeweils 0.0.0.0/0 also "any" eingetragen.
Die beiden Tunnel die von B abgehen, haben dann als "local subnet" jeweils 0.0.0.0/0
Also so...
Standort A
local ip: 80.1.2.3
local subnet: 192.168.1.0/24
remote ip: 81.1.2.3
remote subnet: 0.0.0.0/0
Standort B Tunnel1 (Richtung A)
local ip: 81.1.2.3
local subnet: 0.0.0.0/0
remote ip: 80.1.2.3
remote subnet:
Standort B Tunnel2 (Richtung C)
local ip: 81.1.2.3
local subnet: 0.0.0.0/0
remote ip: 82.1.2.3
remote subnet: 172.168.1.0/24
Standort C
local ip: 82.1.2.3
local subnet: 172.168.1.0/24
remote ip: 81.1.2.3
remote subnet: 0.0.0.0/0
Nun ist es von jedem Standort aus möglich die anderen Netze zu erreichen.
@panguu: Habe Deinen Hinweis verstanden...lasse die Beispieladressen aber mal so, um keine zusätzliche Verwirrung zu stiften.
Vielen Dank an alle für die Lösungsvorschläge!
Gruß
Stefan
mit dem routing hat das nicht funktioniert...aber so geht es dann doch:
An Standort A und C habe ich in der Tunnel-Konfiguration als "remote subnet" jeweils 0.0.0.0/0 also "any" eingetragen.
Die beiden Tunnel die von B abgehen, haben dann als "local subnet" jeweils 0.0.0.0/0
Also so...
Standort A
local ip: 80.1.2.3
local subnet: 192.168.1.0/24
remote ip: 81.1.2.3
remote subnet: 0.0.0.0/0
Standort B Tunnel1 (Richtung A)
local ip: 81.1.2.3
local subnet: 0.0.0.0/0
remote ip: 80.1.2.3
remote subnet:
Standort B Tunnel2 (Richtung C)
local ip: 81.1.2.3
local subnet: 0.0.0.0/0
remote ip: 82.1.2.3
remote subnet: 172.168.1.0/24
Standort C
local ip: 82.1.2.3
local subnet: 172.168.1.0/24
remote ip: 81.1.2.3
remote subnet: 0.0.0.0/0
Nun ist es von jedem Standort aus möglich die anderen Netze zu erreichen.
@panguu: Habe Deinen Hinweis verstanden...lasse die Beispieladressen aber mal so, um keine zusätzliche Verwirrung zu stiften.
Vielen Dank an alle für die Lösungsvorschläge!
Gruß
Stefan
