goaknecht
Goto Top

Bintec VPN Verbindung

Hallo auch !

Folgendes Szenario.

Haben hier einen Bintec X1200 im Netz. Funktioniert einwandfrei.
Allerdings sind dort jetzt alle IP-SEC Client Lizensen verbraucht.

Da wir aber noch einen Bintec Router und noch einen DSL Anschluss haben, habe ich einfach mal einen zweiten Bintec mit ins Netz gebracht um dort dann auch wieder 10 IP-SEC Lizensen zu Verfügung zu haben.

Beide Router sind über DYNDNS von extern erreichbar.

IP Router 1: 192.168.100.1
IP Router 2: 192.168.100.2

Wenn ich mich nun auf meinem neuen Router per IP-SEC einwähle kann ich leider nur den Router selbst pingen aber sämtliche anderen PC im Netz nicht.
kein Zugriff auf Server usw.

Der Router 1 ist als Gateway auf den Clients eingetragen. Wie bekomme ich nun den Zugriff auf das Netz über den zweiten Router. Muss ich da noch eine Route zwischen den beiden Router eintragen obwohl sie im gleichen Netz hängen oder muss ich dem zweiten Router eine andere IP-Adresse verpassen damit das dann funzt ?

Thanks for help.

Content-ID: 89596

Url: https://administrator.de/forum/bintec-vpn-verbindung-89596.html

Ausgedruckt am: 23.12.2024 um 13:12 Uhr

aqui
aqui 11.06.2008 um 10:32:01 Uhr
Goto Top
Es ist ja klar das das so nicht funktioniert ! Wenn du über Router 2 reinkommst und ein Endgerät im LAN Pingst, das Router 1 als default Gateway hat landen deine Packete im Nirwana, das ist logisch.

Deine IPsec VPN Client müssen unterschiedliche IP Netze haben, das löst das Problem sofort !
Z.B. VPN Clients an Router 1 sind im Netz 172.16.1.0/24 und VPN Clients an Router 2 sind im Netz 172.16.2.0/24.

Dann trägst du eine statische Route an Router 1 ein:
Zielnetz: 172.16.2.0, Maske: 255.255.255.0, Gateway: 192.168.100.2

Damit gehen Reply Packete die sonst an Router 1 gehen dann zum Router 2 und enden dort wo sie hingehören !
Das sollte dein Problem sofort lösen !
goaknecht
goaknecht 11.06.2008 um 11:09:44 Uhr
Goto Top
Danke erst einmal.

Ich habe nun folgendendes getan.

Router 1 hat IP 192.168.100.189
Router 2 hat IP 192.168.100.187

IPESC Client Einwahl auf Router 2. Im IPSEC-Client IP Adresse manuell vergeben 192.168.11.50. Zielnetz 192.168.200.0 / 24.

Im Router habe ich die manuell vergebene Remote Adresse angegeben und als Local Net 192.168.200.0.

Danach habe ich eine Route im Router 1 eingetragen : destination 192.168.200.0 / 24 über Gateway 192.168.100.189.

Nun klappt leider nicht mal mehr ein Ping auf den Router.

VPN Verbindung wird sauber angezeigt. keinerlei Ping möglich. (Schade)

Und nun ?
aqui
aqui 11.06.2008 um 11:25:49 Uhr
Goto Top
Ist ja auch klar !!! Dein next Hop Gateway in der statischen Route an Router 1 lautet ja 192.168.100.189 damit routetst du die 200er Adressen selber an Router 1 zurück obwohl sie ja an Router 2 mit der .187 sollen.
Das ist natürlich vollkommener Blödsinn !

Die Gateway Adresse der statischen Route an Router 1 muss ja auch logischerweise 192.168.100.187 lauten, damit die .200er Packete an Router 2 gehen !!!
goaknecht
goaknecht 11.06.2008 um 11:42:21 Uhr
Goto Top
Ok.

Stimmt mein Fehler.

Habe die Route jetzt geändert.

Router 1: destination: 192.168.200.0 / 24 über STandartgateway 192.168.100.187.

IPSEC Client wählt sich in Router 2 in Netz 192.168.200.0 ein. VPN Verbindung steht. Monitor zeigt an das Client eingewählt ist. Ping ist auf nichts möglich.

Hilfe , das gibt es doch nicht ....
goaknecht
goaknecht 11.06.2008 um 12:45:35 Uhr
Goto Top
Hat keiner mehr einen Lösungsweg ?
goaknecht
goaknecht 11.06.2008 um 14:54:00 Uhr
Goto Top
So da bin ich wieder !

Habe das Problem gelöst.

IP-Sec Client wählt sich auf dem neuen Router ein. VPN Netz 192.168.100.0 / 24. Ping auf den Router 192.168.100.187 ist dann möglich.
Ping auf den Rest noch nicht.

Im Router 1 habe ich dann eine Hostroute auf die im IPSEC-Client angelegte IP-Adresse über den Gateway 192.168.100.187 angelegt.

Und siehe da. Zugriff auf alles über IPSEC-Client über den zweiten Router ist jetzt möglich.

Tja ... warum der Lösungsansatz von aqui nicht funktioniert weiß ich auch nicht hört sich aber serh stimmig an.

Danke nochmal !!!
aqui
aqui 11.06.2008 um 21:21:59 Uhr
Goto Top
Das ist vermutlich ein Bug in der Bintec SW. Statt einer Hostroute MUSS auch eine Route auf das netzwerk funktionieren...eigentlich.
Kann ja niemand erwarten das du 50 oder Mehr Routen also für jeden Client eine einträgst...
Gut wenns jetzt klappt, auch wenns umständlich ist.

Wenns das war dann bitte
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !