Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Cisco IPsec S2S-VPN ohne Routen am default GW oder Client

Mitglied: maxmax

maxmax (Level 1) - Jetzt verbinden

02.01.2017 um 18:34 Uhr, 717 Aufrufe, 7 Kommentare, 1 Danke

Hallo,


Ich habe folgende Situation:

(Außenstandort Cisco 867) --------------------------------> (Zentrale Cisco C881)
(192.168.1.0/24) ----------------------------------> (192.168.0.0/24)

ich habe einen S2S-VPN zwischen zwei Routern (Cisco 881 und Cisco 867) gespannt, jedoch habe ich nun das Problem dass die Clients der Zentrale den Weg zurück zum Außenstandort nicht finden, da der Cisco C881 welcher den VPN Terminiert nicht das Default Gateway der Clients ist, dieser hängt quasi nur im Subnetz um den VPN zu terminieren. Es ist nicht möglich am Gateway in der Zentrale routen zurück zu setzen oder direkt lokal am Client.

Jetzt habe ich versucht das Netz ankommende Netz statisch vom Außenstandort am Zentralenrouter inside zu natten, was auch funktioniert. (192.168.1.5 -->192.168.0.5)
Jedoch funktioniert das Outside NAT (Weg zurück) nicht da der Client mit einem ARP-Request im Zentralennetz nach der MAC-Adresse des Clients am Außenstandort fragt, und diese so durchs NAT nicht erfährt.

Ich weiß das dies eine ziemlich außergewöhnliche Konfiguration ist und keinesfalls empfehlenswert, es geht nur vorübergehend nicht anders.
Hat jemand eine Idee wie ich das Lösen könnte?

Freundliche Grüße
Mitglied: em-pie
02.01.2017 um 20:44 Uhr
Moin,

wer macht denn im Außenstandort das Gateway?
denn hier musst du ja eine Route dann setzen, wenn ich mich recht entsinne.

wenn dein 867 in dem besagten Netz z.B. die 192.168.1.2 hätte und das Gateway die 192.168.1.1, so müsstest du am Gateway eine Route setzen, die das Netz 192.168.0.0/24 auf den 192.168.1.2 verweist...

Denn woher soll denn sonst jemand wissen, wohin die Pakete zu senden sind...

Gruß
em-pie
Bitte warten ..
Mitglied: aqui
03.01.2017, aktualisiert um 10:54 Uhr
Die hiesigen Tutorials zu dem Thema hast du gelesen ?
https://www.administrator.de/wissen/ipsec-vpns-einrichten-cisco-mikrotik ...
https://www.administrator.de/wissen/ipsec-vpn-praxis-standort-kopplung-c ...
Dort ist eigentlich genau erklärt was zu machen ist.
Vermutlich hast du die ACL vergessen oder falsch konfiguriert die den Tunneltraffic definiert für die Clients, kann das sein ?
Es ist nicht möglich am Gateway in der Zentrale routen zurück zu setzen oder direkt lokal am Client.
Das ist allerdings tödlich ! Damit fehlt jegliche Grundvoraussetzung sowas umzusetzen.
Das ist so als wenn du zum Mond fliegen willst aber keine Rakete hast...
Vergiss es...ohne das ist das niemals umsetzbar ! Wie auch. Die Routen sind essentiall zur Wegefindung.
Bitte warten ..
Mitglied: BitBurg
LÖSUNG 04.01.2017, aktualisiert um 18:32 Uhr
Hallo max,

neben dem ARP-Eintrag wird noch eine statische Hostroute gebraucht, denn der Router in der Zentrale führt das NAT erst nach dem Routing durch. Dazu musst du die NAT-Regel um den Eintrag "add-route" erweitern.
01.
ip nat outside source 192.168.1.5 192.168.0.5 add-route

Ohne diesen Eintrag erstellt der Router zwar einen ARP-Eintrag auf dem "inside-interface", aber routet Pakete an die 192.168.0.5 nicht zum "outside-interface", wo zuerst NAT (in diesem Fall das Umschreiben der Dst-Addr auf 192.168.1.5) und danach die Verarbeitung gemäß der IPSec-Policy stattfinden.
Werden Pakete aus dem LAN der Außenstelle (192.168.1.5) empfangen ist nichts weiter zu beachten, da hier nur die Src-Addr umgeschrieben wird und ein Routingeintrag für das Ziel (das LAN der Zentrale) zwangsläufig existiert.


BB
Bitte warten ..
Mitglied: aqui
05.01.2017, aktualisiert 06.01.2017
Das Problem bleibt aber das die Clients ein anderes Default Gateway haben und er auf dem Default Gateway und auch auf den Clients selber nichts konfigurieren kann.
Die Wegefindung im L3 wird das also auch nicht lösen...leider. Unter den o.a. Voraussetzungen des TOs hat man ja keinerlei Chance dem Client oder dem Default Gate der Clients zu sagen wo die Pakete lang müssen um ins Standort VPN zu kommen.
Bitte warten ..
Mitglied: BitBurg
LÖSUNG 05.01.2017 um 19:48 Uhr
Zitat von aqui:
Das Problem bleibt aber das die Clients ein anderes Default Gateway haben und er auf dem Default Gateway und auch auf den Clients selber nichts konfigurieren kann.
Weil er das eben nicht kann, möchte er als Notlösung eine IP-Adresse aus dem LAN der Zentrale nehmen und sie "natten". Auf einem PC in der Zentrale könnte er zum Beispiel ein Laufwerk aus dem Netz der Außenstelle mounten und dieses im LAN freigeben. Beispielsweise kann ein PC als DA die 192.168.0.5 nehmen , die der Router auf die 192.168.1.5 umschreibt.

max-nat-ipsec - Klicke auf das Bild, um es zu vergrößern

screenshot - Klicke auf das Bild, um es zu vergrößern
(Im Screenshot ist der PC ein IOS-Router)

Das ist der Sinn seiner Frage. Er möchte also nicht ohne Rakete auf den Mond fliegen, sondern nur das nutzen, was ein IOS-Router kann. Zumindest verstehe ich sein Anliegen so.

BB
Bitte warten ..
Mitglied: aqui
06.01.2017 um 10:28 Uhr
OK, Da hast du natürlich vollkommen Recht.
Das habe ich dann missverstanden bzw. "überlesen" das da jetzt NAT im Spiel ist...sorry !
Mit NAT ist das natürlich so möglich, keine Frage !
Bitte warten ..
Mitglied: maxmax
06.01.2017 um 22:03 Uhr
Hallo, das add Route wars!
Vielen Dank für eure Hilfe, nun läufts.


Lg
Bitte warten ..
Ähnliche Inhalte
Router & Routing

Cisco S2S IPSec-VPN funktioniert erst nach Anlegen einer statischen Route

Frage von tikayeventRouter & Routing5 Kommentare

Hallo zusammen, momentan beschäftige ich mich vermehrt mit Cisco und bastele gerade im Lab an einer Site-to-Site-VPN-Verbindung über IPSec ...

Router & Routing

S2S VPN Zyxel-Fritte-Zyxel

gelöst Frage von HenereRouter & Routing21 Kommentare

Servus, ich möchte gerne ein VPN ändern. Derzeit S2S-VPN zwischen Zyxel USG60W und Fritte 7490. Da die Fritte dank ...

LAN, WAN, Wireless

Cisco RV180W - Client VPN

Frage von MarkowitschLAN, WAN, Wireless3 Kommentare

Hallo lieber Netzwerker, ich habe einen Cisco RV180W Router welcher direkt mit einer öffentlichen statischen IP Adresse im Internet ...

Router & Routing

Mikrotik Hex S Als VPN GW

Frage von Winter2019Router & Routing7 Kommentare

Guten Morgen, ich habe mir ein Mikrotik Hex S ) gekauft und wollte folgendes damit machen. Der Port 1 ...

Neue Wissensbeiträge
Administrator.de Feedback
Entwicklertagebuch: Die nächste Version
Information von admtech vor 18 StundenAdministrator.de Feedback5 Kommentare

Hallo Administrator User, vielleicht haben es einige User schon mitbekommen: Wir arbeiten aktuell an einer komplett neuen Version von ...

Windows Server

Active Directory ESE Version Store Changes in Server 2019

Information von Dani vor 4 TagenWindows Server

Moin, Last month at Microsoft Ignite, many exciting new features rolling out in Server 2019 were talked about. But ...

Exchange Server

Microsoft Extending End of Support for Exchange Server 2010

Information von Dani vor 4 TagenExchange Server4 Kommentare

Moin, After investigating and analyzing the deployment state of an extensive number of Exchange customers we have decided to ...

Schulung & Training

Humble Book Bundle: Network and Security Certification 2.0

Tipp von NetzwerkDude vor 4 TagenSchulung & Training

Abend, bei HumbleBundle gibts mal wider ein schönes Paket e-books: sind verschiedene Zertifizierungen wie MCSA, CCNA, CompTIA etc., für ...

Heiß diskutierte Inhalte
Visual Studio
Prüfen, ob Programm schon disposed wurde
Frage von MarcoBornVisual Studio17 Kommentare

Hallo Forum, ich habe in VB.NET ein Programm geschrieben, welches Word startet und dort Daten ausliest. Obwohl ich die ...

Netzwerkgrundlagen
Zukunftsicheres Heimnetzwerk aufbauen
Frage von CRO-WarriorNetzwerkgrundlagen16 Kommentare

Hallo Leute. Ich bin dabei das Haus in Kroatien zu renovieren. Da hab ich jetzt die Möglichkeit alles so ...

DNS
DNS Probleme nach Umstellung auf IPv6
Frage von thunderbird304DNS16 Kommentare

Hi Leute! Folgende Problematik: Umstieg von Glasfaser auf Telekom Buisiness DSL. Durch die Umstellung ist die FritzBox nun Gateway. ...

Windows 10
Computer stürzt beim öffnen einer Software mit einem bestimmten Domänen User ab
Frage von PhilipSysWindows 1013 Kommentare

Hallo Zusammen, ich habe momentan mit einem recht harten Problem zu kämpfen! Ein User bei uns hat das Problem ...