josephusflavius
Goto Top

Cisco VM NIC ist durch VPN nicht erreichbar - Routing?

Hallo Zusammen,

wir haben eine Cisco VM, was mit zwei Netzwerkadaptern in den sog. DMZ1 (172.30.32.22) und DMZ2 (172.30.33.22) Netzen ist.

Der VPN Gateway (Direct Access - 172.30.32.20) ist genauso in DMZ1 wie der 1. Netzwerkadapter. Diesen Netzwerkadapter können wir via VPN erreichen. Der Zugriff auf 172.30.33.22 (im DMZ_2) ist aber nur am lokalen Standort möglich, nicht durch VPN. SSH ist also definitiv möglich auf beiden Adaptern.

In der Firewall gibt es ein Regel, was für bestimmte Dienste wie SSH den Zugriff vom VPN GW auf DMZ2 ermöglicht. Daran dürfte der Zugriff nicht scheitern.

Das einzige was ich mir noch vorstellen kann, dass das "gerätinterne" Routing nicht passt:

Aktuelles Routing
ip route 0.0.0.0 0.0.0.0 172.30.32.254 --> Default-Route
ip route 172.30.2.0 255.255.255.0 172.30.33.254
ip route 172.30.6.0 255.255.255.0 172.30.33.254

Sehe ich hier richtig, dass für die Netze wo die VM jeweils mit einem Adapter "Zuhause" ist, keine weiteren Routing-Regeln notwendig sind?

Was hier also ermöglicht werden sollte wären Zugriffe:

"homeoffice" --> VPN Gateway (172.30.32.20) - - - - Cisco VM_DMZ2 (172.30.33.22)


Vielen Dank für eure Meinungen.

JoFla

Content-ID: 4505977163

Url: https://administrator.de/contentid/4505977163

Ausgedruckt am: 18.12.2024 um 07:12 Uhr

aqui
aqui 04.11.2022 aktualisiert um 16:08:13 Uhr
Goto Top
in den sog. DMZ1 (172.30.32.22) und DMZ2 (172.30.33.22) Netzen ist.
Das sind keine Netzadressen sondern Hostadressen. face-sad
Sind das /24er Netze?
In der Firewall gibt es ein Regel
Was für eine Firewall ist denn aktiv? CBAC oder ZFW?
Deren Konfigs unterscheiden sich deutlich und wie diese Konfiguration der Router Firewalls aussehen siehst du, wie immer, im Cisco Tutorial.
dass das "gerätinterne" Routing nicht passt:
Das ist es meist nicht.
Leider machst du keinerlei Angaben welches der zahllosen VPN Varianten du nutzt. Raten wir mal im freien Fall IPsec?!
Sehr wahrscheinlich hast du dort schlicht und einfach vergessen das 2te lokale Segment über die match acl dem VPN bekannt zu machen. Die match acl definiert quasi die Phase 2 des IPsec VPNs was in den Tunnel geroutet wird.
Aber ohne zumindestens einmal auszugweise deine Konfig zu sehen kann man leider nur Kristallkugeln wie du dir sicher selber denken kannst.

Die hiesigen Cisco VPN Tutorials sollten dir ggf. zur Lösung helfen, denn sie beschreiben das VPN Setup für beide IKE Versionen recht genau:
IPsec mit IKEv2:
IPsec IKEv2 Standort VPN Vernetzung mit Cisco, pfSense OPNsense und Mikrotik
IPsec mit IKEv1:
Cisco, Mikrotik, pfSense VPN Standort Vernetzung mit dynamischem Routing
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
aqui
aqui 18.11.2022 um 16:52:10 Uhr
Goto Top
Wenns das denn war, bitte nicht vergessen deinen Thread dann auch als erledigt zu schliessen!