2
Cisco VM NIC ist durch VPN nicht erreichbar - Routing?
Hallo Zusammen,
wir haben eine Cisco VM, was mit zwei Netzwerkadaptern in den sog. DMZ1 (172.30.32.22) und DMZ2 (172.30.33.22) Netzen ist.
Der VPN Gateway (Direct Access - 172.30.32.20) ist genauso in DMZ1 wie der 1. Netzwerkadapter. Diesen Netzwerkadapter können wir via VPN erreichen. Der Zugriff auf 172.30.33.22 (im DMZ_2) ist aber nur am lokalen Standort möglich, nicht durch VPN. SSH ist also definitiv möglich auf beiden Adaptern.
In der Firewall gibt es ein Regel, was für bestimmte Dienste wie SSH den Zugriff vom VPN GW auf DMZ2 ermöglicht. Daran dürfte der Zugriff nicht scheitern.
Das einzige was ich mir noch vorstellen kann, dass das "gerätinterne" Routing nicht passt:
Aktuelles Routing
ip route 0.0.0.0 0.0.0.0 172.30.32.254 --> Default-Route
ip route 172.30.2.0 255.255.255.0 172.30.33.254
ip route 172.30.6.0 255.255.255.0 172.30.33.254
Sehe ich hier richtig, dass für die Netze wo die VM jeweils mit einem Adapter "Zuhause" ist, keine weiteren Routing-Regeln notwendig sind?
Was hier also ermöglicht werden sollte wären Zugriffe:
"homeoffice" --> VPN Gateway (172.30.32.20) - - - - Cisco VM_DMZ2 (172.30.33.22)
Vielen Dank für eure Meinungen.
JoFla
wir haben eine Cisco VM, was mit zwei Netzwerkadaptern in den sog. DMZ1 (172.30.32.22) und DMZ2 (172.30.33.22) Netzen ist.
Der VPN Gateway (Direct Access - 172.30.32.20) ist genauso in DMZ1 wie der 1. Netzwerkadapter. Diesen Netzwerkadapter können wir via VPN erreichen. Der Zugriff auf 172.30.33.22 (im DMZ_2) ist aber nur am lokalen Standort möglich, nicht durch VPN. SSH ist also definitiv möglich auf beiden Adaptern.
In der Firewall gibt es ein Regel, was für bestimmte Dienste wie SSH den Zugriff vom VPN GW auf DMZ2 ermöglicht. Daran dürfte der Zugriff nicht scheitern.
Das einzige was ich mir noch vorstellen kann, dass das "gerätinterne" Routing nicht passt:
Aktuelles Routing
ip route 0.0.0.0 0.0.0.0 172.30.32.254 --> Default-Route
ip route 172.30.2.0 255.255.255.0 172.30.33.254
ip route 172.30.6.0 255.255.255.0 172.30.33.254
Sehe ich hier richtig, dass für die Netze wo die VM jeweils mit einem Adapter "Zuhause" ist, keine weiteren Routing-Regeln notwendig sind?
Was hier also ermöglicht werden sollte wären Zugriffe:
"homeoffice" --> VPN Gateway (172.30.32.20) - - - - Cisco VM_DMZ2 (172.30.33.22)
Vielen Dank für eure Meinungen.
JoFla
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 4505977163
Url: https://administrator.de/contentid/4505977163
Printed on: April 28, 2024 at 03:04 o'clock
2 Comments
Latest comment
in den sog. DMZ1 (172.30.32.22) und DMZ2 (172.30.33.22) Netzen ist.
Das sind keine Netzadressen sondern Hostadressen. 
Sind das /24er Netze?
In der Firewall gibt es ein Regel
Was für eine Firewall ist denn aktiv? CBAC oder ZFW?Deren Konfigs unterscheiden sich deutlich und wie diese Konfiguration der Router Firewalls aussehen siehst du, wie immer, im Cisco Tutorial.
dass das "gerätinterne" Routing nicht passt:
Das ist es meist nicht.Leider machst du keinerlei Angaben welches der zahllosen VPN Varianten du nutzt. Raten wir mal im freien Fall IPsec?!
Sehr wahrscheinlich hast du dort schlicht und einfach vergessen das 2te lokale Segment über die match acl dem VPN bekannt zu machen. Die match acl definiert quasi die Phase 2 des IPsec VPNs was in den Tunnel geroutet wird.
Aber ohne zumindestens einmal auszugweise deine Konfig zu sehen kann man leider nur Kristallkugeln wie du dir sicher selber denken kannst.
Die hiesigen Cisco VPN Tutorials sollten dir ggf. zur Lösung helfen, denn sie beschreiben das VPN Setup für beide IKE Versionen recht genau:
IPsec mit IKEv2:
IPsec IKEv2 Standort VPN Vernetzung mit Cisco, pfSense OPNsense und Mikrotik
IPsec mit IKEv1:
Cisco, Mikrotik, pfSense VPN Standort Vernetzung mit dynamischem Routing
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
Wenns das denn war, bitte nicht vergessen deinen Thread dann auch als erledigt zu schliessen!
