padix72
Goto Top

FritzBox,VPN, Routing und Gateway - Denkfehler

Moin Gemeinde,

vielleicht hab ich ja nur nen Denkfehler. Folgendes Problem:

Standort 1: FritzBox 6840 LTE - Netz: 192.168.0.x
Standort 2: FritzBox 7270 Netz: 192.168.10.x

VPN-Tunnel zwischen den Netzen funktioniert.
Am Standort 2 befindet sich noch ein Proxy!

Vom Standort 1 erreiche ich nur die Clients (am Standort 2), die als Gateway
die FritzBox haben. Die Clients die über den Proxy laufen kann ich nicht erreichen.

Die FritzBox lässt kein 255.255.255.255 zu (angeblich ungültige Subnetzmaske)

Liegt das Problem bei der FritzBox oder zwischen meinen Ohren?


Bitte jetzt keine Hinweise über "Standortverknüpfung via AVM = macht man nicht" oder
"Fritzbox austauschen gegen anständigen Router"!!
Geht nicht anders... face-sad Zweimal Astaro wär mir auch lieber face-wink

Danke für´s Brainstorming...

Gruß

Content-ID: 210692

Url: https://administrator.de/forum/fritzbox-vpn-routing-und-gateway-denkfehler-210692.html

Ausgedruckt am: 23.12.2024 um 05:12 Uhr

bronkz
bronkz 05.07.2013 aktualisiert um 19:25:30 Uhr
Goto Top
Hi padix72,

eine Skizze wär ganz schön. Sind die Clients die hinterm Proxy hängen in einem anderen Subnetz? Transparenter Proxy vermute ich?
So spontan würde ich mal auf den Proxy tippen, oder die ACL, falls die anderen Clients in einem anderen Subnetz hängen.

Gruß
bronkz
padix72
padix72 05.07.2013 um 19:54:32 Uhr
Goto Top
Hi bronkz,

Skizze kommt sobald ich meine künstlerische Ader gefunden hab...face-wink

Ansonsten: Clients sind im gleichen Subnet und hängen hinterm transp. Proxy (is UGPF 6.0 v. EntenSys). Ein Bintec VPN5 im 192.168.20.x-Netz (Standort 3) geht ohne Probleme, da konnte ich auch /32er eintragen nur die olle FritzBox lässt das nicht zu *zum_heulen*

"Access Control"-mäßig hab schon mal zum testen "any/all/both/tcp/udp/gre/esp" (alles was geht)zugelassen...Proxy kann ich auch anpingen...wenn ich vom Standort 1 nen routing auf den entfernten Proxy eingeben will, geht auch nicht...oder wäre in der tunnel-config ein

accesslist = "permit ip any 192.168.10.proxy 255.255.255.255"

zusätlich sinnvoll statt

accesslist = "permit ip any 192.168.10.0 255.255.255.0"

das ganze Netz oder ehr sinnfrei, hab ich, muss ich gestehen, noch nicht getestet - erschien mir unlogisch?

Gruß und Dank
Pjordorf
Pjordorf 05.07.2013 aktualisiert um 20:27:34 Uhr
Goto Top
Hallo,

Zitat von @padix72:
Die Clients die über den Proxy laufen kann ich nicht erreichen.
Ist doch auch korrekt so. Du pingst diese Clients an und die Antwort auch korrekt indem diese Clients ihre Antwort an deren (Default) Gateway senden. Das ist der andere genannte Proxy. Dieser stellt fest dieses Paket (Antwort des Clients auf dein Ping) ist für ein ihm unbekanntes Netz und leitet das an sein(Default) Gateway weiter (Inet?) oder wenn er gut ist und feststellt das das Ziel ein Privates Netz ist, das Paket verwirft. Die Antwort auf dein Ping kann folgerichtig niemals bei dir ankommen weil eben kein Route zu deinem (Ziel) Netz existiert für den weg den diese Clients nutzen müssen. Grundlagen Routing. An diesem Proxy eine Route definieren - nur eine Richtung reicht.

Die FritzBox lässt kein 255.255.255.255 zu (angeblich ungültige Subnetzmaske)
Was isr daran so merkwürdig?

Liegt das Problem bei der FritzBox oder zwischen meinen Ohren?
PICNIC oder PEBKAC face-smile

Gruß,
Peter

PS: http://www.magicpub.com/netprimer/acronyms.html
padix72
padix72 05.07.2013 um 22:24:41 Uhr
Goto Top
Hallo Peter,

vielleicht ist das auch schon zu viel Gebastel für heut...

aber genau das ist mein Problem, vom 10.x - Netz (übern Proxy) komm ich ja ins 0.x -Netz. Nur wo muss die Route hin, dass die 0er-Pakte über´n Proxy laufen? Der Tunnel hat doch als "Gateway" die FritzBox (.10.fritzbox) - deshalb wollt ich (0.x) von der FB zum Proxy routen.

Wenn das jetzt totale Grütze is...vergessen wir es für heute face-wink

Noch einmal drüber nächtigen...
aqui
aqui 06.07.2013 aktualisiert um 08:36:09 Uhr
Goto Top
Da Clients und Proxy ja im gleichen IP Netz sind ist das keine Frage des Routing.
Vielmehr stellt sich die Frage WELCHES Default Gateway diese Clients eingetragen haben die den Proxy benutzen ??
Du sagst ja selber das diese eben nicht die Fritzbox als Gateway eingetragen haben ! Genau das ist der Schlüssel zur Lösung (vermutlich) ?!
Du musst auf dem Gateway was diese Clients als Default Gateway nutzen eine statische Route in das remote Netz eingetragen haben ala route Zielnetz: <remotes Netz> <Maske> Gateway: <fritzbox m.VPN zum rem.Netz>
Das sollte das Problem lösen.
Ein Traceroute (tracert bei Winblows) oder ein Pathping auf diesen Clients ins remote Netz zeigt wo es kneift bzw. rennt durch wenn alles richtig konfiguriert ist !
padix72
padix72 09.07.2013 um 15:51:17 Uhr
Goto Top
So,

hab noch mal die Kollegen vom Proxy (Entensys) kontaktiert und siehe da:

Zitat:
"...den externen Standort müssen Sie per VPN an Ihr lokales Netzwerk anschließen, das vom UserGate gesteuert wird.
Die Routing-Regel im UserGate kann nur zwischen 2 lokalen Netzwerken "LAN-Schnittstellen" verwendet werden."

Also is nix mit Fritzbox und Proxy routen...sprich das Problem liegt wohl ehr im/am Proxy. Somit
komm ich WAN-seitig nicht durch den Proxy...das Problem kann also so nicht gelöst werden.
Wird mal checken ob ich die VPN-Verbindung Proxy -> zur_FRitzBox_am_Standort1,
denke wir können den thread als [nicht lösbar] schließen *heul*

Gruß und Dank!
aqui
aqui 09.07.2013 um 18:24:15 Uhr
Goto Top
Das stimmt ja nur wenn man den Proxy nicht umgehen kann, sprich also wenn der ins Netzwerk so integriert ist das am Ausgang gleich direkt das Internet bzw. der Router dran ist....dann hättest du in der Tat keine Chance !
Aber welcher Dummie designt schon so ein Netz...?!