Ipsec esp routing Frage

Hallo Zusammen,

ich hab ein kleines Problem bzw. vielmehr eine Verständnisfrage.

client 172.16.0.1/16---------Router A 172.16.0.2/16------------Router B 172.16.0.3/16 ----------Internet-----------VPN Server

Client ist ein Laptop mit xp und einer IPsec Software.
Client bezieht seine IP über DHCP. Und Router A ist das Default Gateway.
Auf Router A ist ein 0.0.0.0 EIntrag das auf Router B zeigt. Dieser Router B (NAT/ PAT Router) routet alles ins Internet.
Nun hab ich client mal gewiresharked und der sagt das Pakete an Router A gehen, solange bis er anfängt ESP Pakete zu übertragen.
Beim ersten ESP Paket fängt der nämlich an die Paktet direkt an Router B zu senden und zurück. IP Technisch ist der Verkehr natürlich immer von client zum VPN server und zurück.
Aber auf Ethernet Ebene sehe ich das die Pakete erst zum Router A gehen (Destination Mac Router A) aber ab dem Zeitpunkt wenn ESP übertragen wird nur noch Router B als Destination Mac aufgeführt wird.
Ist das ein normales Verhalten? Kann das jemand näher erläutern?

Mfg
Foxhound

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 289237

Url: https://administrator.de/contentid/289237

Ausgedruckt am: 22.11.2024 um 08:11 Uhr

5 Kommentare

Neuester Kommentar

Moin,
die Konstellation ist komisch, wieso hast du zwei Router im selben Subnetz und definierst nicht Router B gleich als DefaultGW für den Client ?
Mach die Verbindung der Router untereinander doch mal deutlicher ...

Zitat von @Foxhound:
Ist das ein normales Verhalten?

Ja.

Kann das jemand näher erläutern?

Ganz einfach, der Absender möchte sich mit einer IP im Internet verbinden, dazu fragt er sein Default-GW, welcher seinerseits das Paket an den Router B weiterleitet das er diese IP nicht kennt. Absenderadresse (Source-Address) des Pakets bleibt aber die des Clients, klar weil du hier nur routest.
Paket wird nun von Router B "genattet" und zum VPN-Server geschickt, kommt zurück und durch die NAT-Table wird die DST-Address des Pakets auf die IP des Ursprungs-Client gesetzt. Da hier alle Router und der Client im selben Subnetz sind geht das Paket natürlich direkt an den Client ...

Gruß jodel32

die Konstellation ist komisch, wieso hast du zwei Router im selben Subnetz und definierst nicht Router B gleich als DefaultGW für den > > > Client ?

Die Konstellation hab ich nicht so gewählt, das ist eine gewachsene Struktur...

Mach die Verbindung der Router untereinander doch mal deutlicher ...

Die beiden Router sind wirklich im gleichen Netzt, das muss wohl wegen Ausfallsicherheit und High Availability so sein...

Ist schon klar.

Paket wird nun von Router B "genattet" und zum VPN-Server geschickt, kommt zurück und durch die NAT-Table wird die DST-Address des Pakets auf die IP des Ursprungs-Client gesetzt. Da hier alle Router und der Client im selben Subnetz sind geht das Paket natürlich direkt an den Client ...

Ist auch klar, war ja auch nicht meine Frage. Die Frage ist warum der Client in seinem "FRAMES" (Layer 2) die Mac des Router B als Destination einträgt.
Router B ist doch nicht das Default Gateway, also wie kommt der darauf? Der müsste ja weiterhin die Frames zum GW schicken!?
Aber das tut der Client nicht mehr wenn ESP im Payload sich befindet. Die ISAKMP-Payloads gehen doch auch zum Router A.

Gruß jodel32

Gruß Foxhound

Moin,

bei 2 Routern im gleichen Netz kann es sein, dass Router A "ICMP Redirect" Messages an den Client schickt, damit dieser direkt Router B anspricht.

Sollte sich aber einfach mit Wireshark aufzeichnen lassen.

VG
Val

Moin,

guter Hinweis mit dem ICMP Redirect.
Aber das scheint es nicht zu sein. Auf Router A sind Redirect ausgeschaltet. Und Wireshark zeigt auch keine ICMP Redirect Pakete an.
Das muss ja irgendwas mit diesem Tunnel zu tun haben. Weil die ISAKMP Frames gehen doch auch zum DEFAULT GATEWAY (ROUTER A). ?