5
IPSec - Routing - Verständnisfrage
Hallo zusammen,
ich hatte heute ein Problem mit einem VPN-Tunnel bei einem Kunden.
Dort wurde das Bintec-R1202 gegen ein RT1202 ausgetauscht aber die Konfiguration 100%
identisch übernommen.
Der Tunnel lies sich normal aufbauen aber ICMP (ping) auf das Firmennetz bzw die Geräte
war sehr unregelmäßig. Manche Server konnte ich ganz normal anpingen, manche mit Aussetzern,
manche gar nicht. Das hat vorher astrein funktioniert.
Der IPsec-Client hatte eine IP 192.168.1.222 und das Firmennetz ist 192.168.1.0/24.
Nachdem ich alle Optionen abgeklappert habe habe ich mich einfach dazu entschieden
für diesen IPsec-Client ein neues Subnetz aufzulegen.
Also IP-Pool 192.168.5.2-192.168.5.254 und lokale IP des VPN-Endpunkts also Gateways 192.168.5.1.
Schwupp funktioniert alles perfekt.
Wieso hat das vorher funktioniert? Ich mein klar, selbes Subnetz wird nicht das Gateway gefragt,
aber vorher ja anscheinend schon?! Was übersehe ich?...
Grüße
bloody
ich hatte heute ein Problem mit einem VPN-Tunnel bei einem Kunden.
Dort wurde das Bintec-R1202 gegen ein RT1202 ausgetauscht aber die Konfiguration 100%
identisch übernommen.
Der Tunnel lies sich normal aufbauen aber ICMP (ping) auf das Firmennetz bzw die Geräte
war sehr unregelmäßig. Manche Server konnte ich ganz normal anpingen, manche mit Aussetzern,
manche gar nicht. Das hat vorher astrein funktioniert.
Der IPsec-Client hatte eine IP 192.168.1.222 und das Firmennetz ist 192.168.1.0/24.
Nachdem ich alle Optionen abgeklappert habe habe ich mich einfach dazu entschieden
für diesen IPsec-Client ein neues Subnetz aufzulegen.
Also IP-Pool 192.168.5.2-192.168.5.254 und lokale IP des VPN-Endpunkts also Gateways 192.168.5.1.
Schwupp funktioniert alles perfekt.
Wieso hat das vorher funktioniert? Ich mein klar, selbes Subnetz wird nicht das Gateway gefragt,
aber vorher ja anscheinend schon?! Was übersehe ich?...
Grüße
bloody
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 568685
Url: https://administrator.de/contentid/568685
Ausgedruckt am: 24.11.2024 um 14:11 Uhr
5 Kommentare
Neuester Kommentar
Der IPsec-Client hatte eine IP 192.168.1.222 und das Firmennetz ist 192.168.1.0/24.
Was übersehe ich?...
Proxy ARP am Router aktiviert?Was übersehe ich?...
Hilfreich wäre noch wenn man das genaue IPsec VPN Protokoll kennen würde was du leider nicht genannt hast. 
Ist das IPsec native oder L2TP mit IPsec Tunnel ?
Native nutzt immer ein separates Subnetz für die Clients L2TP nicht.
Bei L2TP besteht die Gefahr das der VPN Client Pool sich mit dem DHCP Pool überschneidet wenn man das nicht sauber konfiguriert. Ebenso ist Proxy ARP zwingend und ggf. vergessen worden wie Kollege @143728 oben schon richtig sagt..
Möglich also das du diese 2 Verfahren verwechselt oder durcheinander gewürfelt hast ?! Dazu müsste man aber die Konfig alt und neu mal sehen um das zielführend beurteilen zu können, die du leider nicht gepostet hast. Da bleibt dann also nur mal wieder die berühmte Kristallkugel.
Ist das IPsec native oder L2TP mit IPsec Tunnel ?
Native nutzt immer ein separates Subnetz für die Clients L2TP nicht.
Bei L2TP besteht die Gefahr das der VPN Client Pool sich mit dem DHCP Pool überschneidet wenn man das nicht sauber konfiguriert. Ebenso ist Proxy ARP zwingend und ggf. vergessen worden wie Kollege @143728 oben schon richtig sagt..
Möglich also das du diese 2 Verfahren verwechselt oder durcheinander gewürfelt hast ?! Dazu müsste man aber die Konfig alt und neu mal sehen um das zielführend beurteilen zu können, die du leider nicht gepostet hast. Da bleibt dann also nur mal wieder die berühmte Kristallkugel.
Moin,
Und so steht es auch im Handbuch: https://www.bintec-elmeg.com/portal/downloadcenter/dateien/workshops/cur ...
Beide Route können das. Man muss halt das Häkchen setzen.
Liebe Grüße
Erik
Zitat von @aqui:
Bei L2TP besteht die Gefahr das der VPN Client Pool sich mit dem DHCP Pool überschneidet wenn man das nicht sauber konfiguriert. Ebenso ist Proxy ARP zwingend und ggf. vergessen worden wie Kollege @143728 oben schon richtig sagt..
Bei L2TP besteht die Gefahr das der VPN Client Pool sich mit dem DHCP Pool überschneidet wenn man das nicht sauber konfiguriert. Ebenso ist Proxy ARP zwingend und ggf. vergessen worden wie Kollege @143728 oben schon richtig sagt..
Und so steht es auch im Handbuch: https://www.bintec-elmeg.com/portal/downloadcenter/dateien/workshops/cur ...
Beide Route können das. Man muss halt das Häkchen setzen.
Liebe Grüße
Erik
Hallo,
es ist ein IKEv2-IPsec Tunnel.
Proxy-Arp war eigentlich aktiviert. Und das erklärt ja auch nicht das seltsame Ping-Verhalten auf unterschiedliche Systeme oder?
Habs ja letztendlich gelöst und so ist es irgendwie auch eleganter mit eigenem Subnetz fürs VPN.
Gruß
bloody
es ist ein IKEv2-IPsec Tunnel.
Proxy-Arp war eigentlich aktiviert. Und das erklärt ja auch nicht das seltsame Ping-Verhalten auf unterschiedliche Systeme oder?
Habs ja letztendlich gelöst und so ist es irgendwie auch eleganter mit eigenem Subnetz fürs VPN.
Gruß
bloody
auch eleganter mit eigenem Subnetz fürs VPN.
Richtig !Und bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
