bloodstix
Goto Top

IPSec - Routing - Verständnisfrage

Hallo zusammen,

ich hatte heute ein Problem mit einem VPN-Tunnel bei einem Kunden.
Dort wurde das Bintec-R1202 gegen ein RT1202 ausgetauscht aber die Konfiguration 100%
identisch übernommen.
Der Tunnel lies sich normal aufbauen aber ICMP (ping) auf das Firmennetz bzw die Geräte
war sehr unregelmäßig. Manche Server konnte ich ganz normal anpingen, manche mit Aussetzern,
manche gar nicht. Das hat vorher astrein funktioniert.

Der IPsec-Client hatte eine IP 192.168.1.222 und das Firmennetz ist 192.168.1.0/24.
Nachdem ich alle Optionen abgeklappert habe habe ich mich einfach dazu entschieden
für diesen IPsec-Client ein neues Subnetz aufzulegen.
Also IP-Pool 192.168.5.2-192.168.5.254 und lokale IP des VPN-Endpunkts also Gateways 192.168.5.1.
Schwupp funktioniert alles perfekt.

Wieso hat das vorher funktioniert? Ich mein klar, selbes Subnetz wird nicht das Gateway gefragt,
aber vorher ja anscheinend schon?! Was übersehe ich?...


Grüße
bloody

Content-ID: 568685

Url: https://administrator.de/contentid/568685

Printed on: October 7, 2024 at 01:10 o'clock

143728
Solution 143728 Apr 30, 2020 updated at 10:23:42 (UTC)
Goto Top
Der IPsec-Client hatte eine IP 192.168.1.222 und das Firmennetz ist 192.168.1.0/24.
Was übersehe ich?...
Proxy ARP am Router aktiviert?
aqui
Solution aqui Apr 30, 2020 updated at 10:23:06 (UTC)
Goto Top
Hilfreich wäre noch wenn man das genaue IPsec VPN Protokoll kennen würde was du leider nicht genannt hast. face-sad
Ist das IPsec native oder L2TP mit IPsec Tunnel ?
Native nutzt immer ein separates Subnetz für die Clients L2TP nicht.
Bei L2TP besteht die Gefahr das der VPN Client Pool sich mit dem DHCP Pool überschneidet wenn man das nicht sauber konfiguriert. Ebenso ist Proxy ARP zwingend und ggf. vergessen worden wie Kollege @143728 oben schon richtig sagt..
Möglich also das du diese 2 Verfahren verwechselt oder durcheinander gewürfelt hast ?! Dazu müsste man aber die Konfig alt und neu mal sehen um das zielführend beurteilen zu können, die du leider nicht gepostet hast. Da bleibt dann also nur mal wieder die berühmte Kristallkugel.
erikro
Solution erikro Apr 30, 2020 at 12:19:50 (UTC)
Goto Top
Moin,

Zitat von @aqui:
Bei L2TP besteht die Gefahr das der VPN Client Pool sich mit dem DHCP Pool überschneidet wenn man das nicht sauber konfiguriert. Ebenso ist Proxy ARP zwingend und ggf. vergessen worden wie Kollege @143728 oben schon richtig sagt..

Und so steht es auch im Handbuch: https://www.bintec-elmeg.com/portal/downloadcenter/dateien/workshops/cur ...

Beide Route können das. Man muss halt das Häkchen setzen. face-wink

Liebe Grüße

Erik
bloodstix
bloodstix Apr 30, 2020 at 12:50:52 (UTC)
Goto Top
Hallo,

es ist ein IKEv2-IPsec Tunnel.
Proxy-Arp war eigentlich aktiviert. Und das erklärt ja auch nicht das seltsame Ping-Verhalten auf unterschiedliche Systeme oder?
Habs ja letztendlich gelöst und so ist es irgendwie auch eleganter mit eigenem Subnetz fürs VPN.

Gruß
bloody
aqui
Solution aqui May 01, 2020 updated at 08:34:35 (UTC)
Goto Top
auch eleganter mit eigenem Subnetz fürs VPN.
Richtig !

Und bitte dann auch
How can I mark a post as solved?
nicht vergessen !