IPSec - Routing - Verständnisfrage
Hallo zusammen,
ich hatte heute ein Problem mit einem VPN-Tunnel bei einem Kunden.
Dort wurde das Bintec-R1202 gegen ein RT1202 ausgetauscht aber die Konfiguration 100%
identisch übernommen.
Der Tunnel lies sich normal aufbauen aber ICMP (ping) auf das Firmennetz bzw die Geräte
war sehr unregelmäßig. Manche Server konnte ich ganz normal anpingen, manche mit Aussetzern,
manche gar nicht. Das hat vorher astrein funktioniert.
Der IPsec-Client hatte eine IP 192.168.1.222 und das Firmennetz ist 192.168.1.0/24.
Nachdem ich alle Optionen abgeklappert habe habe ich mich einfach dazu entschieden
für diesen IPsec-Client ein neues Subnetz aufzulegen.
Also IP-Pool 192.168.5.2-192.168.5.254 und lokale IP des VPN-Endpunkts also Gateways 192.168.5.1.
Schwupp funktioniert alles perfekt.
Wieso hat das vorher funktioniert? Ich mein klar, selbes Subnetz wird nicht das Gateway gefragt,
aber vorher ja anscheinend schon?! Was übersehe ich?...
Grüße
bloody
ich hatte heute ein Problem mit einem VPN-Tunnel bei einem Kunden.
Dort wurde das Bintec-R1202 gegen ein RT1202 ausgetauscht aber die Konfiguration 100%
identisch übernommen.
Der Tunnel lies sich normal aufbauen aber ICMP (ping) auf das Firmennetz bzw die Geräte
war sehr unregelmäßig. Manche Server konnte ich ganz normal anpingen, manche mit Aussetzern,
manche gar nicht. Das hat vorher astrein funktioniert.
Der IPsec-Client hatte eine IP 192.168.1.222 und das Firmennetz ist 192.168.1.0/24.
Nachdem ich alle Optionen abgeklappert habe habe ich mich einfach dazu entschieden
für diesen IPsec-Client ein neues Subnetz aufzulegen.
Also IP-Pool 192.168.5.2-192.168.5.254 und lokale IP des VPN-Endpunkts also Gateways 192.168.5.1.
Schwupp funktioniert alles perfekt.
Wieso hat das vorher funktioniert? Ich mein klar, selbes Subnetz wird nicht das Gateway gefragt,
aber vorher ja anscheinend schon?! Was übersehe ich?...
Grüße
bloody
Please also mark the comments that contributed to the solution of the article
Content-ID: 568685
Url: https://administrator.de/contentid/568685
Printed on: October 7, 2024 at 01:10 o'clock
5 Comments
Latest comment
Der IPsec-Client hatte eine IP 192.168.1.222 und das Firmennetz ist 192.168.1.0/24.
Was übersehe ich?...
Proxy ARP am Router aktiviert?Was übersehe ich?...
Hilfreich wäre noch wenn man das genaue IPsec VPN Protokoll kennen würde was du leider nicht genannt hast.
Ist das IPsec native oder L2TP mit IPsec Tunnel ?
Native nutzt immer ein separates Subnetz für die Clients L2TP nicht.
Bei L2TP besteht die Gefahr das der VPN Client Pool sich mit dem DHCP Pool überschneidet wenn man das nicht sauber konfiguriert. Ebenso ist Proxy ARP zwingend und ggf. vergessen worden wie Kollege @143728 oben schon richtig sagt..
Möglich also das du diese 2 Verfahren verwechselt oder durcheinander gewürfelt hast ?! Dazu müsste man aber die Konfig alt und neu mal sehen um das zielführend beurteilen zu können, die du leider nicht gepostet hast. Da bleibt dann also nur mal wieder die berühmte Kristallkugel.
Ist das IPsec native oder L2TP mit IPsec Tunnel ?
Native nutzt immer ein separates Subnetz für die Clients L2TP nicht.
Bei L2TP besteht die Gefahr das der VPN Client Pool sich mit dem DHCP Pool überschneidet wenn man das nicht sauber konfiguriert. Ebenso ist Proxy ARP zwingend und ggf. vergessen worden wie Kollege @143728 oben schon richtig sagt..
Möglich also das du diese 2 Verfahren verwechselt oder durcheinander gewürfelt hast ?! Dazu müsste man aber die Konfig alt und neu mal sehen um das zielführend beurteilen zu können, die du leider nicht gepostet hast. Da bleibt dann also nur mal wieder die berühmte Kristallkugel.
Moin,
Und so steht es auch im Handbuch: https://www.bintec-elmeg.com/portal/downloadcenter/dateien/workshops/cur ...
Beide Route können das. Man muss halt das Häkchen setzen.
Liebe Grüße
Erik
Zitat von @aqui:
Bei L2TP besteht die Gefahr das der VPN Client Pool sich mit dem DHCP Pool überschneidet wenn man das nicht sauber konfiguriert. Ebenso ist Proxy ARP zwingend und ggf. vergessen worden wie Kollege @143728 oben schon richtig sagt..
Bei L2TP besteht die Gefahr das der VPN Client Pool sich mit dem DHCP Pool überschneidet wenn man das nicht sauber konfiguriert. Ebenso ist Proxy ARP zwingend und ggf. vergessen worden wie Kollege @143728 oben schon richtig sagt..
Und so steht es auch im Handbuch: https://www.bintec-elmeg.com/portal/downloadcenter/dateien/workshops/cur ...
Beide Route können das. Man muss halt das Häkchen setzen.
Liebe Grüße
Erik
auch eleganter mit eigenem Subnetz fürs VPN.
Richtig !Und bitte dann auch
How can I mark a post as solved?
nicht vergessen !