10
IPSec Verbindung zweier Standorte mittels 2 x Endian Community 3.0.0 - "Verbunden", aber auch nicht
Hallo!
Ich habe ein Problem mit dem Verbinden zweier Standorte via IPSec. Ich habe mal aufgemalt, wie das (in meiner Errinerung) aussieht:
An beiden Standorten steht ein Blech mit einer Endian-Installation, Version 3.0.0. Auf beiden ist ein OVPN-Server eingerichtet, der auch fleissig seinen Dienst tut, keine Probleme an dieser Front.
Jetzt wollte ich beide Standorte via IPSec (Net-toNet) miteinander verbinden. Folgendes habe ich auf der Endian eingegeben:
Als Status sehe ich auch an beiden Standorten "Verbunden". Ich kann allerdings keinerlei Verbindung von Standort 1 zu Standort 2 aufbauen, kein Ping, kein RDP, kein nichts.
Was habe ich falsch gemacht (Habe ich irgendwas richtig gemacht?)? Welche Infos fehlen noch?
Vielen Dank schon einmal.
Ich habe ein Problem mit dem Verbinden zweier Standorte via IPSec. Ich habe mal aufgemalt, wie das (in meiner Errinerung) aussieht:
An beiden Standorten steht ein Blech mit einer Endian-Installation, Version 3.0.0. Auf beiden ist ein OVPN-Server eingerichtet, der auch fleissig seinen Dienst tut, keine Probleme an dieser Front.
Jetzt wollte ich beide Standorte via IPSec (Net-toNet) miteinander verbinden. Folgendes habe ich auf der Endian eingegeben:
Als Status sehe ich auch an beiden Standorten "Verbunden". Ich kann allerdings keinerlei Verbindung von Standort 1 zu Standort 2 aufbauen, kein Ping, kein RDP, kein nichts.
Was habe ich falsch gemacht (Habe ich irgendwas richtig gemacht?)? Welche Infos fehlen noch?
Vielen Dank schon einmal.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 313191
Url: https://administrator.de/contentid/313191
Ausgedruckt am: 21.11.2024 um 22:11 Uhr
10 Kommentare
Neuester Kommentar
Hallo,
hast du denn auch das Routing passend konfiguriert?
Gruß
Hajo
hast du denn auch das Routing passend konfiguriert?
Gruß
Hajo
Hallo Hajo, das ist wohl genau der springende Punkt. Ursprünglich hatte ich ín der Endian unter "Netzwerk", "Routing" an Standort 1 eingetragen:
Quellnetzwerk: 192.168.12.0/24 Zielnetzwerk 192.168.11.0/24
(auf der anderen Seite dann genau das Gegenteil).
Allerdings mit dem gleichen Ergebnis.
Daraufhin habe ich mir nochmal dieses Tutorial angeschaut, und gesehen, dass ich diese Route wohl gar nicht eintragen muss. Also wieder raus, gleiches Ergebnis.
Ich habe es bestimmt noch nicht verstanden, ihr dürft mich ruhig hauen (verbal) ;)
Quellnetzwerk: 192.168.12.0/24 Zielnetzwerk 192.168.11.0/24
(auf der anderen Seite dann genau das Gegenteil).
Allerdings mit dem gleichen Ergebnis.
Daraufhin habe ich mir nochmal dieses Tutorial angeschaut, und gesehen, dass ich diese Route wohl gar nicht eintragen muss. Also wieder raus, gleiches Ergebnis.
Ich habe es bestimmt noch nicht verstanden, ihr dürft mich ruhig hauen (verbal) ;)
Hallo,
und du bist dir sicher, dass deine Zeichnung oben stimmt (die erste)?
Du hast auf der Endian ganz bestimmt eine öffentliche IP?
Dann würdest du ja den kompletten Verkehr durch die Technicolor Gurke UND den Cisco Router durchschleifen.
Das Konstrukt scheint mir ohnehin nicht wirklich ausgeklügelt. Denn du hast quasi eine doppelte und dreifache Routerkaskade (sofern NAT am Cisco nicht deaktiviert ist).
Der TG könnte schon selbst IPSec und somit wäre es weitaus sinnvoller und einfacher über die beiden TGs ein Site-to-Site VPN aufzubauen.
Den Cisco würde es gar nicht brauchen meiner bescheidenen Meinung nach - wobei es sinnvoller wäre ein reines Modem vor den Cisco zu hängen und die TGs abzuklemmen - aber that's just my 2 cents.
Wenn die 1. Zeichnung so stimmt, dann wirst du ohne statische Routen auf keinen Fall auskommen.
Aber wie gesagt, wirklich Sinn macht das Ganze für mich nicht.
Hier gibts dann auch noch reichlich Lektüre zum Thema:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Gruß
und du bist dir sicher, dass deine Zeichnung oben stimmt (die erste)?
Du hast auf der Endian ganz bestimmt eine öffentliche IP?
Dann würdest du ja den kompletten Verkehr durch die Technicolor Gurke UND den Cisco Router durchschleifen.
Das Konstrukt scheint mir ohnehin nicht wirklich ausgeklügelt. Denn du hast quasi eine doppelte und dreifache Routerkaskade (sofern NAT am Cisco nicht deaktiviert ist).
Der TG könnte schon selbst IPSec und somit wäre es weitaus sinnvoller und einfacher über die beiden TGs ein Site-to-Site VPN aufzubauen.
Den Cisco würde es gar nicht brauchen meiner bescheidenen Meinung nach - wobei es sinnvoller wäre ein reines Modem vor den Cisco zu hängen und die TGs abzuklemmen - aber that's just my 2 cents.
Wenn die 1. Zeichnung so stimmt, dann wirst du ohne statische Routen auf keinen Fall auskommen.
Aber wie gesagt, wirklich Sinn macht das Ganze für mich nicht.
Hier gibts dann auch noch reichlich Lektüre zum Thema:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Gruß
Hallo Michi,
die beiden Geräte, (Technicolor und Cisco) sind uns von Vodafone so hingestellt worden. Wir haben keine Möglichkeit, auf diese zuzugreifen (sind "vorkonfiguriert"). Am Ende erhalte ich tatsächlich eine öffentliche IP aus dem Cisco. Diese ist dann die "rote" Zone der Endian.
Ich dachte ja auch, dass ich die beiden Subnetze routen muss, deswegen habe ich diese Route (Quelle 192.168.12.0/24 Ziel 192.168.11.0/24 und auf der anderen Seite das Gegenteil) auch bei dem ersten Versuch in der Endian angelegt. Allerdings mit dem gleichen Ergebnis.
die beiden Geräte, (Technicolor und Cisco) sind uns von Vodafone so hingestellt worden. Wir haben keine Möglichkeit, auf diese zuzugreifen (sind "vorkonfiguriert"). Am Ende erhalte ich tatsächlich eine öffentliche IP aus dem Cisco. Diese ist dann die "rote" Zone der Endian.
Ich dachte ja auch, dass ich die beiden Subnetze routen muss, deswegen habe ich diese Route (Quelle 192.168.12.0/24 Ziel 192.168.11.0/24 und auf der anderen Seite das Gegenteil) auch bei dem ersten Versuch in der Endian angelegt. Allerdings mit dem gleichen Ergebnis.
Zitat von @cptkrabbe:
Hallo Michi,
die beiden Geräte, (Technicolor und Cisco) sind uns von Vodafone so hingestellt worden. Wir haben keine Möglichkeit, auf diese zuzugreifen (sind "vorkonfiguriert"). Am Ende erhalte ich tatsächlich eine öffentliche IP aus dem Cisco. Diese ist dann die "rote" Zone der Endian.
Ich dachte ja auch, dass ich die beiden Subnetze routen muss, deswegen habe ich diese Route (Quelle 192.168.12.0/24 Ziel 192.168.11.0/24 und auf der anderen Seite das Gegenteil) auch bei dem ersten Versuch in der Endian angelegt. Allerdings mit dem gleichen Ergebnis.
Okay, wenn du auf der Endian doch eine öffentliche IP hast, dann sollte das schon passen.Hallo Michi,
die beiden Geräte, (Technicolor und Cisco) sind uns von Vodafone so hingestellt worden. Wir haben keine Möglichkeit, auf diese zuzugreifen (sind "vorkonfiguriert"). Am Ende erhalte ich tatsächlich eine öffentliche IP aus dem Cisco. Diese ist dann die "rote" Zone der Endian.
Ich dachte ja auch, dass ich die beiden Subnetze routen muss, deswegen habe ich diese Route (Quelle 192.168.12.0/24 Ziel 192.168.11.0/24 und auf der anderen Seite das Gegenteil) auch bei dem ersten Versuch in der Endian angelegt. Allerdings mit dem gleichen Ergebnis.
Und wenn du wirklich auf beiden Seiten an der Endian eine öffentliche IP hast, dann musst du auch keine Routen eintragen.
Die Netze kennen sich ja wenn sie verbunden sind.
Dann kann es eigentlich nur an den Firewall Regeln liegen.
Ich würde auch schauen, dass du auf beiden Seiten verschiedene IP Netze verwendest, damit es zu keinen Komplikationen kommt.
Gruß
Praxis Infos findest du zu dem Thema auch hier:
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
Die wesentlichen ToDos sind bei Endian vollkommen identisch.
Allerdings ist ein gravierender Fehler in den Screenshots zu sehen !!
Das lokale Subnetz definierst du dort mit 192.168.40.0 /24. In deiner Zeichnung oben steht aber 192.168.12.0 /24
Das musst du dringend korrigieren auf die tatsächliche IP Netzwerk Adresse des lokalen Netzes, sonst kann das niemals klappen.
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
Die wesentlichen ToDos sind bei Endian vollkommen identisch.
Allerdings ist ein gravierender Fehler in den Screenshots zu sehen !!
Das lokale Subnetz definierst du dort mit 192.168.40.0 /24. In deiner Zeichnung oben steht aber 192.168.12.0 /24
Das musst du dringend korrigieren auf die tatsächliche IP Netzwerk Adresse des lokalen Netzes, sonst kann das niemals klappen.
Hallo aqui, du hast natürlich recht, auf dem Screenshot steht das falsch. Ich hatte das allerdings im Text schon angegeben, dass der Screenshot an der Stelle unkorrekt ist, der Screenshot stammt aus einer älteren Konfiguration. Vor Ort ist von Anfang an das korrekte Subnetz eingetragen gewesen.
Ich beschäftige mich heute noch mal mit deinem Tutorial und bin morgen wieder vor Ort. Vielleicht kapiere ich ja bis dahin alles, was für diese Konstellation wichtig ist.
Ich danke euch für eure Mühe.
Ich beschäftige mich heute noch mal mit deinem Tutorial und bin morgen wieder vor Ort. Vielleicht kapiere ich ja bis dahin alles, was für diese Konstellation wichtig ist.
Ich danke euch für eure Mühe.
Nachtrag: ich hatte das mit dem falschen Subnetz zwar editiert, aber anscheinend nicht gespeichert.... mein Fehler, sorry dafür!
Nur mal um den Thread korrekt zu schließen, nach Neu-Installation der Endian auf beiden Seite mit der Version 3.2.1 geht es "out-of-the-box", alles fliegt, es muss keine Route eingetragen werden, kein gar nix. Seltsam, dass es ursprünglich im Labor mit der 3.0.0 ging, dann aber in der realen Welt solchen Ärger gibt.
Das nur als Info für die Nachwelt.
Das nur als Info für die Nachwelt.
Ist auch eigentlich normal so und auch bei allen anderen Verbindungen in der Praxis identisch:
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
