cptkrabbe
Goto Top

IPSec Verbindung zweier Standorte mittels 2 x Endian Community 3.0.0 - "Verbunden", aber auch nicht

Hallo!

Ich habe ein Problem mit dem Verbinden zweier Standorte via IPSec. Ich habe mal aufgemalt, wie das (in meiner Errinerung) aussieht:
netz

An beiden Standorten steht ein Blech mit einer Endian-Installation, Version 3.0.0. Auf beiden ist ein OVPN-Server eingerichtet, der auch fleissig seinen Dienst tut, keine Probleme an dieser Front.
Jetzt wollte ich beide Standorte via IPSec (Net-toNet) miteinander verbinden. Folgendes habe ich auf der Endian eingegeben:

ipsec001
ipsec002
ipsec003

Als Status sehe ich auch an beiden Standorten "Verbunden". Ich kann allerdings keinerlei Verbindung von Standort 1 zu Standort 2 aufbauen, kein Ping, kein RDP, kein nichts.
Was habe ich falsch gemacht (Habe ich irgendwas richtig gemacht?)? Welche Infos fehlen noch?
Vielen Dank schon einmal.

Content-ID: 313191

Url: https://administrator.de/forum/ipsec-verbindung-zweier-standorte-mittels-2-x-endian-community-3-0-0-verbunden-aber-auch-nicht-313191.html

Ausgedruckt am: 26.12.2024 um 12:12 Uhr

Hajo2006
Hajo2006 22.08.2016 um 10:42:31 Uhr
Goto Top
Hallo,

hast du denn auch das Routing passend konfiguriert?

Gruß
Hajo
cptkrabbe
cptkrabbe 22.08.2016 um 10:49:01 Uhr
Goto Top
Hallo Hajo, das ist wohl genau der springende Punkt. Ursprünglich hatte ich ín der Endian unter "Netzwerk", "Routing" an Standort 1 eingetragen:

Quellnetzwerk: 192.168.12.0/24 Zielnetzwerk 192.168.11.0/24
(auf der anderen Seite dann genau das Gegenteil).

Allerdings mit dem gleichen Ergebnis.
Daraufhin habe ich mir nochmal dieses Tutorial angeschaut, und gesehen, dass ich diese Route wohl gar nicht eintragen muss. Also wieder raus, gleiches Ergebnis.

Ich habe es bestimmt noch nicht verstanden, ihr dürft mich ruhig hauen (verbal) ;)
michi1983
michi1983 22.08.2016 aktualisiert um 11:00:37 Uhr
Goto Top
Hallo,

und du bist dir sicher, dass deine Zeichnung oben stimmt (die erste)?
Du hast auf der Endian ganz bestimmt eine öffentliche IP?
Dann würdest du ja den kompletten Verkehr durch die Technicolor Gurke UND den Cisco Router durchschleifen.

Das Konstrukt scheint mir ohnehin nicht wirklich ausgeklügelt. Denn du hast quasi eine doppelte und dreifache Routerkaskade (sofern NAT am Cisco nicht deaktiviert ist).

Der TG könnte schon selbst IPSec und somit wäre es weitaus sinnvoller und einfacher über die beiden TGs ein Site-to-Site VPN aufzubauen.
Den Cisco würde es gar nicht brauchen meiner bescheidenen Meinung nach - wobei es sinnvoller wäre ein reines Modem vor den Cisco zu hängen und die TGs abzuklemmen - aber that's just my 2 cents.

Wenn die 1. Zeichnung so stimmt, dann wirst du ohne statische Routen auf keinen Fall auskommen.
Aber wie gesagt, wirklich Sinn macht das Ganze für mich nicht.

Hier gibts dann auch noch reichlich Lektüre zum Thema:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software

Gruß
cptkrabbe
cptkrabbe 22.08.2016 um 11:05:07 Uhr
Goto Top
Hallo Michi,
die beiden Geräte, (Technicolor und Cisco) sind uns von Vodafone so hingestellt worden. Wir haben keine Möglichkeit, auf diese zuzugreifen (sind "vorkonfiguriert"). Am Ende erhalte ich tatsächlich eine öffentliche IP aus dem Cisco. Diese ist dann die "rote" Zone der Endian.
Ich dachte ja auch, dass ich die beiden Subnetze routen muss, deswegen habe ich diese Route (Quelle 192.168.12.0/24 Ziel 192.168.11.0/24 und auf der anderen Seite das Gegenteil) auch bei dem ersten Versuch in der Endian angelegt. Allerdings mit dem gleichen Ergebnis.
michi1983
michi1983 22.08.2016 um 11:11:21 Uhr
Goto Top
Zitat von @cptkrabbe:

Hallo Michi,
die beiden Geräte, (Technicolor und Cisco) sind uns von Vodafone so hingestellt worden. Wir haben keine Möglichkeit, auf diese zuzugreifen (sind "vorkonfiguriert"). Am Ende erhalte ich tatsächlich eine öffentliche IP aus dem Cisco. Diese ist dann die "rote" Zone der Endian.
Ich dachte ja auch, dass ich die beiden Subnetze routen muss, deswegen habe ich diese Route (Quelle 192.168.12.0/24 Ziel 192.168.11.0/24 und auf der anderen Seite das Gegenteil) auch bei dem ersten Versuch in der Endian angelegt. Allerdings mit dem gleichen Ergebnis.
Okay, wenn du auf der Endian doch eine öffentliche IP hast, dann sollte das schon passen.
Und wenn du wirklich auf beiden Seiten an der Endian eine öffentliche IP hast, dann musst du auch keine Routen eintragen.
Die Netze kennen sich ja wenn sie verbunden sind.
Dann kann es eigentlich nur an den Firewall Regeln liegen.
Ich würde auch schauen, dass du auf beiden Seiten verschiedene IP Netze verwendest, damit es zu keinen Komplikationen kommt.

Gruß
aqui
aqui 22.08.2016 aktualisiert um 11:35:43 Uhr
Goto Top
Praxis Infos findest du zu dem Thema auch hier:
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
Die wesentlichen ToDos sind bei Endian vollkommen identisch.

Allerdings ist ein gravierender Fehler in den Screenshots zu sehen !!
Das lokale Subnetz definierst du dort mit 192.168.40.0 /24. In deiner Zeichnung oben steht aber 192.168.12.0 /24
Das musst du dringend korrigieren auf die tatsächliche IP Netzwerk Adresse des lokalen Netzes, sonst kann das niemals klappen.
cptkrabbe
cptkrabbe 22.08.2016 um 12:04:50 Uhr
Goto Top
Hallo aqui, du hast natürlich recht, auf dem Screenshot steht das falsch. Ich hatte das allerdings im Text schon angegeben, dass der Screenshot an der Stelle unkorrekt ist, der Screenshot stammt aus einer älteren Konfiguration. Vor Ort ist von Anfang an das korrekte Subnetz eingetragen gewesen.

Ich beschäftige mich heute noch mal mit deinem Tutorial und bin morgen wieder vor Ort. Vielleicht kapiere ich ja bis dahin alles, was für diese Konstellation wichtig ist.

Ich danke euch für eure Mühe.
cptkrabbe
cptkrabbe 22.08.2016 um 12:13:20 Uhr
Goto Top
Nachtrag: ich hatte das mit dem falschen Subnetz zwar editiert, aber anscheinend nicht gespeichert.... mein Fehler, sorry dafür!
cptkrabbe
cptkrabbe 07.09.2016 um 09:48:51 Uhr
Goto Top
Nur mal um den Thread korrekt zu schließen, nach Neu-Installation der Endian auf beiden Seite mit der Version 3.2.1 geht es "out-of-the-box", alles fliegt, es muss keine Route eingetragen werden, kein gar nix. Seltsam, dass es ursprünglich im Labor mit der 3.0.0 ging, dann aber in der realen Welt solchen Ärger gibt.
Das nur als Info für die Nachwelt.
aqui
aqui 08.09.2016 um 19:15:57 Uhr
Goto Top
Ist auch eigentlich normal so und auch bei allen anderen Verbindungen in der Praxis identisch:
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a