IPSec Verbindung zweier Standorte mittels 2 x Endian Community 3.0.0 - "Verbunden", aber auch nicht
Hallo!
Ich habe ein Problem mit dem Verbinden zweier Standorte via IPSec. Ich habe mal aufgemalt, wie das (in meiner Errinerung) aussieht:
An beiden Standorten steht ein Blech mit einer Endian-Installation, Version 3.0.0. Auf beiden ist ein OVPN-Server eingerichtet, der auch fleissig seinen Dienst tut, keine Probleme an dieser Front.
Jetzt wollte ich beide Standorte via IPSec (Net-toNet) miteinander verbinden. Folgendes habe ich auf der Endian eingegeben:
Als Status sehe ich auch an beiden Standorten "Verbunden". Ich kann allerdings keinerlei Verbindung von Standort 1 zu Standort 2 aufbauen, kein Ping, kein RDP, kein nichts.
Was habe ich falsch gemacht (Habe ich irgendwas richtig gemacht?)? Welche Infos fehlen noch?
Vielen Dank schon einmal.
Ich habe ein Problem mit dem Verbinden zweier Standorte via IPSec. Ich habe mal aufgemalt, wie das (in meiner Errinerung) aussieht:
An beiden Standorten steht ein Blech mit einer Endian-Installation, Version 3.0.0. Auf beiden ist ein OVPN-Server eingerichtet, der auch fleissig seinen Dienst tut, keine Probleme an dieser Front.
Jetzt wollte ich beide Standorte via IPSec (Net-toNet) miteinander verbinden. Folgendes habe ich auf der Endian eingegeben:
Als Status sehe ich auch an beiden Standorten "Verbunden". Ich kann allerdings keinerlei Verbindung von Standort 1 zu Standort 2 aufbauen, kein Ping, kein RDP, kein nichts.
Was habe ich falsch gemacht (Habe ich irgendwas richtig gemacht?)? Welche Infos fehlen noch?
Vielen Dank schon einmal.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 313191
Url: https://administrator.de/forum/ipsec-verbindung-zweier-standorte-mittels-2-x-endian-community-3-0-0-verbunden-aber-auch-nicht-313191.html
Ausgedruckt am: 26.12.2024 um 12:12 Uhr
10 Kommentare
Neuester Kommentar
Hallo,
und du bist dir sicher, dass deine Zeichnung oben stimmt (die erste)?
Du hast auf der Endian ganz bestimmt eine öffentliche IP?
Dann würdest du ja den kompletten Verkehr durch die Technicolor Gurke UND den Cisco Router durchschleifen.
Das Konstrukt scheint mir ohnehin nicht wirklich ausgeklügelt. Denn du hast quasi eine doppelte und dreifache Routerkaskade (sofern NAT am Cisco nicht deaktiviert ist).
Der TG könnte schon selbst IPSec und somit wäre es weitaus sinnvoller und einfacher über die beiden TGs ein Site-to-Site VPN aufzubauen.
Den Cisco würde es gar nicht brauchen meiner bescheidenen Meinung nach - wobei es sinnvoller wäre ein reines Modem vor den Cisco zu hängen und die TGs abzuklemmen - aber that's just my 2 cents.
Wenn die 1. Zeichnung so stimmt, dann wirst du ohne statische Routen auf keinen Fall auskommen.
Aber wie gesagt, wirklich Sinn macht das Ganze für mich nicht.
Hier gibts dann auch noch reichlich Lektüre zum Thema:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Gruß
und du bist dir sicher, dass deine Zeichnung oben stimmt (die erste)?
Du hast auf der Endian ganz bestimmt eine öffentliche IP?
Dann würdest du ja den kompletten Verkehr durch die Technicolor Gurke UND den Cisco Router durchschleifen.
Das Konstrukt scheint mir ohnehin nicht wirklich ausgeklügelt. Denn du hast quasi eine doppelte und dreifache Routerkaskade (sofern NAT am Cisco nicht deaktiviert ist).
Der TG könnte schon selbst IPSec und somit wäre es weitaus sinnvoller und einfacher über die beiden TGs ein Site-to-Site VPN aufzubauen.
Den Cisco würde es gar nicht brauchen meiner bescheidenen Meinung nach - wobei es sinnvoller wäre ein reines Modem vor den Cisco zu hängen und die TGs abzuklemmen - aber that's just my 2 cents.
Wenn die 1. Zeichnung so stimmt, dann wirst du ohne statische Routen auf keinen Fall auskommen.
Aber wie gesagt, wirklich Sinn macht das Ganze für mich nicht.
Hier gibts dann auch noch reichlich Lektüre zum Thema:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Gruß
Zitat von @cptkrabbe:
Hallo Michi,
die beiden Geräte, (Technicolor und Cisco) sind uns von Vodafone so hingestellt worden. Wir haben keine Möglichkeit, auf diese zuzugreifen (sind "vorkonfiguriert"). Am Ende erhalte ich tatsächlich eine öffentliche IP aus dem Cisco. Diese ist dann die "rote" Zone der Endian.
Ich dachte ja auch, dass ich die beiden Subnetze routen muss, deswegen habe ich diese Route (Quelle 192.168.12.0/24 Ziel 192.168.11.0/24 und auf der anderen Seite das Gegenteil) auch bei dem ersten Versuch in der Endian angelegt. Allerdings mit dem gleichen Ergebnis.
Okay, wenn du auf der Endian doch eine öffentliche IP hast, dann sollte das schon passen.Hallo Michi,
die beiden Geräte, (Technicolor und Cisco) sind uns von Vodafone so hingestellt worden. Wir haben keine Möglichkeit, auf diese zuzugreifen (sind "vorkonfiguriert"). Am Ende erhalte ich tatsächlich eine öffentliche IP aus dem Cisco. Diese ist dann die "rote" Zone der Endian.
Ich dachte ja auch, dass ich die beiden Subnetze routen muss, deswegen habe ich diese Route (Quelle 192.168.12.0/24 Ziel 192.168.11.0/24 und auf der anderen Seite das Gegenteil) auch bei dem ersten Versuch in der Endian angelegt. Allerdings mit dem gleichen Ergebnis.
Und wenn du wirklich auf beiden Seiten an der Endian eine öffentliche IP hast, dann musst du auch keine Routen eintragen.
Die Netze kennen sich ja wenn sie verbunden sind.
Dann kann es eigentlich nur an den Firewall Regeln liegen.
Ich würde auch schauen, dass du auf beiden Seiten verschiedene IP Netze verwendest, damit es zu keinen Komplikationen kommt.
Gruß
Praxis Infos findest du zu dem Thema auch hier:
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
Die wesentlichen ToDos sind bei Endian vollkommen identisch.
Allerdings ist ein gravierender Fehler in den Screenshots zu sehen !!
Das lokale Subnetz definierst du dort mit 192.168.40.0 /24. In deiner Zeichnung oben steht aber 192.168.12.0 /24
Das musst du dringend korrigieren auf die tatsächliche IP Netzwerk Adresse des lokalen Netzes, sonst kann das niemals klappen.
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
Die wesentlichen ToDos sind bei Endian vollkommen identisch.
Allerdings ist ein gravierender Fehler in den Screenshots zu sehen !!
Das lokale Subnetz definierst du dort mit 192.168.40.0 /24. In deiner Zeichnung oben steht aber 192.168.12.0 /24
Das musst du dringend korrigieren auf die tatsächliche IP Netzwerk Adresse des lokalen Netzes, sonst kann das niemals klappen.
Ist auch eigentlich normal so und auch bei allen anderen Verbindungen in der Praxis identisch:
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a