6
IPSec VPN Tunnel und mehrere Netze
Hallo Miteinander,
ich habe ein Routing Problem und folgendes Szenario:
Firma ABC ist mit Firma XYZ via IPSec verbunden. Firma ABC hat das Netz 192.0.2.0/24 Firma XYZ hat das Netz 192.1.1.0/24.
Beide können sich gegenseitig pingen. Verbindung steht somit.
Als nächstes soll die Firma ABC noch die Netze von weiteren Standorten der Firma XYZ erreichen können. Die anderen Standorte sind ebenfalls via IPSec mit dem ich sag nun mal Hauptstandort verbunden. Die Standorte haben die Netze 192.0.0.0/24, 192.1.0.0/24 und 192.1.4.0/24.
Unser Netz 192.0.2.0/24 ist von allen anderen Netzen aus pingbar. Leider kann ich aber nur das Netz 192.1.1.0/24 pingen.
Auf unserer Seite kommt ein Bintec R3400 zum Einsatz. Auf der Gegenseite kommt eine WatchGuard Firebox zum Einsatz.
Hat jemand schon mal ähnliches eingerichtet und eine Idee, woran es zurzeit scheitert?
Vielen Dank schon mal im Vorraus.
Mit Hilfe der Suche konnt ich leider nix gescheites finden.
ich habe ein Routing Problem und folgendes Szenario:
Firma ABC ist mit Firma XYZ via IPSec verbunden. Firma ABC hat das Netz 192.0.2.0/24 Firma XYZ hat das Netz 192.1.1.0/24.
Beide können sich gegenseitig pingen. Verbindung steht somit.
Als nächstes soll die Firma ABC noch die Netze von weiteren Standorten der Firma XYZ erreichen können. Die anderen Standorte sind ebenfalls via IPSec mit dem ich sag nun mal Hauptstandort verbunden. Die Standorte haben die Netze 192.0.0.0/24, 192.1.0.0/24 und 192.1.4.0/24.
Unser Netz 192.0.2.0/24 ist von allen anderen Netzen aus pingbar. Leider kann ich aber nur das Netz 192.1.1.0/24 pingen.
Auf unserer Seite kommt ein Bintec R3400 zum Einsatz. Auf der Gegenseite kommt eine WatchGuard Firebox zum Einsatz.
Hat jemand schon mal ähnliches eingerichtet und eine Idee, woran es zurzeit scheitert?
Vielen Dank schon mal im Vorraus.
Mit Hilfe der Suche konnt ich leider nix gescheites finden.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 133919
Url: https://administrator.de/contentid/133919
Ausgedruckt am: 23.11.2024 um 01:11 Uhr
6 Kommentare
Neuester Kommentar
Hallo,
da ich weder die watchguard noch die Bintec Router kenne, nur mal als Vermutung. Habt ihr die anderen Netze als remote Netze eingetragen?
da ich weder die watchguard noch die Bintec Router kenne, nur mal als Vermutung. Habt ihr die anderen Netze als remote Netze eingetragen?
Die Routen zu den anderen Netzen wurden im Router unter Routing angelegt.
Ich kann es nur schreiben, wie es in der Firma ABC eingerichtet ist.
Sie sind dort als direkte Verbindung über den IPSec Tunnel eingerichtet, Ziel Netz / Netmask ist klar. Als IP Adresse (Gateway) wurde die Lokale IP Adresse des Routers eingetragen.
Ich kann es nur schreiben, wie es in der Firma ABC eingerichtet ist.
Sie sind dort als direkte Verbindung über den IPSec Tunnel eingerichtet, Ziel Netz / Netmask ist klar. Als IP Adresse (Gateway) wurde die Lokale IP Adresse des Routers eingetragen.
Die Wahl der IP Adressen ist etwas problematisch, denn das sind keine privaten Netze nach RFC 1918. Sowas ist nicht unbedingt sinnvoll aber nicht dein Grundproblem !
Es liegt vermutlich an der Firewall, denn hier musst du den Zugriff auf diese Netze explizit erlauben.
Sieh dir in der Firewall mal das Log an oder debugge den Traffic.
Hifreich ist auch ein Traceroute (tracert) oder pathping um zu sehen wo die Pakete hängenbleiben.
Es liegt vermutlich an der Firewall, denn hier musst du den Zugriff auf diese Netze explizit erlauben.
Sieh dir in der Firewall mal das Log an oder debugge den Traffic.
Hifreich ist auch ein Traceroute (tracert) oder pathping um zu sehen wo die Pakete hängenbleiben.
Die Netze sind leider so vorgegeben, kann ich nix dran ändern.
Firewall ist aus. Die habe ich testweise mal auf meiner Seite ausgeschaltet. Den Traffic debuggen ist schwierig. An dem Netz hängen ca. 60 Rechner wovon ein großteil der Nutzer auch surft.
Wenn ich ein tracert in eines der nicht funktionierenden Netze mache, geht es im ersten Schritt an meinen Router und danach bekomme ich nur noch Zeitüberschreitungen.
Firewall ist aus. Die habe ich testweise mal auf meiner Seite ausgeschaltet. Den Traffic debuggen ist schwierig. An dem Netz hängen ca. 60 Rechner wovon ein großteil der Nutzer auch surft.
Wenn ich ein tracert in eines der nicht funktionierenden Netze mache, geht es im ersten Schritt an meinen Router und danach bekomme ich nur noch Zeitüberschreitungen.
Warrumbaut ihr nicht noch zusätzliche Tunnel in die anderen Netze auf?
Oder hab ich es nur falsch verstanden, und ihr seit schon der Hauptstandort?
Oder hab ich es nur falsch verstanden, und ihr seit schon der Hauptstandort?
Das heist das dein Router die Pakete nicht weiterleiten kann. Was sagt denn die Routing Tabelle auf deinem Router ?? Werden dort die IP Netze der remoten Ziele angezeigt ??
Was ist wenn du einmal nur das next Hop Gateway traceroutest wo dein Router VPN endet. Das müsste wengistens immer antworten.
Wenn nicht ist nichtmal ein VPN Tunnel zustande gekommen. Dann hast du das Problem ganz woanders...
Was ist wenn du einmal nur das next Hop Gateway traceroutest wo dein Router VPN endet. Das müsste wengistens immer antworten.
Wenn nicht ist nichtmal ein VPN Tunnel zustande gekommen. Dann hast du das Problem ganz woanders...
