10
Juniper VPN und Shrewsoft VPN Client, Zugriff über VPN auf Lan2Lan Tunnel
Hallo,
ich habe eine Juniper SSG im Einsatz diese fungiert als VPN Server, dass klappt seit Jahren ohne Probleme.
Einziges Manko ist, dass ich von den VPN Clients aus nur das interne Netz erreichen kann. Jedoch nicht ein Rechenzentrum welches Ich per LAN2LAN IPSec Tunnel auch an diese Juniper angebunden habe. Ich habe bereits eine entsprechenden Policy erstellt und auch das Subnetz des Rechenzentrums im Shrewsoft Client eingetragen, Auch das ist das Subnetz der VPN Clients auf der Firewall im Rechenzentrum als Encryption Domain eingetragen.
Hat jemand eine Idee was noch fehlt?
ich habe eine Juniper SSG im Einsatz diese fungiert als VPN Server, dass klappt seit Jahren ohne Probleme.
Einziges Manko ist, dass ich von den VPN Clients aus nur das interne Netz erreichen kann. Jedoch nicht ein Rechenzentrum welches Ich per LAN2LAN IPSec Tunnel auch an diese Juniper angebunden habe. Ich habe bereits eine entsprechenden Policy erstellt und auch das Subnetz des Rechenzentrums im Shrewsoft Client eingetragen, Auch das ist das Subnetz der VPN Clients auf der Firewall im Rechenzentrum als Encryption Domain eingetragen.
Hat jemand eine Idee was noch fehlt?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 220414
Url: https://administrator.de/contentid/220414
Ausgedruckt am: 25.11.2024 um 21:11 Uhr
10 Kommentare
Neuester Kommentar
Hallo,
also wenn ich das richtig verstehe hast Du eine Juniper SSG im Einsatz und diese hat schon einen VPN Tunnel
von sich zu einem Rechenzentrum aufgebaut und dann wählt sich jemand von extern durch das Internet über ein
VPN ein und kann auch auf Euer LAN zugreifen, aber nicht auf Ressourcen in dem Rechenzentrum, ist das so richtig?
Dann bedarf es eventuell noch einer Route von Eurer SSG auf das RZ, oder aber auf Euren externen VPN Klienten.
Gruß
Dobby
also wenn ich das richtig verstehe hast Du eine Juniper SSG im Einsatz und diese hat schon einen VPN Tunnel
von sich zu einem Rechenzentrum aufgebaut und dann wählt sich jemand von extern durch das Internet über ein
VPN ein und kann auch auf Euer LAN zugreifen, aber nicht auf Ressourcen in dem Rechenzentrum, ist das so richtig?
Dann bedarf es eventuell noch einer Route von Eurer SSG auf das RZ, oder aber auf Euren externen VPN Klienten.
Gruß
Dobby
Hallo,
Gruß,
Peter
Zitat von @nd5000:
Jedoch nicht ein Rechenzentrum welches Ich per LAN2LAN IPSec Tunnel auch an diese Juniper angebunden habe.
Haben beide gleiche IP Netze? Passt das Routing sowie Rückrouten?Jedoch nicht ein Rechenzentrum welches Ich per LAN2LAN IPSec Tunnel auch an diese Juniper angebunden habe.
Gruß,
Peter
Hallo habe eben eine Stunde mit dem Juniper Support telefoniert und das Problem liegt wohl am Shewsoft Client dieser schnallt nicht, dass wenn ich eine IP aus dem Rechenzentrum pinge das er das ICMP Paket über den Tunnel schicken muss, die nötige Route auf dem Client ist aber eingetragen auf der Juniper soll alles richtig sein....
VG
VG
Hallo,
Wie gesagt, Routing und Rückrouten...
Gruß,
Peter
Zitat von @nd5000:
Problem liegt wohl am Shewsoft Client dieser schnallt nicht, dass wenn ich eine IP aus dem Rechenzentrum pinge das er das ICMP Paket über den Tunnel schicken muss, die nötige Route auf dem Client ist aber eingetragen auf der Juniper soll alles richtig sein
Wenn es am Client richtig ist, dann hilft dir ein Wireshark weiter zu sehen wo was hingeht und ob etwas zurück kommt. Kommt auch etwas zurück? Weiss dein Rechenzentrum wie es zu den Client kommt? Kommt die ICMP Anfrage an dein Rechenzentrum überhaupt an? Hab ich Wireshark schon erwähnt?Problem liegt wohl am Shewsoft Client dieser schnallt nicht, dass wenn ich eine IP aus dem Rechenzentrum pinge das er das ICMP Paket über den Tunnel schicken muss, die nötige Route auf dem Client ist aber eingetragen auf der Juniper soll alles richtig sein
Wie gesagt, Routing und Rückrouten...
Gruß,
Peter
Hallo peter,
wireshark trace habe ich auch schon gemacht, er fragt über den VPN tunnel die Ip Adresse am DNS ab, dann aber schickt er das ICMP Paket nicht über das tunnel interface zu Firewall, sondern es läuft in ein timeout. somit NEIN die ICMP Pakete kommen nicht mal auf meiner Firewall an...
wireshark trace habe ich auch schon gemacht, er fragt über den VPN tunnel die Ip Adresse am DNS ab, dann aber schickt er das ICMP Paket nicht über das tunnel interface zu Firewall, sondern es läuft in ein timeout. somit NEIN die ICMP Pakete kommen nicht mal auf meiner Firewall an...
die nötige Route auf dem Client ist aber eingetragen
ist permanent eingetragen worden und ist das Gerät auch nicht neu gebootet worden?Sonst ist die Route nämlich wieder weg!
....auf der Juniper soll alles richtig sein....
Hätte, hätte Fahrradkette, hast Du dort eine Route eingetragen die zum Rechenzentrum führt ja oder nein.Gruß
Dobby
Ja die Route auf der Firewall ist drin...
Client schon gebootet und mit route route Print kontrolliert ich glaube ich lass das für diese Woche sein, aber danke Jungs für die Lösungsansätze!
VG Nico
Client schon gebootet und mit route route Print kontrolliert ich glaube ich lass das für diese Woche sein, aber danke Jungs für die Lösungsansätze!
VG Nico
Hallo nochmal,
hier mal nicht schlapp machen!
Beispiel:
route -p add 192.168.1.0 mask 255.255.255.0 IP vom RZ
Gruß
Dobby
hier mal nicht schlapp machen!
Client schon gebootet und mit route route Print kontrolliert ich glaube ich lass das für diese Woche sein
Dann versuche bitte das nächste mal die Route permanent zu setzen.Beispiel:
route -p add 192.168.1.0 mask 255.255.255.0 IP vom RZ
Gruß
Dobby
Hallo,
kann geschlossen werden.
Es lag daran, dass wir ein policy based routing und kein routebased routing haben.
Beide Tunnel umgestellt, policies eingetragen, geht!
kann geschlossen werden.
Es lag daran, dass wir ein policy based routing und kein routebased routing haben.
Beide Tunnel umgestellt, policies eingetragen, geht!
1
