2
LANCOM OS Zugriff von einem VPN Tunnel in einen anderen VPN Tunnel
Moin werte Kollegen,
ich sehe gerade den Wald vor lauter Bäumen nicht mehr.
Wir setzen Rhode&Schwarz UTM ein (auf denen übernahmebedingt mittlerweile LANCOM OS 10.5 läuft).
Ich habe einen Site-to-Site-Tunnel, über den die MA auf den Systemen hinter dem Tunnel arbeiten können.
Das funktioniert auch problemlos.
Bedingt durch die Home-Office-Verlagerung sollen die MA nun aber von Zuhause über einen Client-to-Site-Tunnel auf unser Firmennetzwerk und natürlich auch auf die Netze hinter dem Site-to-Site-Tunnel zugreifen können.
Die Verbindungen sind entsprechend konfiguriert, laufen jedoch ins Leere (keine Einträge im Log).
Hat hier jemand, der LANCOM OS kennt einen Tipp für mich, wie ich das elegant lösen kann?
Gruß
Looser
ich sehe gerade den Wald vor lauter Bäumen nicht mehr.
Wir setzen Rhode&Schwarz UTM ein (auf denen übernahmebedingt mittlerweile LANCOM OS 10.5 läuft).
Ich habe einen Site-to-Site-Tunnel, über den die MA auf den Systemen hinter dem Tunnel arbeiten können.
Das funktioniert auch problemlos.
Bedingt durch die Home-Office-Verlagerung sollen die MA nun aber von Zuhause über einen Client-to-Site-Tunnel auf unser Firmennetzwerk und natürlich auch auf die Netze hinter dem Site-to-Site-Tunnel zugreifen können.
Die Verbindungen sind entsprechend konfiguriert, laufen jedoch ins Leere (keine Einträge im Log).
Hat hier jemand, der LANCOM OS kennt einen Tipp für mich, wie ich das elegant lösen kann?
Gruß
Looser
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 621096
Url: https://administrator.de/contentid/621096
Printed on: April 26, 2024 at 15:04 o'clock
2 Comments
Latest comment
Nicht direkt zu Lancom OS aber generell.... Leider teilst du nicht mit ob die VPN Clients einen Redirect machen, sprich also sämtlichen Traffic in den VPN Tunnel leiten, oder ein Split Tunneling wo nur der relevante IP Traffic in den Tunnel geht.
Sehr wahrscheinlich (geraten) ist es Letzteres. Damit geht dann nur der im IPsec SA (Phase 2) definierte IP Traffic in den Tunnel und dort felt dann sehr wahrscheinlich die Angabe der anderen IP Netze hinter dem Site to Site Tunnel.
Das ist der übliche Fehler, denn du auch mit einem Traceroute (tracert b. Winblows) sehen kannst. An dem Hop wo der Traffic nicht mehr weitergeht ist der Fehler.
Denkbar ist aber auch das die Clients zwar einen Redirect machen aber das Client IP Netz in der IPsec SA Definition des Site to Site Tunnels fehlt.
Auch hier muss in den SAs das IP Netz der VPN Clients definiert sein, ansonsten werden die nicht übertragen.
2 Stellen also die du dir mal genauer ansehen solltest in deiner IPsec Konfig.
Hier findest du ähnliche Threads zu dem Thema:
PFSense mit Fritzboxen verbinden
2 PfSensen mit OpenVPN verbinden 1x Server 1x Client
PfSense IPsec hub and spoke
Sehr wahrscheinlich (geraten) ist es Letzteres. Damit geht dann nur der im IPsec SA (Phase 2) definierte IP Traffic in den Tunnel und dort felt dann sehr wahrscheinlich die Angabe der anderen IP Netze hinter dem Site to Site Tunnel.
Das ist der übliche Fehler, denn du auch mit einem Traceroute (tracert b. Winblows) sehen kannst. An dem Hop wo der Traffic nicht mehr weitergeht ist der Fehler.
Denkbar ist aber auch das die Clients zwar einen Redirect machen aber das Client IP Netz in der IPsec SA Definition des Site to Site Tunnels fehlt.
Auch hier muss in den SAs das IP Netz der VPN Clients definiert sein, ansonsten werden die nicht übertragen.
2 Stellen also die du dir mal genauer ansehen solltest in deiner IPsec Konfig.
Hier findest du ähnliche Threads zu dem Thema:
PFSense mit Fritzboxen verbinden
2 PfSensen mit OpenVPN verbinden 1x Server 1x Client
PfSense IPsec hub and spoke
Der Zugriff klappt. Man muss in der Software für jeden Tunnel einzeln (also nicht für die Gruppe) das Netz hinter dem Tunnel angeben.
Nach dieser Änderung und einem Neuaufbau des Tunnels klappt schonmal der PING. Der Rest ist jetzt geradezu einfach....
Gruß
Looser
Nach dieser Änderung und einem Neuaufbau des Tunnels klappt schonmal der PING. Der Rest ist jetzt geradezu einfach....
Gruß
Looser