patrickb90
Goto Top

Lancom VPN Routing Problem

Hallo zusammen,

ich habe derzeit ein Netzwerkproblem und hoffe, dass mir hier jemand weiterhelfen kann. Hier ist eine kurze Beschreibung meiner aktuellen Netzwerkkonfiguration und der Probleme, auf die ich gestoßen bin.

Grundsätzlich habe ich das Netzwerk übernommen und muss mich jetzt im Produktivsystem mit den Problemen auseinander setzen.

Zum Router sind 30-40 Endgeräte per VPN verbunden.
Die Endgeräte per VPN Client, hier funktioniert das Routing auch. Liegen auch im 65er Netz.
Die Router bauen eine Verbindung auf, Routing ins 65er funktionieren. Hier liegen auch die zentralen Server.

Netzwerkkonfiguration:

Haupt-Router: Lancom ISG-1000 (IP: 192.168.65.1)
Netz: 192.168.65.0/24

VPN-Verbindungen: IPSec IKev2

VPN-Router: Rutx50 (IP: 192.168.59.1)
Netz: 192.168.59.0/24
Verbindet sich über IPSec mit dem Lancom ISG-1000
59.0 -> 65.0 funktioniert.

Zweites Netzwerk: 192.168.61.0/24 (VPN-Router 61.1)
61.0 -> 65.0 funktioniert.

Aktuelle Situation:
Geräte im Netzwerk 192.168.59.0/24 können auf Geräte im Netzwerk 192.168.65.0/24 zugreifen.

Ich möchte, dass Geräte im Netzwerk 192.168.59.0/24 auch auf Geräte im Netzwerk 192.168.61.0/24 zugreifen können.
Im Lancom Router sind statische Routen zu den Netzwerken eingetragen.

Probleme:
Geräte im Netzwerk 192.168.59.0/24 können nicht auf Geräte im Netzwerk 192.168.61.0/24 zugreifen.
Die Firewall-Regeln und Routen scheinen korrekt eingerichtet zu sein, aber der Datenverkehr wird nicht weitergeleitet.
Bereits durchgeführte Überprüfungen:

Firewall-Regeln: Ich habe sichergestellt, dass Regeln existieren, die den Verkehr zwischen den Netzwerken erlauben.
Beispielregel: 59.0 allow to 61.0 - alle Ports/Protokolle

Routing-Einträge: Ich habe überprüft, dass statische Routen für die Netzwerke 192.168.61.0/24 und 192.168.59.0/24 konfiguriert sind. Es ist im IPv4 Routing jeweils das Subnet mit Router als Ziel definiert.

Fragen:

Gibt es bekannte Probleme mit der Routing- oder Firewall-Konfiguration auf Lancom ISG-1000, die ich übersehen haben könnte?
Welche zusätzlichen Schritte könnte ich unternehmen, um den Datenverkehr zwischen den Netzwerken zu ermöglichen?
Gibt es spezielle Logs oder Diagnosetools auf dem Lancom Router, die mir bei der Fehlersuche helfen könnten?
Ich freue mich auf eure Tipps und Unterstützung.

Vielen Dank im Voraus!

Grüße,
Patrick

Content-Key: 22429542371

Url: https://administrator.de/contentid/22429542371

Printed on: July 16, 2024 at 19:07 o'clock

Mitglied: 13034433319
13034433319 Jun 14, 2024 updated at 09:51:41 (UTC)
Goto Top
Du hast wohl vergessen das Netz 192.168.59.0/24 in die Phase 2 SAs der VPN Verbindung zum anderen Standort (192.168.61.0/24) einzutragen.
Genauso muss umgekehrt auch für das VPN zu 192.168.61.0/24 in den SAs das Netz 192.168.59.0/24 hinterlegt sein.
Denn die SAs bestimmen primär was über den Tunnel geht und verschlüsselt wird. Manuelle gesetzte Routen sind hier ein Nogo bei IPSec weil die Encryption erst nach der Postrouting-Chain erfolgt.
Also die statischen Routen als erstes wieder entfernen.

Am Standort 192.168.59.0/24 folgende SAs setzen
Local 192.168.59.0/24 -> Remote 192.168.65.0/24
Local 192.168.59.0/24 -> Remote 192.168.61.0/24

Passend dazu am am Server zu diesem
Local 192.168.65.0/24 -> Remote 192.168.59.0/24
Local 192.168.61.0/24 -> Remote 192.168.59.0/24


Am Standort 192.168.61.0/24 folgende SAs setzen
Local 192.168.61.0/24 -> Remote 192.168.65.0/24
Local 192.168.61.0/24 -> Remote 192.168.59.0/24

Passend dazu am am Server zu diesem
Local 192.168.65.0/24 -> Remote 192.168.61.0/24
Local 192.168.59.0/24 -> Remote 192.168.61.0/24


screenshot

screenshot

screenshot

screenshot

Dann noch in der Firewall Traffic zwischen den Netzen erlauben und schon lüpt das ­čśë

screenshot

Gruß
Member: aqui
aqui Jun 14, 2024, updated at Jun 15, 2024 at 07:31:47 (UTC)
Goto Top
Beispiele zu der Phase2 SA Thematik, was bekanntlich IMMER Routing bestimmend ist bei IPsec VPNs mit mehreren Netzsegmenten, findet man auch hier im Forum:
PFSense mit Fritzboxen verbinden
Member: kpunkt
kpunkt Jun 14, 2024 at 08:49:04 (UTC)
Goto Top
Ach ja, über LANmonitor kannst du ja ein Log mitlaufen lassen, das dir alles auswirft, was so passiert.
Member: radiogugu
radiogugu Jun 15, 2024 updated at 06:09:59 (UTC)
Goto Top
Moinsen.

Zitat von @PatrickB90:
Im Lancom Router sind statische Routen zu den Netzwerken eingetragen.

Diese sind nicht notwendig, wenn der IPSec Tunnel korrekt konfiguriert wurde, wie die Kollegen vor mir schon ausführlich beschreiben haben.

EDIT:
Danke.

Gruß
Marc
Mitglied: 13034433319
13034433319 Jun 15, 2024 updated at 06:04:28 (UTC)
Goto Top
Zitat von @radiogugu:
Diese sind notwendig, wenn der IPSec Tunnel korrekt konfiguriert wurde, wie die Kollegen vor mir schon ausführlich beschreiben haben.
Du meinst wohl nicht notwendig ­čśë

An diesem Schaubild sieht man sehr schön warum diese bei IPSec nichts bringen, weil am Ende nur die IPSec-Policies entscheiden was über den Tunnel geht.

1000003637
Member: aqui
aqui Jun 19, 2024 at 07:42:00 (UTC)
Goto Top
Wenn es das denn nun war bitte deinen Thread dann auch als erledigt schliessen!
How can I mark a post as solved?