Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst PFSense mit Fritzboxen verbinden

Mitglied: Coachi81

Coachi81 (Level 1) - Jetzt verbinden

05.02.2020 um 14:27 Uhr, 377 Aufrufe, 17 Kommentare

Hallo,

ich möchte drei Standorte miteinander verbinden. Um die Konstellation einfacher darzustellen habe ich eine kleine Skizze gezeichnet

netzplan - Klicke auf das Bild, um es zu vergrößern

Die Verbindung von Standort A nach B und C und andersrum funktioniert bereits, was nicht geht ist von B nach C und von B,C nach A (auf das zweite Netz 192.168.1.0). Die PFSense ist noch auf der Version 2.1.5, die Fritzboxen sind jeweils mit der Version 7.12. Mittlerweile habe ich das ganze zum testen nachgebaut mit der PFSense 2.4.4, aber auch hier sind die gleichen Probleme

Der Cisco 3750 auf Standort A bildet die Netze 192.168.0.0 und 192.168.1.0 und hat ne Default Route zu 192.168.0.201 (PFSense)
In der PFSense ist eine Route zu 192.168.1.0 Richtung Cisco. Alle Netze kommen ins Internet.

Die Verbindung der Fritzboxen mit der PFSense sind über IPSEC realisiert, auf der Fritzbox Seite ist die Konfig nach dieser Anleitung angepasst
https://avm.de/service/fritzbox/fritzbox-7490/wissensdatenbank/publicati ...
(Das zweite Netz unter "Permit" eingetragen und zusätzlich ne Route)

Auf der PFSense ist unter IPSEC Phase 2 ebenfalls das zweite Netz eingetragen

Die Firewall hat bei den Schnittstellen IPSEC, OPT1 (Internetzugang) und LAN die Scheunentorregel zum testen bekommen, und die Auswertung der Logdateien hat mich bisher noch nicht weiter gebracht. Ist mein Vorhaben so überhaupt realisierbar?

Nachdem ich keine Anleitung gefunden habe die mich weiter bringt hoffe ich das ihr mir ein paar wertvolle Tipps geben könnt


Gruß
Coachi
Mitglied: aqui
05.02.2020, aktualisiert 07.02.2020
was nicht geht ist von B nach C
Das Thema hatten wir vor kurzem hier. Einfach mal die Suchfunktion benutzen...
Du hast vermutlich auch schlicht und einfach vergessen die Phase 2 Credentials zur Kopplung der anderen Standortnetze einzutragen. Oder wenn du es gemacht hast hast du vermutlich die falschen IP Netze dort eingetragen ?!
Das folgende Tutorial das genau deinem Design entspricht zeigt dir wie man es richtig macht und damit kommt das dann auch sofort zum Fliegen.
Nur nochmal zur Sicherheit:
Standort B muss die Netze:
192.168.0.0 /24
192.168.1.0 /24
192.168.15.0 /24
eingetragen haben im IPsec Setup. Und Standort C:
192.168.0.0 /24
192.168.1.0 /24
192.168.9.0 /24
Die pfSense muss P2 Credentials für
Tunnel 1 zur FB-B:
Local network: 192.168.15.0 /24 -> Remote network: 192.168.9.0 /24
Local network: 192.168.1.0 /24 -> Remote network: 192.168.9.0 /24
Local network: LAN-1 -> Remote network: 192.168.9.0 /24
Tunnel 2 zur FB-C:
Local network: 192.168.9.0 /24 -> Remote network: 192.168.15.0 /24
Local network: 192.168.1.0 /24 -> Remote network: 192.168.15.0 /24
Local network: LAN-1 -> Remote network: 192.168.15.0 /24

eingetragen haben.

Hier findest du die schnelle Lösung dazu:
https://administrator.de/content/detail.php?id=539060&token=369#comm ...

Was alternativ ginge ist einen zweiten Tunnel bei den Fritzboxen zu etablieren direkt zw. B und C. Ob ein zweiter IPsec Tunnel aber auf den FBs supportet ist entzieht sich meiner Kenntniss.
Bitte warten ..
Mitglied: Coachi81
05.02.2020 um 21:24 Uhr
Danke Aqui, ich hab immer über Google gesucht und bin oft auf dieses Forum gekommen wobei ich den von dir beschriebenen Link noch nicht kenne. Ich schaue mir das die Tage mal an und melde mich

Den direkten Tunnel zw B und C will ich nicht haben, das ganze soll schon als Stern aufgebaut sein. Evtl kommen noch weitere Standorte hinzu und auch der Cisoc 3750 hat noch weitere Netze, der Einfachheit halber hab ich die aber nicht erwähnt. Sobald das beschriebene Szenario funktioniert weiss ich ja wie es geht und kann alles weitere hinzufügen

In der IPSEC Config der Fritten stehen die Netze sicher drinnen, auf der PFSense bin ich nicht sicher ob alles passt aber das überprüfe ich natürlich
Bitte warten ..
Mitglied: aqui
05.02.2020 um 22:02 Uhr
Den direkten Tunnel zw B und C will ich nicht haben, das ganze soll schon als Stern aufgebaut sein.
Das wollte der TO des o.a. Lösungsthreads auch nicht. Ist auch OK aber dann musst du die P2 Credentials konfigurieren, was aber auch kein Thema ist.
Damit klappt das dann fehlerlos.
auf der PFSense bin ich nicht sicher ob alles passt aber das überprüfe ich natürlich
Du hast ja die Screenshots des Lösungsthreads als sichere Orientierung !
Bitte warten ..
Mitglied: Coachi81
06.02.2020 um 21:41 Uhr
Hallo Aqui,

kann es sein das du im IPSEC Phase 2 der PFSense die IPs der Standorte C und B vertauscht hast?
Konnte heute nur kurz testen und mit deiner Konfig geht gar keine IP Verbindung mehr, hab mir auch den Lösungsthread angeschaut und komme zum Ergebnis das da ein Fehler ist wie du es beschrieben hast...

Der Lösungsthread ist auch etwas anders, klar B und C können bei mir (noch) nicht miteinander aber mein Problem ist auch das B und C nur mit dem Haupt LAN von A (192.168.0.0) können, nicht mit den weiteren LANs z.b. 192.168.1.0 die der Cisco verwaltet bzw aufspannt.
Das ist so konfiguriert das es vom Cisco ne Defaultroute zur PFSense gibt und in der Sense hab ich Routen zu 192.168.1.0... erstellt. Kann da evtl auch ein Problem liegen?

Wenn ich das IPSEC so konfiguriere wie ich denke (nicht dein Lösungsvorschlag) kommen die Tunnels auch hoch, nur Traffic z.B. Ping geht nach wie vor nicht
Bitte warten ..
Mitglied: aqui
07.02.2020, aktualisiert um 17:17 Uhr
kann es sein das du im IPSEC Phase 2 der PFSense die IPs der Standorte C und B vertauscht hast?
Ja, sorry....du hast natürlich Recht. Im Eifer des Gefechts ein Zahlendreher. Klar das damit dann nix geht, sind die völlig falschen Standort IPs in den Phase 2 SAs. Sorry nochmals für den Fauxpas...
Richtig ist natürlich:

Tunnel 1 zur FB-B:
Local network: 192.168.15.0 /24 -> Remote network: 192.168.9.0 /24
Local network: 192.168.1.0 /24 -> Remote network: 192.168.9.0 /24
Local network: LAN-1 -> Remote network: 192.168.9.0 /24
Tunnel 2 zur FB-C:
Local network: 192.168.9.0 /24 -> Remote network: 192.168.15.0 /24
Local network: 192.168.1.0 /24 -> Remote network: 192.168.15.0 /24
Local network: LAN-1 -> Remote network: 192.168.15.0 /24


Das ist so konfiguriert das es vom Cisco ne Defaultroute zur PFSense gibt und in der Sense hab ich Routen zu 192.168.1.0... erstellt. Kann da evtl auch ein Problem liegen?
Nein, das ist absolut korrekt so ! Wenn du aus den Subnetzen am Cisco L3 Switch das 0.201er Interface der pfSense fehlerlos pingen kannst ist das alles korrekt.

Du musst die Phase 2 SAs so ändern wie oben. Eingehender .9.0er Traffic mit Destination IP .15.0 wird dann in den Tunnel zu C geroutet und andersrum eingehender .15.0er Traffic mit Destination IP .9.0 in den Tunnel zu B.
Sehr wichtig ist dann auch noch das du in den virtuellen VPN Interfaces der pfSense natürlich noch die FW Regeln anpasst das dieser Traffic dort passieren darf.
Das gilt natürlich auch für die LAN Interfaces der pfSense solltest du dort statt einer "any zu any" Scheunentorregel spezifische Regeln definiert haben !!!
LAN ist bei dir wichtig denn dort muss auch Traffic aus den lokalen Subnetzen des Catalysten passieren dürfen. Solltest du dort keine "any zu any" Scheunentorregel haben, und z.B. nur Traffic aus dem "LAN1 network" als Absender passieren lassen wird Traffic aus dem .1.0er Subnetz natürlich geblockt.
Hier musst du also aufs Regelwerk der pfSense achten !
Bitte warten ..
Mitglied: Coachi81
07.02.2020 um 16:33 Uhr
Alles klar, hab schon gegrübelt ob ich evtl nen Denkfehler hab
Ja vom L3 Catalyst kann ich von allen Subnetzen das 0.201 erreichen, das ging immer schon...

Die any to any Regel ist nur jetzt zum testen am Referenzsystem drinnen und wird natürlich wieder eingeschränkt auf das was wir brauchen. Aber zum testen ist es halt so einfacher nicht das ich eigentlich alles korrekt konfiguriert hab und es scheitert an der Firewall

Hoff ich komm gleich am Montag zum testen

Danke für die Infos und schönes WE
Bitte warten ..
Mitglied: Coachi81
11.02.2020 um 21:40 Uhr
Hallo Aqui,

hab heut alles konfiguriert wie von dir beschrieben aber es geht leider nicht. Die Tunnels kommen hoch bzw die Netze stehen auf connected aber ich kann nichts pingen.
Es geht nach wie vor das was immer ging, also von Standort A aus dem nuller Netz komm ich auf Standort B und C, ebenso andersrum, B und C kommen nach wie vor nicht auf A z.B. 1er Netz und von A 1 er Netz komm ich auch nicht auf B und C

Jetzt stellt sich die Frage woran es scheitert. Entweder ich hab an der Firewall noch ein Problem obwohl Scheunentorregeln erstellt sind oder es fehlen an der Sense noch Routen?
Weiss jetzt nicht was ich noch überprüfen kann bzw was du brauchst um dem Fehler auf die Schliche zu kommen?
Bitte warten ..
Mitglied: aqui
12.02.2020, aktualisiert um 15:03 Uhr
Es scheint in der Tat etwas tricky zu sein. Der AVM_Tipp zum Routen der 2 und mehr Netze schein nur unter FritzBoxen zu klappen. Das wird einem auch schnell klar wenn man sich in einer FritzBox mal die VPN Konfig ansieht. Dort verbleibt auch nur eine einzige Phase 2 SA auch wenn mehrere IP Netze über die ACL definition geroutet werden. Das ist irgendwie nicht IPsec konform und klappt vermutlich nur in einer reinen FritzBox Umgebung.
Ein kurzer Testaufbau scheiterte schon daran das die Phase 2 SA nicht hochkamen obwohl die FB Konfig Datei entsprechend angepasst wurde. Das AVM aber auch sepearat eine "Verbindung mit einem Firmennetz" im FB Konfig Setup ausweist verstärkt die Befürchtung das die obige "ACL" Lösung rein nur mit FB VPNs klappt.
Es wäre mal interessant wie deine Konfigs aussehen und du es geschafft hast die Phase 2 SA zu negotiaten. Hier klappte es mit einer FritzBox 7240 in keiner Kombination.

Es gibt aber einen pfiffigen Workaround wenn man ein einigermaßen intelligentes IP Addressierungs Schema nutzt mit den remoten FritzBox Netzen und den Netzen am Hauptstandort.
Der Testaufbau in Ermangelung von FritzBoxen mit einem Mikrotik:

fb-pfs - Klicke auf das Bild, um es zu vergrößern

Der Workaround ist hier die FBs mit einem größeren Prefix sprich Subnetzmaske (hier 17 Bit) negotiaten zu lassen.
Das routet dann hier im Beispiel alles was 192.168.0.0 bis 192.168.127.254 als Zieladresse hat in den Tunnel und damit erreicht man dann wieder die ganzen Netze hinter den FBs.
fb - Klicke auf das Bild, um es zu vergrößern
fbvpnsess - Klicke auf das Bild, um es zu vergrößern

Setup der pfSense:
pfsenseglob - Klicke auf das Bild, um es zu vergrößern
pfsensep2 - Klicke auf das Bild, um es zu vergrößern
pfsensesa - Klicke auf das Bild, um es zu vergrößern

Ein Ping vom lokalen LAN der pfSense in beide gerouteten IP Netze klappt:
pingfwfb - Klicke auf das Bild, um es zu vergrößern
pingfwmt - Klicke auf das Bild, um es zu vergrößern

Und auch ein Ping in diese Netze direkt aus dem lokalen FritzBox LAN:
Ansonsten, um in einem IPsec konformen Umfeld standardkonform zu sein, kann man dann nur die Option "Verbindung mit einem Firmennetz" klicken was aber auch nur ein Zielnetz zulässt.
Man müsste dann die FritzBox Konfig mit diesem VPN Setup exportieren und in der Sicherungsdatei mit einem Editor (ist nochmaler ASCCI Text) die VPN Konfig anpassen und zurücksichern.
Zumindestens mit meiner alten 7240 ging das nicht, denn sowie dort nur ein Zeichen verändert wurde akzeptiert die FB diese Sicherung nicht mehr als "Import" Datei !
Man muss sicher nicht extra betonen das das Setup mit den 2mal Phase 2 in einem Mikrotik Setup statt der FritzBoxen fehlerfrei und sauber funktioniert !

Just for Info das Routing Setup des Mikrotik:
mikrotik - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: Coachi81
12.02.2020 um 20:37 Uhr
Hallo Aqui,

ok dann geht es also nicht nur bei mir nicht! Hab schon sehr an mir gezweifelt
Ob du es glaubst oder nicht aber mir war es schon länger ein Dorn im Auge das in der VPN Konfig der Fritte nur ein Netz steht. Die Einträge "permit..." waren meiner Ansicht nach nur für die Firewall der Fritzbox und ich hab mich schon immer gefragt wie das eig gehen soll. Laut AVM und diversen Forenbeiträgen passt diese Konfig aber, jetzt wissen wir wohl das es nur unter Fritzboxen funktioniert Hab auch die Konfig schon versuchsweise geändert und weitere Netze hinzugefügt, soweit ich weiss hat sie das bei mir auch angenommen, nur funktioniert hat es nie. Könnte natürlich auch an anderen Fehlern gelegen haben die ich damals hatte. Hab das dann wieder verworfen...

Wenn die von dir geschriebene Lösung mit dem veränderten Prefix funktioniert ist das eine sehr brauchbare und leicht umzusetzende Lösung sowohl in der IPSEC Konfig der FB als auch in der PFSense, müssen ja nur die Netze rausgeschmissen werden und das Hauptnetz mit der geänderten Maske eingetragen werden. Unser Netzbereich kann dafür verwendet werden, wir haben derzeit alles auf klassisches C-Netz
Ich teste das morgen und gebe Rückmeldung.

Das es beim Mikrotic geht wundert mich nicht, das ganze ist ja eig nichts besonderes ausser man setzt Fritzboxen ein Es ist halt nur so das die schon da sind
Bitte warten ..
Mitglied: aqui
13.02.2020 um 09:49 Uhr
Ich hatte auch schon in der FritzBox VPN Konfig die Phase2 editiert und eine 2te nachgetragen aber das scheint auch nicht zu klappen.
Das FritzBox Log meldet dann immer einen "IKE Error". Das kann wohl auch nur AVM beantworten ob sie sich da dann Standard konform verhalten aber vermutlich nicht. Die werden ganz sicher auch nichts (umsonst) troubleshooten was nicht FritzBox only ist....
Das mit dem größeren Prefix ist aber ein sauber funktionierender Workaround in so einem Umfeld.
Bitte warten ..
Mitglied: Lochkartenstanzer
13.02.2020 um 10:05 Uhr
Zitat von aqui:

Das mit dem größeren Prefix ist aber ein sauber funktionierender Workaround in so einem Umfeld.

Es hat schon einen Grund, warum man das Fritzbox-IPsec nur in 0815-Situationen (Ein User will nach hause telefonieren. ) nutzt und ansonsten andere Lösungen nimmt.

lks
Bitte warten ..
Mitglied: Coachi81
13.02.2020 um 15:56 Uhr
So, aktueller Stand ist das es jetzt geht

Es lag an zwei Punkten, in der Fritzbox darf keine Route zu den neuen Netzen drinnen stehen. Wenn eine drin steht geht der Ping und somit die Verbindung nicht.
Zweiter Punkt, in meiner IPSEC Scheunentorregel war ein Fehler, ich hab statt LAN_Gate das OPT_Gate (Internetschnittstelle) drinnen gehabt!

Mit der VPN Konfig der Fritzbox hab ich auch noch bisschen getestet, es reicht wenn das Grundnetz drinnen steht und unter "Permit... " die zu erreichenden Netze. (alte Variante)
Hier hab ich jetzt aber die IP mit der 17er Maske bei "remoteid" und bei "Permit..." stehen lassen, weil es einfacher ist für die zukünftige Standortvernetzung. Dadurch müssen die Boxen nicht mehr angelangt werden wenn ein Standort hinzu kommt

Vielen Dank Aqui, ohne dich hätte ich es nicht geschafft
Bitte warten ..
Mitglied: aqui
13.02.2020, aktualisiert um 16:07 Uhr
in der Fritzbox darf keine Route zu den neuen Netzen drinnen stehen.
Nee, das ist aber schon immer klar, da die Routen ja automatisch mit den IPsec SAs angelegt werden. Zusätzliche statische Routen im VPN wären generell völliger Unsinn bei IPsec. Die gehören da auch bei FritzBoxen niemals hin.
ich hab statt LAN_Gate das OPT_Gate (Internetschnittstelle) drinnen gehabt!
Bahnhof, Ägypten ???
Da wird doch nirgendwo irgendein Gateway definiert !! Source und Destination IP die passieren sollen und ggf. die TCP/UDP Ports das wars ! Nirgendwo Gateways ??? Du sprichst in Rätseln oder bist völlig auf dem falschen Dampfer mit den Regeln !
Wenn du dir da natürlich schon den Ast absägst auf dem du sitzt dann muss man sich auch nicht groß wundern das es mit nochso richtiger IPsec Konfig nicht geht !
Hier hab ich jetzt aber die IP mit der 17er Maske bei "remoteid" und bei "Permit..."
Du meinst die Accessliste der VPN Konfig wie es im AVM Tip "mehrere Netze hinter FB.." steht ??
es reicht wenn das Grundnetz drinnen steht
Was genau soll ein "Grundnetz" sein ?! Kenn ich nur aus der Fischerei wo man damit am Meeresboden fischt....
Aber egal... wenns nun alles klappt ist ja alles gut !
Case closed

...und dann bitte auch
https://administrator.de/faq/32
nicht vergessen.
Bitte warten ..
Mitglied: Coachi81
13.02.2020 um 17:25 Uhr
Hallo Aqui,

in meinem Eingangspost hab ich bereits geschrieben das die IPSEC Konfig der Fritzbox nach dieser Anleitung

https://avm.de/service/fritzbox/fritzbox-7490/wissensdatenbank/publicati ...

konfiguriert ist und das ich ne Route in das "Fremdnetz" 192.168.1.0 hab so wie es auch eindeutig in der Anleitung steht.
Das die Route nicht in die Fritzbox gehört haben wir so nicht besprochen bzw du hast da auch nicht eingehackt, von daher war für mich klar die muss dahin

Ich muss mir das morgen nochmal anschauen aber aus dem Kopf raus bin ich der Meinung das man bei der Konfig der Firewall im IPSEC Bereich ein Gate eintragen muss, kann mich jetzt aber auch irren. Unterm Strich war das falsche drin, da hab ich falsch herum gedacht ... Jetzt steht das LAN_Gate drinnen und es geht jedenfalls

Am Hauptstandort A ist ein Layer 3 Cisco Switch mit mehreren Netzen, in meinem Fall bezeichne ich das 192.168.0.0 als Grundnetz aus der Sicht
des LAN Switches
Bitte warten ..
Mitglied: aqui
14.02.2020, aktualisiert um 09:27 Uhr
und das ich ne Route in das "Fremdnetz" 192.168.1.0 hab so wie es auch eindeutig
Da hast du dann aber die AVM Anleitung vollkommen missverstanden ! Lies dir die nochmal genau durch....
Damit ist nicht die remote FritzBox gemeint sondern ausschließlich die FritzBox an der Seite wo die 2 oder mehr lokalen Netze vorhanden sind !
Es ist klar das dort (und nur dort) dann lokal eine statische Route definiert sein muss in diese anderen lokalen Netze.
Bei dir ist da aber gar keine FritzBox sondern die pfSense Firewall, für die das natürlich auch gilt, keine Frage. Aber eben nur für diese Seite und nicht die remote (Standort) Seite.
Mitnichten ist also damit die remote Fritzbox gemeint. Das wäre so oder so Quatsch weil du auf der FritzBox ja auch gar keine statische Route auf das virtuelle Tunnel Interface konfigurieren kannst ! Das lässt die FB gar nicht zu.
Hier hast du also vermutlich den AVM Tip etwas missverstanden ?! Kann das sein ?
Das die Route nicht in die Fritzbox gehört haben wir so nicht besprochen bzw du hast da auch nicht eingehackt
Abgesehen davon das man es gar auch nicht kann wäre es auch sinnfrei. Die Route wird ja durch die IPsec Phase 2 SAs fest vorgegeben !
das man bei der Konfig der Firewall im IPSEC Bereich ein Gate eintragen muss,
Nein, das ist nicht der Fall, das muss man nicht. Kannst du auch ja nirgendwo in der o.a. pfSense Konfig sehen.
Jetzt steht das LAN_Gate drinnen und es geht jedenfalls
Damit meinst du sicher deinen Layer 3 Switch oder ??
Logisch, den muss man in der pfSense als Gateway einstellen und dann eine statische Router dort auf der pfSense definieren für alle IP netze die der Layer 3 Switch routet. Das hat aber rein gar nichts mit dem IPsec VPN zu tun...oder nur bedingt. Klar wenn du hier einen Fehler machst sind die IP Netze am L3 Switch nicht zu erreichen.
in meinem Fall bezeichne ich das 192.168.0.0 als Grundnetz aus der Sicht
Ohne Angabe einer Subnetzmaske ist diese Aussage völlig sinnfrei... Oder meinst du damit das die 192.168.0.0 /24 das lokale LAN ist über das die anderen IP Netze am Cisco Switch geroutet werden ??
Letzteres wäre dann richtg und verständlich. Mit Maske noch verständlicher
Bitte warten ..
Mitglied: Coachi81
14.02.2020 um 14:01 Uhr
Ja ich denke das hab ich dann definitiv falsch verstanden Aqui, naja so hab ich es halt jetzt schmerzhaft und mit viel Fehlersuche geschafft
Muss nicht immer ein Nachteil sein, man lernt ja auch dazu...

Im IPSEC Teil der Firewall steht jetzt als Gateway die 192.168.0.101/24 drinnen, bzw bei mir als Lan_Gate hinterlegt. Ich kann auch default machen, dann ist aber wieder mein Lan_Gate hinterlegt. Nichts eintragen geht nicht, hab heute nochmal geschaut.
Genau, und ich hab den Fehler gemacht das ich dort Opt1 (Internetschnittstelle) eingetragen hab

Ja mit Grundnetz meine ich 192.168.0.0 /24, das lokale LAN am Cisco

Das passt jetzt schon, habs verstanden denke ich und es klappt alles wie gewünscht Vielen Dank nochmal und schönes WE
Bitte warten ..
Mitglied: aqui
14.02.2020, aktualisiert um 14:25 Uhr
naja so hab ich es halt jetzt schmerzhaft und mit viel Fehlersuche geschafft
Das vergisst man dann wenigstens so schnell nicht wieder und der Lerneffekt ist unbezahlbar !
Nichts eintragen geht nicht, hab heute nochmal geschaut.
Komisch, hier hat das alles ohne geklappt. Muss man normalerweise auch nicht, aber egal...wenns damit klappt ist gut und dann solltest du es auch so belassen.
und ich hab den Fehler gemacht das ich dort Opt1 (Internetschnittstelle) eingetragen hab
Uuhhh böses Faul ! Gegen PEBKAC Probleme hilft dann auch das tollste Forum und der engagierteste Hilfesteller nicht...
Gleichfalls schönes WE !
Bitte warten ..
Ähnliche Inhalte
Firewall
PFsens Open VPN Verbindung
Frage von OSelbeckFirewall4 Kommentare

Ich richte gerade eine Open VPN Peer to Peer ein. Der VPN tunnel wird aufgebaut, dann kann ich pingen, ...

TK-Netze & Geräte

Verbind 2 Hauser mit Kupfer und einen Netzwerkisolator

Frage von Hampi7273TK-Netze & Geräte3 Kommentare

Ich hab gelesn das in der Medizin Technik oft mit Netzwerkisolator gebaut wird. Netzwerkisolatoren bilden innerhalb einer kupfergeführten Ethernet-Datenleitung ...

Router & Routing

Fritzbox zu Fritzbox VPN - Verbindungsabbrüche

gelöst Frage von Wid0kejRouter & Routing9 Kommentare

Hallo, ich hatte bereits in einem anderen topic über den Fall geschrieben, dort hatte ich jedoch andere Probleme an ...

LAN, WAN, Wireless

FritzBOX VPN FritzBox kein Verbindungsaufbau

gelöst Frage von Dett18LAN, WAN, Wireless17 Kommentare

Einen schönen Sonnigen guten Tag liebe Gemeinde. Leider habe ich ein VPN Problem zwischen zwei Fritz!Boxen. Nach einer Woche ...

Neue Wissensbeiträge
Humor (lol)

Funny: Warum es immer schwieriger wird, die richtigen Produkte online zu finden

Information von Dilbert-MD vor 1 StundeHumor (lol)2 Kommentare

Wir befinden uns in der Rubrik "Off Topic - Humor" und in 15 Minuten ist Freitag. und ja, es ...

Windows Update
MS SQL Server Updates
Information von sabines vor 10 StundenWindows Update

Für 2012, 2014 und 2016 sind seit Dienstag wichtige Sicherheitsupdates verfügar, die eine remote, leicht auszunutzende Lücke im Reporting ...

Microsoft Office

Microsoft warnt: Office 365 am 29. Februar leider nicht nutzbar

Information von Lochkartenstanzer vor 23 StundenMicrosoft Office8 Kommentare

Moin, Wie die Überschrift schon sagt, gibt es offensichtlicham 29. februar ein Problem: Microsoft warnt: Office 365 am 29. ...

Netzwerkmanagement
Siemens Switche initial konfigurieren
Tipp von brammer vor 1 TagNetzwerkmanagement2 Kommentare

Hallo, Bisher gab es für Siemens Switche die Möglichkeit die initiale Konfiguration über den Simatic Manager oder das Primary ...

Heiß diskutierte Inhalte
Windows Server
Active Directory: Fehler beim Re-Promoten eines Servers
Frage von jordelWindows Server38 Kommentare

Hallo zusammen, Wir hatten einige Replikationsprobleme, weshalb ich gestern Nacht einen Domain Controller erst demoten und danach wieder promoten ...

PHP
Dynamisches Array erstellen in PHP
Frage von Xaero1982PHP21 Kommentare

Moin Zusammen, ich bräuchte mal einen Geistesblitz. Ich habe ganz viele Daten in einer MongoDb. Ich möchte diese Daten ...

Microsoft Office
Welches MS Office Lizensmodell für 7 Arbeitsplätze in kleinen Unternehmen
Frage von harbyadmMicrosoft Office20 Kommentare

Hallo, Ich frage Euch welches Lizensmodell das günstigste ist.? ich benötige für z.Zeit 7 ARBEITSPLÄTZE , alles Windows 8-10, ...

Windows 8
Die digitale Signatur dieser Datei kann nicht überprüft werden
Frage von LochkartenstanzerWindows 820 Kommentare

Moin, Seit gestern ärgere ich mich mit einem verkorksten Windows 8 herum. Bei vielen EXE-Dateien starten will, kommt die ...