kappler
Goto Top

Route im Standardgateway zu unterlagertem VPN-Gateway

Guten Tag,

ich komme aus der Automatisierungsbranche und habe leider ein kleines Problem mit einer VPN-Verbindung bzw. mit der Route durch den Tunnel.

Im Anhang ist eine kleine Skizze zum Netzaufbau. Im Endeffekt soll eigentlich nur die linke SPS mit der rechten SPS kommunizieren, doch das klappt leider nicht.

Wenn ich im linken Windows-PC die Route anlege (route add 172.16.0.0 mask 255.255.255.0 192.168.100.11), kann ich von diesem die 172.16.0.1 und .20 und .102 pingen. Wenn ich es aber ohne die Windows-Route und nur mit der roten Route versuche, geht nichts. Über die Website des Mguard (=ein Router) kann man auch den Mguard selbst pingen lassen und der Ping zu 172.16.0.1 usw. geht.

Auf Nachfrage beim Hersteller des Mguard wurde mir mitgeteilt, dass es vom linken PC deshalb nicht klappt, da die Anzahl der Hops auf dem Hinweg nicht gleich der auf dem Rückweg ist. Auf dem Hinweg muss das Paket vom linken PC erst zum Mguard, dann zum linken VPN-Router und dann zum rechten VPN-Router. Auf dem Rückweg kann das Paket vom linken VPN-Router direkt zum linken PC, d.h. auf dem Rückweg ist's ein Hop weniger.

Problem ist, dass ich in der linken SPS keine Routen anlegen kann, die Route muss im Mguard eingetragen werden. Außerdem kommt der grüne Bereich von einer anderen Firma, hier können wir keinen Einfluss nehmen.

Wie könnte man das lösen? Ich hab leider keine Idee mehr... ­čśÁ


Besten Dank für jede Hilfe ­čÖé­čÖé und noch ein schönes Wochenende
skizze

Content-Key: 74001134517

Url: https://administrator.de/contentid/74001134517

Printed on: February 23, 2024 at 07:02 o'clock

Mitglied: 7907292512
7907292512 Oct 21, 2023, updated at Oct 22, 2023 at 07:19:18 (UTC)
Goto Top
Moin.
Dann sind auf dem VPN-Router wohl ICMP Redirect Messages deaktiviert oder die SPS nimmt diese nicht an weil deaktiviert, denn sonst würde das Szenario nämlich out of the box problemlos funktionieren!
Wenn du auf den VPN-Router keinen Einfluss hast und keine Route auf der SPS erstellen kannst dann,

Workaround 1:
Erstelle eine SOURCE-NAT bzw. Masquerade Regel (SRC-IP umschreiben auf die IP des mGuard) am mGuard für Pakete die in das VPN-Netz fließen, dann fließen die Pakete von der SPS immer über den mGuard und auch über diesem zurück zur SPS.

Workaround 2:
Erstelle zwischen VPN-Router und mGuard ein weiteres kleines separates Subnetz.
https://networkguy.de/the-problems-with-asynchronous-routing/

Gruß Sid.
Member: aqui
aqui Oct 22, 2023 updated at 12:46:14 (UTC)
Goto Top
Auch hilfreich zu der Thematik:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router

Zur Lösung hat Kollege @7907292512 schon alles gesagt. ICMP Redirect ist das Zauberwort.