akar00
Goto Top

Routen mehrerer Subnetze über eine VPN-Verbindung mit Lancom und Zyxel

Seit ein paar Jahren läuft bei mir eine stabile Site-to-Site Verbindung der Subnetze zweier Standorte A und B. In A steht ein LANCOM 1631E und in B ein Zyxel ZyWALL USG20. Der Negotiation Mode war Main. Der Lancom hängt hinter einer Digitalisierungsbox Premium und der Zyxel hinter einer FritzBox am Internet. Konfiguriert ist es wie hier gezeigt, nur mit strengerer Verschlüsselung: https://www.youtube.com/watch?app=desktop&v=f7L0lehn5-c

Jetzt gibt es die neue Anforderung, dass man aus Subnetz A zusätzlich auf zwei andere Subnetze C und D zugreifen können muss. Diese sind über einen anderen Router erreichbar, der in Subnetz B hängt. D.h., die Subnetze C und D müssen auch durch den Tunnel geroutet werden.

Im Lancom habe ich dazu IPv4 Regeln konfiguriert, wie hier beschrieben:
https://support.lancom-systems.com/knowledge/pages/viewpage.action?pageI ...
show vpn zeigt die drei dann auch korrekt an.

Im Zyxel ist es nicht möglich, mehr als ein Subnetz pro Tunnel zu konfigurieren. Siehe https://support.zyxel.eu/hc/en-us/articles/360001378873#h_01GV0FHHA4FHV3 ... und https://support.zyxel.eu/hc/de/articles/360001440613-Richtlinienrouten-U ...

Als Workaround soll man Richtlinien-Routen konfigurieren. Leider habe ich das trotz vielen Probierens nicht zum Laufen bekommen. Mir scheint, das funktioniert nur, wenn Zyxel an beiden Enden sind.
Es ist auch nicht möglich, nur ein Subnetz mit einer weiteren Netzmaske zu konfigurieren, da die IP-Adressbereiche der drei Netze völlig unterschiedlich sind.

Letztlich habe ich drei separate VPN-Verbindungen konfiguriert, eine für jedes Subnetz. Das ist leider aus folgenden Gründen unbefriedigend:
- Die Lizenz des Lancom ist auf drei VPN-Verbindungen limitiert. Da ich noch einen weiteren VPN-Client zum Zugriff aus dem Home Office brauche, konnte ich ein Subnetz bisher nicht konfigurieren.
- Es funktioniert nur im Aggressive Negotiation Mode. Der Verbindungsaufbau dauert zumindest bei der zweiten Verbindung lange und passiert erst, wenn der erste Client sich verbinden will. Wie kann man einen automatischen Verbindungsaufbau konfigurieren?

Hat jemand Erfahrungen mit dem Routen mehrerer Subnetze über eine VPN-Verbindung mit Lancom und Zyxel? Wie genau muss die konfiguriert werden? Oder muss ich wirklich den Zyxel durch einen Lancom ersetzen?

Vielen Dank!

Content-ID: 11596567790

Url: https://administrator.de/contentid/11596567790

Ausgedruckt am: 22.11.2024 um 12:11 Uhr

Visucius
Visucius 27.11.2023 um 08:16:53 Uhr
Goto Top
Die Kollegen werden wohl wissen wollen welches VPN-Protokoll Du einsetzt.
aqui
aqui 27.11.2023 aktualisiert um 09:51:49 Uhr
Goto Top
Ja, muss man leider wieder kristallkugeln aber bei der Hardware, dem Schlüsselwort "Main Mode" und dem Fehlerbild spricht vieles für IPsec.
Damit ist dann auch klar das mit Routen an sich die Thematik nicht zu lösen ist.
Bekanntlich wird der relevante Traffic den IPsec in den Tunnel forwardet immer mit den Phase 2 SAs definiert. Im Zyxel VPN Gateway, Address Rule. Hier müssen auf beiden Seiten für die Netze C und D einfach 2 SAs dazugetragen werden und fertig ist der Lack.
Hier findest du ein paar Threadbeispiele zu der Thematik.
2 PfSensen mit OpenVPN verbinden 1x Server 1x Client (Hier P2 Policy des Mikrotik!)
PfSense IPsec hub and spoke

Es wäre sehr außergewöhnlich wenn sich auf der Zywall nicht mehrere Phase 2 SAs definieren liessen, denn das kann sogar jeder China Router vom Grabbeltisch.
Sollte das wider Erwarten doch der Fall sein musst du die Phase 2 mit der Subnetzmaske etwas erweitern um alle 3 Netze B, C und D in eine CIDR Range zu bringen für die SA Definition.
Beispiel:
Die 3 Netze sind z.B. 172.16.10.0 /24, 172.16.20.0 /24 und 172.16.60.0 /24 dann kannst du die Phase 2 SA auf beiden Seiten mit einem 18 Bit Prefix auf 172.10.0.0 /18 (255.255.192.0) definieren um alle diese 3 Netze mit nur einer P2 SA in den Tunnel zu routen.

Die grundsätzliche Frage die sich stellt ist, warum du solch einen Frickelkram auf beiden Seiten mit überflüssigen Router Kaskaden überhaupt machst?! Beide Router, Digitalisierungs- und Fritzbox, sind beides aktive VPN Router die sich auch problemlos per IPsec VPN im Main Mode direkt koppeln lassen würden um so ein deutlich effizienteres und aus Betriebskosten sparsameres VPN zu betreiben. Beide supporten zudem mehrere P2 SAs. (Siehe auch hier)
Auch Lancom und Zywall könnte man kaskadenfrei betreiben. Aber warum einfach und effizent machen wenn es umständlich und teuer auch geht... face-wink
akar00
akar00 27.11.2023 um 10:23:53 Uhr
Goto Top
Ja, es ist IPsec.

Was der Zyxel nicht kann, hatte ich oben verlinkt. Zitat: "On Zyxel firewalls, there is a limitation where you cannot select several subnets in a VPN tunnel. The local policy (subnet) and remote policy (subnet) can only be configured with one subnet each." Ich denke, das ist das was Du mit SAs meinst.

Dass das mit dem verkürzten Prefix nicht geht, hatte ich auch oben geschrieben. Es geht um die Netze 192.168.1.0/24, 100.102.0.0/15 und 188.144.0.0/15.

Zum Frickelkram: Es gibt natürlich noch weitere Anforderungen, auf die ich hier nicht näher eingegangen bin, weil sie hier irrelevant sind, z.B. integrierte Telefonanlage und WLAN. Das können weder dieser Lancom, noch dieser Zyxel. Die Kaskade ist für dieses Problem hier eigentlich irrelvant. Ich habe sie nur der Vollständigkeit halber erwähnt.
aqui
aqui 27.11.2023 um 10:48:35 Uhr
Goto Top
2 öffentliche IP Netze in einem VPN?? 🤔
Nundenn... dann bist du zumindestens mit der Zywall dann chancenlos das zum Laufen zu bringen zumindestens mit der Ausstattung, die mit der Gängelei dann eigentlich eine Frechheit ist!
Ersetze die mit einer pfSense oder OPNsense oder einem Mikrotik und schon ist dein Problem umfassend gelöst. Oder...kaufe teure Lizenzen und unterstütze dieses Modell weiter. face-sad
akar00
akar00 27.11.2023 um 11:10:12 Uhr
Goto Top
Es geht hier um die sogenannte TI-Infrastruktur. Diese Netze existieren bundesweit, sind aber vom Internet abgekoppelt. Wenn ich diesen Verkehr nicht über das VPN leiten würde, müsste ich einen weiteren sehr teuren sogenannten Konnektor für Standort A anschaffen.

In einem anderen Forum habe ich die Anregung bekommen, für den Tunnel 0.0.0.0/0 zu konfigurieren und den Rest über Routing-Regeln zu regeln. Für den Lancom ist das einfach, aber beim Zyxel bin ich mir nicht sicher, wie genau dort das Routing konfiguriert werden muss, damit der "normale" Verkehr weiterhin über die FritzBox ins Internet geht und nur der Verkehr für 192.168.0.0/24 (Subnetz Standort A) und die beiden gesicherten Netze in den Tunnel gehen.
aqui
aqui 27.11.2023 aktualisiert um 11:57:52 Uhr
Goto Top
Es geht hier um die sogenannte TI-Infrastruktur.
OK, das ist dann natürlich OK.
die Anregung bekommen, für den Tunnel 0.0.0.0/0 zu konfigurieren
Kann man machen und wäre eine mögliche Workaround Lösung allerdings sollte man dann immer auf dem Radar haben das damit dann sämtlicher Traffic der Location A durch den Tunnel geht und an B ausgekoppelt wird. Man ist also vollständig auf B angewiesen.
Normal sind die P2 SAs (und dazu gehört auch ein Redirect) vom Routing abgekoppelt. Einige FW Hardware Plattformen bieten die Option lokale Netze dann vom Gateway Redirekt auszunehmen was sich aber einzig auf lokale Netze aber nicht auf remote Netze bezieht.
Es ist also mehr als fraglich ob lokales Routing die Redirect SA überwindet. Du müsstest dann mit einer Policy Based Routing Route Map sagen das alles was nicht 192.168.1.0/24, 100.102.0.0/15 und 188.144.0.0/15 ist als next Hop Gateway die Provider Gateway IP oder das Interface Internet verwenden soll.
Ob das aber klappt und die Zywall überhaupt PBR kann musst du klären.

Vermutlich wird es langfristig gesehen deutlich besser und technisch sauberer sein die Zywall gegen eine Standard konforme Firewall wie OPNsense oder pfSense o.ä. zu tauschen um sich all dieser proprietären Zywall IPsec Hürden zu entledigen. Die P2 SAs so zu limitieren und Endanwender zu gängeln ist ein Unding und NoGo.
akar00
Lösung akar00 28.11.2023 um 13:52:11 Uhr
Goto Top
Ich habe es geschafft:

LANCOM
  • Local Policy: 192.168.0.0/24
  • Remote Policy: 0.0.0.0/0
  • Routen für 192.168.1.0/24, 100.102.0.0/15 und 188.144.0.0/15 in den Tunnel

Zyxel
  • Local Policy: 0.0.0.0/0
  • Remote Policy: 192.168.0.0/24
  • Es sind keinerlei Policy Routes nötig, lediglich zwei statische Routen für 100.102.0.0/15 und 188.144.0.0/15 zum dritten Router.

In beiden Standorten geht der andere Verkehr direkt ins Internet.

Auf der LANCOM Seite gibt es beim Verbindungsaufbau lediglich diese reproduzierbaren Fehler:
2023-11-28 00:54:27 LOCAL0 Fehler last message repeated 2 times
2023-11-28 00:54:07 LOCAL0 Fehler VPN: Error for peer VPN_2_USG: IPSEC-I-No-proposal-matched
2023-11-28 00:54:04 AUTH Hinweis Successfully connected to peer VPN_2_USG
2023-11-28 00:54:02 LOCAL0 Fehler VPN: Error for peer VPN_2_USG: IPSEC-I-No-proposal-matched

Das kann ich mir noch nicht erklären, da die Proposals beider Seiten gleich konfiguriert sind. Aber es funktioniert trotzdem.

Vielen Dank für die Diskussion!
aqui
aqui 28.11.2023 aktualisiert um 15:54:25 Uhr
Goto Top
👏 👍
Das "No-proposal-matched" bedeutet das die Krypto Policies nicht übereinstimmen mit dem Gegenüber. Das kann aber normal sein wenn du wie üblich mehrere Policies anbietest von denen das Gegenüber ggf. einige nicht kennt und dann nur diese Unbekannten anmeckert. Manche bieten per Default oft noch solche Steinzeit Verfahren wie DES oder 3DES an die andere schon längst rausgeschmissen haben so das es je nach Logging dann zu solchen Meldungen kommen kann.
Das er dann "Successfully connected to peer VPN_2_USG" sagt, zeigt aber das es zumindestens eine Policies gibt die auf beiden Seiten gemensam ist und die Peers sich einigen konnten. Im Endeffekt also OK.
Interessant (und auch etwas gruselig) ist das der Lancom trotz Gateway Redirect mit 0.0.0.0/0 dennoch statische Routen benötigt und lokalen Traffic dennoch nicht in den Tunnel routet was sehr unüblich ist in eine Redirect Setup. Aber nundenn...wenns klappt ist ja alles gut?! face-wink
sk
sk 28.11.2023 aktualisiert um 18:04:36 Uhr
Goto Top
Zitat von @aqui:
Es wäre sehr außergewöhnlich wenn sich auf der Zywall nicht mehrere Phase 2 SAs definieren liessen
Nur zur Klarstellung: Selbstverständlich kann man auf der ZyWALL derselben IKE-Policy (Phase 1) mehrere IPSec-Policies (Phase 2) zuordnen. Aber dafür muss man eben - anderes als beim LANCOM - auch mehrere komplette Phase2-Policies erstellen. In der GUI des LANCOM ist das oberflächlich betrachtet etwas einfacher. "Unter der Haube" passiert aber auch beim LANCOM letztlich nichts anderes. Hätte man dies so konfiguriert (und das wäre naheliegend gewesen, weil dies standardkonform und "der kleinste gemeinsame Nenner" zwischen IPSec-Gateways verschiedener Hersteller ist), wären letztlich 3 parallel aktive IPSec-SAs etabliert worden. Das hätte vermutlich problemlos funktioniert (im Übrigen auch im Main-Mode statt Aggressive-Mode). Das Problem ist jedoch, dass üblicherweise die kommerziellen Gateways eine lizenztechnische Beschränkung bzgl. der maximalen Anzahl der parallel aufgebauten IPSec-SAs haben - schliesslich soll man bei höherem Bedarf auch das entsprechend teurere größere Modell oder ein Lizenzupgrade erwerben... Die USG20 war zu Beginn auf 10 parallele IPSec-SAs beschränkt - später wurde das meiner Erinnerung nach auf 20 aufgebohrt. Die ZyWALL wäre also nicht das Problem gewesen, sondern der LANCOM, der auf lediglich 3 parallele IPSec-SAs limitiert ist. Für die hier in Rede stehende Site-to-Site-Verbindung hätte das gereicht, aber der TO hat ja am LANCOM auch noch einen Tunnel Richtung Homeoffice terminiert. DAS war sein Kernproblem - was sich aber dadurch lösen liess, dass beide Gateways es zulassen, auch Traffic welcher nicht in der Phase2-Policy explizit beschrieben ist, per Policyrouting zwangsweise durch den Tunnel zu schieben.

Und wenn wir schon mal beim Klug###ern sind...
@akar00: Sowohl der LANCOM als auch die ZyWALL sind EOL und erhalten regulär keine Firmwareupdates mehr. Diese Geräte weiterhin produktiv zu nutzen, erscheint fahrlässig - erst recht bei einer Zusammenschaltung mit der TI.

Gruß
sk
akar00
akar00 28.11.2023 um 20:15:45 Uhr
Goto Top
@sk: Ja, die Diskussion mit den 3 Tunneln hatten wir weiter oben und das Lizenz-Limit der LANCOM war das Aus. Aber auch so erschien mir die Lösung nicht stabil. Ich hatte final drei völlig unterschiedliche Konfigurationen für die drei Tunnel für beide Phasen. Und der Verbindungsaufbau dauerte länger und ging nur im Aggressive Mode. Der Zyxel hat immer eine Warnung gebracht, dass duplizierte Konfigurationen da sind. Das kann nur noch am Hostnamen des Remote-Gateway gelegen haben. Aber der ist nun mal zwingend derselbe.

Eine Diskussion über die TI führt hier eigentlich zu weit. Jetzt geht es ums Überleben bis 2025 bis dann hoffentlich die TI 2.0 ohne diese Konnektoren kommt. Meine Investitionsbereitschaft hält sich in Grenzen, wenn ständig neue teure Hardware in den Markt gedrückt wird z.B. durch Ablauf von Hardware-Zertifikaten oder neue politische Entscheidungen. Der LANCOM und der Zyxel sind Überbleibsel des Vorläufers der TI, der nach nur 2 oder 3 Jahren abgelöst wurde. Da können sie sich wenigstens jetzt nochmal nützlich machen.

@aqui: Der LANCOM hat tatsächlich noch Default-Einstellungen. Aber die sind es definitiv nicht. Ansonsten habe ich auf beiden Seiten nur einen Proposal konfiguriert. Wo die also herkommen, ist mir noch nicht klar. Vielleicht hat der Zyxel hart codierte?

Für die Konfiguration der Routen im LANCOM gibt es nur eine Seite. Dort werden offenbar Policy Routen und statische unter der Haube gemixt. Wie gesagt, für dieses Thema sind nur die drei Policy Routen für die drei Subnetze durch den Tunnel angelegt worden. Insofern passt das m.E.
aqui
aqui 28.11.2023 um 22:10:40 Uhr
Goto Top
Danke nochmal an @sk für die Details! Wirft etwas mehr Licht auf die Thematik. Das auch da lizenztechnisch schon Hand angelegt wird ist bedenklich und 3 als Limit eigentlich frech. Gut, über EoL Hardware muss man dann auch nicht mehr groß meckern. Verglichen damit ist im Vergleich Cisco auch mit älteren 880er EoL Routern ja liberal ohne SA Limits... 😉
sk
sk 29.11.2023 aktualisiert um 00:29:06 Uhr
Goto Top
Zitat von @akar00:
Ja, die Diskussion mit den 3 Tunneln hatten wir weiter oben und das Lizenz-Limit der LANCOM war das Aus. Aber auch so erschien mir die Lösung nicht stabil. Ich hatte final drei völlig unterschiedliche Konfigurationen für die drei Tunnel für beide Phasen. Und der Verbindungsaufbau dauerte länger und ging nur im Aggressive Mode. Der Zyxel hat immer eine Warnung gebracht, dass duplizierte Konfigurationen da sind. Das kann nur noch am Hostnamen des Remote-Gateway gelegen haben. Aber der ist nun mal zwingend derselbe.

Die Lösung war nicht stabil und lief nur im Aggressive Mode, weil Deine Konfiguration falsch war. Der Fehler war, dass Du auf der ZyWALL drei parallele Gateway-Policies (Phase 1/IKE-SA) für das gleiche Remote-Gateway konfiguriert hast. Wie soll die Box da die richtige Policy während des Handshakes auswählen? Vermutlich hast Du den dämlichen Konfigurationsassistenten benutzt - dann kommt soetwas dabei heraus...
Richtig wäre gewesen, lediglich zwei zusätzliche VPN-Policies (Phase 2/IPSec-SA) zu konfigurieren und diese einfach an die bereits vorhandene (und eindeutige) Gateway-Policy zu binden.

Freilich nützt Dir das aber nichts, wenn das Limit des LANCOM bei 3 parallelen VPN-Tunneln liegt. Allerdings ist es nicht bei allen Herstellern so, dass das Limit nach der Anzahl der IPSec-SAs berechnet wird - manche berechnen auch nach der Anzahl unterschiedlicher VPN-Peers bzw. IKE-SAs (z.B. Cisco Firepower). Wie der LANCOM diesbezüglich "tickt", weiss ich leider nicht. Da das Limit aber so auffällig niedrig gesetzt ist, würde es mich nicht wundern, wenn letzteres der Fall wäre. "Versuch macht kluch..."

Gruß
sk
akar00
akar00 29.11.2023 um 09:20:20 Uhr
Goto Top
Natürlich hatte ich damit angefangen, nur drei Phase 2 Konfigurationen anzulegen und eine Gateway-Konfiguration. Es ging aber nicht, warum auch immer. Erst dann habe ich angefangen, mehrere Gateway-Konfigurationen anzulegen. Auch die Lizenz-Warnungen kamen nicht immer. Insofern war es sehr mühsam und aufwendig. Nein, den Assistenten hatte ich nicht benutzt. Auch im LANCOM hatte ich Proposals für verschiedene Verbindungen genutzt. Und es ging nicht, warum auch immer. Erst als alle Konfigurationen getrennt waren, lief es.

Aber ungeachtet dessen ist doch eine Lösung mit nur einem Tunnel ohnehin besser als eine mit dreien, oder?
aqui
aqui 29.11.2023 um 11:05:54 Uhr
Goto Top
ohnehin besser als eine mit dreien, oder?
Das ist Unsinn, denn die SAs haben keinen Bezug zur Anzahl der Tunnel. Auch da ist es nur ein Tunnel aber mit 3 SAs dann eben. Aggressive Mode ist auch nur bedingt sicher, besonders im TI Umfeld aber wenn du damit leben kannst...warum nicht.
akar00
akar00 29.11.2023 aktualisiert um 12:19:49 Uhr
Goto Top
Naja, die in den Konfigurationsoberflächen verwendete unterschiedliche Terminologie verbessert nicht unbedingt das Verständnis. Im Zyxel heißt die Phase 1 Konfiguration z.B. "VPN-Gateway" und die Phase 2 Konfiguration "VPN-Verbindung". Da kann man schon auf die Idee kommen, dass die Phase 2 Konfiguration dem Tunnel entspricht. Übrigens spricht auch sk oben von 3 Tunneln.

Aber was ist denn nun der Vorteil von 3 SAs im Vergleich zu meiner Lösung mit 0.0.0.0/0 und nur einem SA? Beide arbeiten im Main Mode. Und die Konfiguration von 3 SAs auf beiden Seiten ist definitiv aufwendiger als von 2 Policy Routes auf nur einer Seite, insbesondere im LANCOM.

Übrigens propagiert Zyxel selbst (siehe Links am Anfang) Policy Routes für diesen Fall.
sk
sk 30.11.2023 aktualisiert um 12:23:30 Uhr
Goto Top
Zitat von @akar00:
Zitat von @aqui:
Zitat von @akar00:
Aber ungeachtet dessen ist doch eine Lösung mit nur einem Tunnel ohnehin besser als eine mit dreien, oder?
Das ist Unsinn, denn die SAs haben keinen Bezug zur Anzahl der Tunnel. Auch da ist es nur ein Tunnel aber mit 3 SAs dann eben.
Naja, die in den Konfigurationsoberflächen verwendete unterschiedliche Terminologie verbessert nicht unbedingt das Verständnis. Im Zyxel heißt die Phase 1 Konfiguration z.B. "VPN-Gateway" und die Phase 2 Konfiguration "VPN-Verbindung". Da kann man schon auf die Idee kommen, dass die Phase 2 Konfiguration dem Tunnel entspricht. Übrigens spricht auch sk oben von 3 Tunneln.

In der Tat sind die Begrifflichkeiten nicht bei allen Herstellern konsistent, was zu Missverständnissen führen kann. Auch ist die GUI der ZyWALL in diesem Punkt schon durchaus speziell. Ich hatte deshalb obenstehend versucht, durch Erläuterungen in den Klammern kenntlich zu machen, was an der jeweiligen Stelle konfiguriert wird. Auch habe ich eigentlich versucht, den Terminus "Tunnel" im Kontext der Limitierungen so gut es geht zu vermeiden und klargestellt, dass eventuelle Limitierungen je nach Hersteller unterschiedlich ausgestaltet sein können: Manche Hersteller limitieren z.B. die maximale Anzahl der VPN-Peers, andere zählen hingegen die Anzahl der parallel etablierten Phase2-SAs.
Die ZyWALLs machen m.W. letzteres - jedenfalls zeigen sie im VPN-Monitor jede etablierte Phase2-SA separat und mit jeweils eigenen Countern an. Daran aber die Limitierung festzumachen, finde ich allerdings auch nicht schlüssig, da sie es - anders als die ZyNOS-basierenden Vorgängermodelle - zulassen, per Policyroute auch IP-Traffic "hindurch zu schieben", der gar nicht in dieser Phase2-SA definiert ist. Vermutlich ist auch das - wie viele Begrifflichkeiten und Vordefinitionen in der GUI der kleineren Geräte der Linux-basierenden Modellreihen - ein Überbleibsel bzw. "Erbe" aus der alten ZyNOS-Geräteserie.

Zitat von @akar00:
Aber was ist denn nun der Vorteil von 3 SAs im Vergleich zu meiner Lösung mit 0.0.0.0/0 und nur einem SA? Beide arbeiten im Main Mode. Und die Konfiguration von 3 SAs auf beiden Seiten ist definitiv aufwendiger als von 2 Policy Routes auf nur einer Seite, insbesondere im LANCOM.
Ich fürchte, da liegt ein Missverständnis vor:
Zum Zeitpunkt meines Einsteigens in diesen Thread, hattest Du schon eine funktionierende Lösung gefunden. Mir ging es eigentlich nur um die Klarstellung, dass es auch auf der ZyWALL möglich ist, mehrere Remote-Netze in Richtung des selben VPN-Peers zu konfigurieren. Das war von Dir zuvor etwas missverständlich dargestellt worden und aqui hatte sich in Unkenntnis der ZyWALL darüber gewundert, dass dies nicht möglich sein soll.
Es war nicht meine Intention, die bereits gefundene Lösung als nachteilig zu qualifizieren und Dich zu einem anderen Lösungsweg zu bewegen. Wenn das so stabil und ohne negative Seiteneffekte funktioniert, dann ist alles prima und diese Umsetzung zweifelohne auch eleganter, als drei separate Phase2-Policies. Es hätte aber auch anders laufen können: Die Verwendung von 0.0.0.0/0 als Remote-Netz hätte auch dazu führen können, dass der LANCOM ungewollt sämtlichen Traffic an Ziele, zu denen er keine andere höherwertige Route kennt, in den VPN-Tunnel leitet. Dann wäre im Zweifel der andere Lösungsansatz als ein dem Standard entsprechender "kleinster gemeinsamer Nenner" zwischen VPN-Gateways verschiedener Hersteller zu verfolgen gewesen.

Gruß
sk
akar00
akar00 30.11.2023 aktualisiert um 14:30:25 Uhr
Goto Top
Super dann sind wir uns einig. Nur eines noch: Mir ist es nicht gelungen, Verkehr per Policy Route in eine Verbindung zu schieben, die dafür nicht konfiguriert ist. Das ging erst mit 0.0.0.0/0 als Remote bzw. Local Network in der SA-Konfiguration. Und dann darf da auch alles durch. Die Policy Routes begrenzen das dann auf die tatsächlich gewünschten Netze. Der Hinweis, dass die Netzwerkmaske dann entsprechend grob gewählt werden muss, fehlt leider in den oben verlinkten Zyxel-Seiten.

Gruß
akar00
sk
sk 01.12.2023 aktualisiert um 13:28:51 Uhr
Goto Top
Hallo Akar,
nein da liegst Du falsch - sowohl was die ZyWALL generell als auch dieses konkrete Szenario betrifft.

Zum Generellen:
Bei den ZLD-basierten ZyWALLs kann man definitiv per Policyroute auch solchen Traffic durch den Tunnel leiten, der nicht von der Phase2-Policy abgedeckt ist - das hab ich dutzende Male so gemacht. Dafür muss allerdings die Option "Policy-Enforcement" in der Phase2-Policy deaktiviert sein (was bei einem Site-to-SiteVPN aber die Default-Einstellung ist). Zu einer funktionierenden Konfiguration führt dies aber nur dann, wenn auch die Gegenstelle dies so akzeptiert sowie auch den Antworttraffic wieder koŕrekt zurück routet. Da dies aber nicht dem Standard entspricht, funktioniert dies häufig nur zwischen zwei ZyWALLs. Deshalb schrieb ich oben vom "kleinsten gemeinsamen Nenner"...

In dem konkret hier in Rede stehenden Szenario brauchst Du auf ZyWALL-Seite keine Policyroute, weil die gewählte Phase2-Policy ja sämtlichen gewünschten VPN-Traffic erfasst: das Remote-Netz hinter dem LANCOM ist klar definiert und als lokales Netz wurde "any" gewählt. Rein bezogen auf die ZyWALL-Seite würde es aber durchaus auch mit einer "engeren" Phase2-Policy in Kombination mit einer dies übersteuernden Policyroute funktionieren. Nur kann der LANCOM damit umgehen? DAS ist die entscheidende Frage, in diesem Szenario!! Ich kenne mich mit LANCOM nicht aus. Vermutlich haben Dir die LANCOM-Spezis aber nicht ohne Grund dazu geraten, das Remotenetz der Phase2-Policy auf "any" zu setzen.

Gruß
sk