Routing über 3 Netze (mit VPN Gateway)

Mitglied: HScomputer

HScomputer (Level 1) - Jetzt verbinden

27.11.2015 um 08:26 Uhr, 1272 Aufrufe, 15 Kommentare

Ich hoffe, keine bereíts gegebene Lösung für mein Problem übersehen zu haben. Hier mein Problem:

Ich habe 2 Standorte über einen VPN-Gateway verbunden, auf der einen Seite gibt es ein Netzsegment, auf der anderen 2 Segmente. Im Moment stehe ich völlig auf dem Schlauch, da ich es nicht hinbekomme, vom 1. Standort bis ins zweite Segment am 2. Standort zu routen (und vice versa).

Nachfolgend zur Verdeutlichung skizziert:

Netz 1 <---> VPN Gateway1 <--> (INet) <--> VPN Gateway2 (<-DefaultGW) - ((Server A W2k8r2) - Netz 2+3) - (<-DefaultGW) - ((Server B W2K12R2) - Netz 3)

  • Ich komme von Netz 1 problemlos bis zu Server A
  • von Netz 2 (Server A) sind alle Ziele erreichbar
  • ebenso von Netz 3 (Server B) ins INet
  • aber keine Verbindung von Netz 1 zu Netz 3 (Server B) und natürlich auch nicht zurück

Die Gateways haben statische Routen zu den notwendigen Zielen (GW2 z.b. Route nach Netz 3 über Server A).
Server A hat zwei NW-Karten zu Netz 2 und Netz 3, Server B hat nur eine aktive NW-Karte.
Routing/IP Forwarding ist auf Server A aktiviert.

Bin ich nur zu Blind, oder hat der W2K8R2 (mir nicht bekannte) Routing-Probleme?

Für einen Tipp wäre ich dankbar.
Mitglied: killtec
27.11.2015 um 08:55 Uhr
Hi,
das klingt nach einem FW und Routing Problem.
1. müssen die Router das andere Netz (3) kennen. Dann müssen die Firewalls richtig konfiguriert sein.

Gruß
Bitte warten ..
Mitglied: Th0mKa
27.11.2015 um 09:11 Uhr
Moin,

du brauchst in der VPN Tunnel Konfiguration auch eine Phase 2 zwischen Netz 1 und Netz 3, ist das gegeben?

VG,

Thomas
Bitte warten ..
Mitglied: aqui
27.11.2015 um 10:58 Uhr
Ich habe 2 Standorte über einen VPN-Gateway verbunden
Ist das "VPN Gateway" auch gleichzeitig der Router oder die Firewall wie es gemeinhin üblich und sinnvoll ist oder realisierst du den Tunnel über eine Software (Server etc.) hinter dem NAT Router ??
Das ist aus deiner obigen Beschreibung nicht klar ersichtlich.
Desweiteren wäre hilfreich zu wissen welches VPN Protokoll du verwendest ? (IPsec, L2TP, PPTP, SSL etc.)

Bei den Komponeten wo es nicht geht:
  • Was sagt ein Traceroute oder Pathping ? Wo an welchem Knoten geht es nicht mehr weiter.
  • Was zeigt die Routing Tabelle an an diesem Knoten wo es kneift ? Ist das Zielnetz in der Routing Tabelle vorhanden ?
  • Rennt auf diesem Knoten ggf. eine lokale Firewall oder ist dieser Knoten eine Firewall wo Zugriffsregeln auf das Zielnetz fehlen ?

Diese Fragen hast du ebenfalls nicht beantwortet...
Bitte warten ..
Mitglied: HScomputer
28.11.2015 um 02:26 Uhr
Die Routen sind eingetragen, die Firewalls für den notwendigen Dienst freigegeben.
Bitte warten ..
Mitglied: HScomputer
28.11.2015 um 02:27 Uhr
das verstehe ich ehrlich gesagt nicht....
Bitte warten ..
Mitglied: HScomputer
28.11.2015 um 02:49 Uhr
Die VPN Gateways sind Router und haben ja auch keine Probleme, die jeweilige Gegenseite zu erreichen. Ich habe den VPN Tunnel über zwei Cisco RV042G realisiert, verwende also keine VPN-Software. Die Konfiguration bei den Ciscos für einen VPN-Tunnel zwischen den Gateways ist nur über IPSec möglich (somit eben darüber konfiguriert).

Wie oben schon gesagt, hakt es am Server A, der eben das Routing zum Netz 3 (und zurück) übernehmen sollte. da er zum Gateway-Tunnel schon den Default Gateway hat und Netz 3 über die zweite NW-Karte erreicht, da sie im selben Netz liegt, sollte er alle Wege kennen. Auf der Firewall sind die Wege freigegeben.

In der Routing-Tabelle von Server A sind die Wege zu Netz 3 und Netz2 aufgelistet und zusätzlich der Default Gateway über den VPN-Router.

Im Netz 1 (bzw. auf dem Rechner im Netz 1, der Netz 3 erreichen soll) ist eine Route eingetragen die auf Netz 3 zeigt (GW ist der Router (Cisco) im Netz 2, der ebenfalls die Route zu Netz 3 kennt.

Zur Not kann ich das hier auch mit den entsprechenden IPs auflisten wenn das hilft.

(danke schon mal für die Antworten)

VG
Bitte warten ..
Mitglied: aqui
28.11.2015, aktualisiert um 14:56 Uhr
Ich habe den VPN Tunnel über zwei Cisco RV042G realisiert, verwende also keine VPN-Software.
Doch, du verwendest die embeddete IPsec VPN Software auf den Routern ! ;-) face-wink

Nochmal zur Klarstellung: Dein Netzwerk sieht so aus, richtig ??

3d867ac265c6106cefe7886ba6d71b15 - Klicke auf das Bild, um es zu vergrößern

Die ToDos sind:
  • VPN Router 1 muss Netz 2 und Netz 3 in den VPN Tunnel routen (Routing Tabelle !)
  • VPN Router 2 muss Netz 1 in den VPN Tunnel routen und muss zusätzlich eine statische Route zu Netz 3 via LAN Port Netz 2 Server konfiguriert haben (Routing Tabelle !)
  • Server braucht an LAN Port Netz 2 lediglich ein Default Gateway auf VPN Router 2. LAN Port Netz 3 darf KEIN Gateway eingetragen haben !
  • Der Server muss IPv4 Forwarding aktiviert haben und die lokalen Firewall müssen alle 3 Netze passieren lassen dort ! Siehe dazu auch: https://www.administrator.de/wissen/routing-2-netzwerkkarten-windows-u-l ...
  • Ping und Traceroute von Endgerät Netz 3 an LAN Port 2 und 3 des Servers muss möglich sein !
  • Ping und Traceroute von Endgerät Netz 3 an LAN Port VPN Router 2 muss möglich sein !
  • Ping und Traceroute von Endgerät Netz 3 an LAN Port VPN Router 1 muss möglich sein !

Im Netz 1 (bzw. auf dem Rechner im Netz 1, der Netz 3 erreichen soll) ist eine Route eingetragen die auf Netz 3 zeigt
Das ist natürlich Blödsinn und völliger Quatsch, denn was hast du denn da für ein Next Hop Gateway eingetragen ??
Das kann logischerweise ja nur der VPN Router 1 sein den dieser Client in Netz 1 ja so oder so als Defalt Gateway hat. Vergiss also den Unsinn mit einer separaten Route und lösche diese wieder bzw. belasse in den Clients an Netz 1 einfach den Router 1 als Default Gateway !
Die Route zu Netz 3 MUSS logischerweise im Router 1 definiert werden, denn DER muss ja wissen das er Traffic für Netz 3 in den VPN Tunnel zu Router 2 schicken soll und NICHT zum Provider !
In der Routing Tabelle des Router 1 muss also als Next Hop Gateway für das Netz 3 das IPsec Interface stehen !
So wird ein Schuh draus....
Bitte warten ..
Mitglied: Th0mKa
28.11.2015, aktualisiert um 17:45 Uhr
Zitat von @HScomputer:

das verstehe ich ehrlich gesagt nicht....

Na ganz einfach, dem VPN Tunnel muss die Verbindung Netz 1 - Netz 3 bekannt sein.

VG,

Thomas
Bitte warten ..
Mitglied: HScomputer
30.11.2015 um 10:54 Uhr
exakt so sieht das Netz aus.
Ich glaube das die Ciscos das Problem sind, denn da kann ich eintragen , was ich will, in der Routing-Tabelle steht immer nur der Weg ins gegenüberliegende Netz. (Nur betreffend des Ciscos in LAN1

Ich habe Natürlich die Hops zum Netz 3 über die entsprechende davorliegende NW-Karte eingetragen (bzw. die LAN-Seite des Ciscos in LAN2)

Also zu den ToDos:
1) Der VPN Router1 nimmt die Route nach Netz 3 nicht an
2) Ist so eingerichtet und steht auch so in der Routing-Tabelle der VPN Routers
3) Ist so eingerichtet (Statische Routen hatte ich nur versuchsweise eingerichtet)
4) Forwarding ist aktiviert - FW-Ports sind offen (hatte versuchsweise auch mal die FW abgeschaltet - ohne Unterschied)
5) funktioniert
6) geht auch
7) geht nicht

Zur Route im Lan1-VPN-Gateway: So hatte ich mir das auch gedacht - nur will er das partout nicht annehmen - Ich werd den mal zurücksetzen - vielleicht hilft das ja - ich melde mich, wenn das geholfen hat.
Bitte warten ..
Mitglied: HScomputer
30.11.2015 um 10:55 Uhr
das verstehe ich natürlich :) face-smile
Bitte warten ..
Mitglied: HScomputer
30.11.2015 um 19:50 Uhr
Ich habe den Cisco im Lan 1 nun zurückgesetzt und ihm auch eine aktuellere Firmware verpasst, aber leider taucht die Route trotz Eintrag nicht in der Routing-Tabelle auf. Nu weiss ich auch nicht weiter....

Btw.: mir ist aufgefallen, dass die NW-Karte (zum Router hin) im Server A in der GUI vom 'Routing und RAS' unter Netzwerkschnittstellen nicht auftaucht und auch nicht hinzuzufügen ist - kann das ein Problem darstellen, bzw. mit dem Aktuellen auch zu tun haben?
Bitte warten ..
Mitglied: HScomputer
03.12.2015 um 10:18 Uhr
Ich habe die Lösung nun gefunden; Das Problem ist der/Die Rv042G's - die Dinger beherrschen kein Routing über mehrere Subnetze, wenn die Subnetzmaske 3 volle Oktetts hat. Ich musste also die Maske auf 255.255.0.0 setzen, danach geht alles wie gewollt. Wenngleich die Routing-Tabelle des Ciscos dann etwas irritierend aussieht: 2 Gleiche Ziele (192.168.0.0) über unterschiedliche Wege (WAN1/LAN1). Aber es scheint keine Konflikte zu geben. Dass das nirgendwo nachzulesen ist, finde ich auch ziemlich arm, aber was soll's - nun ist alles fein :) face-smile
Bitte warten ..
Mitglied: aqui
08.12.2015 um 09:23 Uhr
Oha, das ist aber tödlich aus Routing Sicht, denn damit hast du ja nun einen Subnet Mismatch, denn die Subnetze der Router passen nicht mit den aktuellen deines Netzes. Möglich das daraus Folgefehler resultieren.
Das ist auf Dauer gefährlich auch wenn es erstmal oberflächlich das Problem löst. Das verstösst klar gegen IP Standards.
Must du selber sehen ob du damit leben kannst....

Leider ist das bei Consumer Billighardware oft der Fall das die sehr eingeschränkte Funktionen haben und die Investition sich dann so gut wie immer als Fehlkauf rausstellt.
Ob es dann mit solchen dirty Workarounds getan ist muss dann jeder für sich selber entscheiden. Die Investition von ein paar Euro mehr in ein sinnvolleres produkt wäre der bessere Weg gewesen aber nundenn. Wenns für dich erstmal reicht ist ja OK.
Bitte warten ..
Mitglied: HScomputer
09.12.2015 um 17:40 Uhr
Dass das nicht den Standards entspricht, ist mir klar und die Bildung der Router-internen Tabelle sieht für mich auch seltsam aus, allerdings habe ich über traceroute keine fehlgeleiteten Pakete gefunden und schnell ist auch alles. Zur Sicherheit habe ich Firewall-Regeln erstellt, die weitere VPN-Tunnel, die vom betroffenen Router bedient werden, auf den anderen Wegen geblockt werden. Wie gesagt, ich habe keine Ahnung, wie der interne Verlauf des (ursprünglich von Linksys stammenden) Routers aussieht. Denn bis auf die tatsächlich angezeigte Route, sind die von mir gemachten Einträge ja 'korrekt' (bis auf die seltsame Maske). Ein Vergleichbarer Router aus der oberen Cisco-Klasse, wäre schon wieder so teuer gewesen, dass er nicht mehr ins Budget gepasst hätte (das übliche leidige Problem). Ich werde weiter beobachten, ob es irgendwann mal seltsame Verhaltensweisen gibt. Dann hätte ich zumindest was in der Hand um einen Wechsel zu forcieren. Dennoch erstmal Dank an alle, die sich an der Diskussion beteiligt haben.
Bitte warten ..
Mitglied: aqui
09.12.2015, aktualisiert um 18:35 Uhr
Ein Vergleichbarer Router aus der oberen Cisco-Klasse, wäre schon wieder so teuer gewesen, dass er nicht mehr ins Budget gepasst hätte (das übliche leidige Problem).
Eigentlich Blödsinn, denn ein 886va kostet um die 250 Euronen und wäre das allemal wert gewesen.
In einem Firmennetzwerk eigentlich ein Muß wo es auf Verlässlichkeit ankommt. Das mit billigen Consumer Plastikroutern zu machen ist fahrlässig und wie immer am falschen Ende gespart. Wie immer auch hier das leidige Problem und täglich Brot des Forums nur der anderen Seite, das Laien denken sie können eine zuverlässige Firmenvernetzung mit Blödmarkt Ware erledigen nur um ein paar Euro zu sparen die dann auf dem Altar der Zuverlässigkeit und Flexibilität geopfert werden. Aber normal für die heutige Zeit. Das obige Leidenszenario ist ein Paradebeispiel dafür...aber egal.
Wenns nun rennt ist ja alles gut...und der Erfolg gibt dir fürs Erste recht.
Bitte warten ..
Heiß diskutierte Inhalte
LAN, WAN, Wireless
Starlink im Unternehmen?
0xFFFFVor 21 StundenFrageLAN, WAN, Wireless40 Kommentare

Guten Morgen Admins, leider leiden wir darunter, dass wir uns hier in DE noch in einem Entwicklungsland was die Internetanbindung angeht, sehr. Nun kam ...

Off Topic
Klimaanlage im Serverraum
gelöst imebroVor 17 StundenFrageOff Topic20 Kommentare

Hallo, wir haben einen kleinen Serverraum (viell. 5 - 6 m²), in dem ein Serverschrank steht. Der Raum hat kein Fenster!!! Darin befinden sich ...

Microsoft
Datenkrake - Browser
DennisWeberVor 1 TagErfahrungsberichtMicrosoft11 Kommentare

Hallo zusammen, ich empfehle euch mal definitiv in "Temp" Verzeichnis eures Browsers zu schauen. Es war für mich erschreckend, wie viele wichtige Dokumente und ...

Netzwerkmanagement
Sicherheitsrisiken Synology DS Admin Konto
RitchtoolsVor 1 TagFrageNetzwerkmanagement6 Kommentare

Hallo Zusammen, ich habe die Pflege von einem Firmen NAS übernommen (Synology) es sind mehrere Rechner im Netzwerk die auf Daten zugreifen. Leider hat ...

Windows 10
Windows 10 hängt bei Neustart immer bei "Bitte warten" über Stunden
gelöst Odde23Vor 18 StundenFrageWindows 1023 Kommentare

Ich habe seit längerem, um genau zu sein seit gut einem Jahr, da wurde der Rechner gekauft, das Problem, dass der Rechner bei einem ...

Windows 10
Windows 10 verliert die Druckertreiber
KMP1988Vor 1 TagFrageWindows 1010 Kommentare

Servus zusammen, wir haben bei einem Kunden folgende Konstellation: - Server2019 (AD, DNS, DHCP) - Server2019 (Print-Server-Rolle) - W10-Clients Die Drucker werden übers Logon-Scirpt ...

DNS
Opendns.com - Kosten?
cordialVor 1 TagFrageDNS2 Kommentare

Moin, Ich möchte gerne den OpenDNS Dienst mal verstehen. Hab da schon länger einen Account mit Filterung. Die "Free" Edition bei OpenDNS ist doch ...

Windows 10
Windows 10 System Recovery Ordner fast 60 GB - Wie löschen?
Looser27Vor 1 TagFrageWindows 106 Kommentare

Guten Morgen, bei einem unserer Clients funktioniert scheinbar das automatische Aufräumen nach Updates / Upgrades nicht. Wie kann ich dem Kollegen auf die Schnelle ...