Routing durch VPN Tunnel
Frohes Neues Jahr liebe Admins!
Zum neuen Jahr stehe ich vor einem Routingproblem...
Folgender Aufbau:
Zwischen den beiden IPCops besteht ein IPSec Tunnel.
192.168.42.2 ist hierbei ein VOIP Server, das IPhone 192.168.5.4 soll nun auf diesen zugreifen.
Dazu habe ich versucht folgende Routingregel auf dem IPCop 192.168.5.1 einzutragen (er muss ja wissen, dass 192.168.42.0/24 über den IPSec Tunnel erreichbar ist):
Leider bekomme ich die Fehlermeldung: SIOCADDRT: Network is unreachable
Ebenso bei
Während der Fehlersuche habe ich festgestellt, dass die IPCops nicht ihren IPSec partner und dessen Subnetz pingen können. Zwischen den Subnetzen ist ein ping möglich.
Im IPCop 192.168.0.1 ist bereits folgende Routingregel angelegt:
Bitte um Hilfe...
Viele Grüße
Zum neuen Jahr stehe ich vor einem Routingproblem...
Folgender Aufbau:
Zwischen den beiden IPCops besteht ein IPSec Tunnel.
192.168.42.2 ist hierbei ein VOIP Server, das IPhone 192.168.5.4 soll nun auf diesen zugreifen.
Dazu habe ich versucht folgende Routingregel auf dem IPCop 192.168.5.1 einzutragen (er muss ja wissen, dass 192.168.42.0/24 über den IPSec Tunnel erreichbar ist):
route add -net 192.168.42.0 netmask 255.255.255.0 gw 192.168.0.201 ipsec0
Leider bekomme ich die Fehlermeldung: SIOCADDRT: Network is unreachable
Ebenso bei
route add -net 192.168.42.0 netmask 255.255.255.0 gw 192.168.0.1 ipsec0
Während der Fehlersuche habe ich festgestellt, dass die IPCops nicht ihren IPSec partner und dessen Subnetz pingen können. Zwischen den Subnetzen ist ein ping möglich.
Im IPCop 192.168.0.1 ist bereits folgende Routingregel angelegt:
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
localhost * 255.255.255.255 UH 0 0 0 tun0
192.168.5.0 externIP 255.255.255.0 UG 0 0 0 ipsec0
192.168.0.0 * 255.255.255.0 U 0 0 0 eth0
192.168.42.0 192.168.0.201 255.255.255.0 UG 0 0 0 eth0
192.168.41.0 192.168.0.201 255.255.255.0 UG 0 0 0 eth0
default externIP 0.0.0.0 UG 0 0 0 eth1
Bitte um Hilfe...
Viele Grüße
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 225714
Url: https://administrator.de/forum/routing-durch-vpn-tunnel-225714.html
Ausgedruckt am: 22.12.2024 um 11:12 Uhr
15 Kommentare
Neuester Kommentar
Ein Routing Eintrag ist doch auch überflüssiger Blödsinn in so einem simplen und banalen VPN Szenario ! Die beiden lokalen Netze "kennen" sich doch schon automatisch wenn der VPN Tunnel erfolgreich aufgebaut ist !!
Die IPCops wissen damit das sie die beiden lokalen LANs in den Tunnel routen müssen und alles andere eben ins Internet.
Eine zusätzliche Route ist da also völliger Blödsinn udn obsolet, das müsste dir einleuchten !
Fragen wir erstmal die VPN Kardinalsfragen:
Wenn das erreicht ist dann wird aber der Rest schon automatisch klappen, denn dann sind beide lokalen netze per Routing verbunden und man kann dort ALLES auch erreichen ! ...Der tiefere Sinn eines jeden Site to Site VPNs !!
<update>
Ergänzung siehe Thread unten
</update>
Grundlagen zu solchen Szenarien erklären die folgenden Tutorials:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
oder mit OpenVPN
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Die IPCops wissen damit das sie die beiden lokalen LANs in den Tunnel routen müssen und alles andere eben ins Internet.
Eine zusätzliche Route ist da also völliger Blödsinn udn obsolet, das müsste dir einleuchten !
Fragen wir erstmal die VPN Kardinalsfragen:
- Welches VPN Protokoll nutzt du ? L2TP, IPsec, PPTP, OpenVPN, SSL oder...??
- Ist das VPN denn schon so aktiv und korrekt eingerichtet ?
- Sind die statischen Routen in allen 3 Komponenten eingetragen <Update !>
- Kannst du vom 192.168.42.0 /24er Netz alles pingen im 192.168.5.0 /24er Netz ? Und vice versa...
- Kannst du vom 192.168.5.0 /24er Netz alles pingen im 192.16842.0 /24er Netz ?
- Wenn die Pings nicht funktionieren hast du alle lokalen Firewalls der Rechner angepasst das sie diese Zugriffe aus dem Fremdnetz zulassen ?? Per Default wird das immer geblockt wie jeder Netzwerker weiss !
Wenn das erreicht ist dann wird aber der Rest schon automatisch klappen, denn dann sind beide lokalen netze per Routing verbunden und man kann dort ALLES auch erreichen ! ...Der tiefere Sinn eines jeden Site to Site VPNs !!
<update>
Ergänzung siehe Thread unten
</update>
Grundlagen zu solchen Szenarien erklären die folgenden Tutorials:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
oder mit OpenVPN
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Zitat von @kopie0123:
Ergänzung:
Ein Hinzufügen der Route
endet auch im Fehler.
Grüße
Ergänzung:
Ein Hinzufügen der Route
route add -net 192.168.42.0 netmask 255.255.255.0 gw 192.168.0.1 ipsec0
Grüße
Moin,
kannst du zum testen mal das Interface weglassen? Der Router sollte auch so wissen über welches Interface er routen muss.
VG,
Thomas
@stingermac
Sorry...mein Fehler ! Hab die Zeichnung nicht sorgfältig genug angesehen und den Layer 3 Switch auf der anderen Seite doch glatt übersehen...
Also folgende ToDos sind dann zu machen:
Andere Seite...
Damit muss dann ein Pingen jeglicher Geräte in den 3 lokalen LANs untereinander möglich sein. Das ist die Grundvoraussetzung fürs VoIP !
Mit einem Testsetup hier mit 2 mal pfSense und 2mal Mikrotik 750 mit IPsec VPN Tunnel und einem Cisco Catalyst 3550XL als L3 Switch rennt das problemlos. (IPCop konnte ich mangels HW nicht testen).
Sorry...mein Fehler ! Hab die Zeichnung nicht sorgfältig genug angesehen und den Layer 3 Switch auf der anderen Seite doch glatt übersehen...
Meiner Meinung nach muss ich also dem IPCop in 192.168.5.0 mitteilen, dass er Anfragen an das Subnetz 192.168.42.0 durch den VPn Tunnel schiebt und nicht durch Internet.
Da hast du Recht...keine Frage !Also folgende ToDos sind dann zu machen:
- Default Gateway vom Host .42.2 auf die .42.1
- Statische Layer 3 Switch Default Route (ip route 0.0.0.0 0.0.0.0) auf die .0.1
- Statische IPCop A Route: Zielnetz 192.168.42.0 /24 auf Gateway IP .0.201 (Layer 3 Switch)
Andere Seite...
- Default Gateway vom Host .5.4 auf die .5.1
- IPCop B muss hier eine statische Route des Zielnetzes 192.168.42.0 /24 auf das VPN Tunnelinterface des anderen IPCop haben. Nimmt er das nicht an nimmt man statt des Tunnelinterfaces das lokale LAN 192.168.0.1 wie Kollege tkr104 oben schon angemerkt hat.
Damit muss dann ein Pingen jeglicher Geräte in den 3 lokalen LANs untereinander möglich sein. Das ist die Grundvoraussetzung fürs VoIP !
Mit einem Testsetup hier mit 2 mal pfSense und 2mal Mikrotik 750 mit IPsec VPN Tunnel und einem Cisco Catalyst 3550XL als L3 Switch rennt das problemlos. (IPCop konnte ich mangels HW nicht testen).
Für korrektes Routing müsste aber doch die IP 192.168.0.1 Ziel der Route für 192.168.42.0 sein.
Nein, nicht unbedingt, es kann auch ein Netzwerk Interface (wie hier bei dir das virtuelle Interface ipsec0 ) sein oder Default Netz Segment in sofern ist die o.a. Route also schon richtig. Muss sie ja auch sein weil sie genau so ja auch für das 0.0er Netz funktionell richtig ist.Routingmässig sieht das also korrekt aus ! Ist jetzt die Frage ob der IPCop auch noch Firewall Regeln auf den virtuellen Interfaces erstellt. Wenn das der Fall ist muss du da dann noch entsprechende Regeln verwenden.
pfSense ist da erheblich User freundlicher als der grausliche IPCop, da es ein erheblich besseres GUI hat...aber egal ist hier nicht das Thema.
Du musst also die Regel checken. Desweiteren wäre es interessant ob du aus dem 5.0er Netz das Layer 3 Switch interface .0.201 und .42.1 pingen kannst.
Wichtig wäre auch mal ein traceroute auf diese beiden IPs aus dem 5er Netz um mal zu sehen welche Hops noch gehen und wo es stockt. Wichtig ist zu wissen ob .5.0er Pakete vom IPCop mit Ziel .42.0 noch in den Tunnel geroutet werden oder nicht.
Der IPCop hier ist zu 98% der Problemkandidat !
Der o.a. URL erklärt das IPCop "Problem" elegant !!
Die Lösung mit dem 2ten Tunnel erscheint aber IPCop spezifisch etwas umständlich zumal sie auch noch Resourcen frisst. Der Trick mit dem "Supernetting" ist irgendwie sinnvoller in dem Zusammenhang.
Komisch das man beim IPCop solche Klimmzüge machen muss, denn andere VPN HW (und SW) erzwingt solche Workarounds nicht.
Aber die Lösung sollte damit nun für den Kollegen StingerMac ein Kinderspiel sein....
Die Lösung mit dem 2ten Tunnel erscheint aber IPCop spezifisch etwas umständlich zumal sie auch noch Resourcen frisst. Der Trick mit dem "Supernetting" ist irgendwie sinnvoller in dem Zusammenhang.
Komisch das man beim IPCop solche Klimmzüge machen muss, denn andere VPN HW (und SW) erzwingt solche Workarounds nicht.
Aber die Lösung sollte damit nun für den Kollegen StingerMac ein Kinderspiel sein....