Routing zwischen SRX210 und Fritzbox in Tunnel fehlerhaft (nicht funktionsfähig)
Hallo alle miteinander!
Kurz etwas zu dem gesamten Scenario.
Das Netzwerk besteht aus einem Draytek Vigor 130 DSL-Modem, 2 Fritzboxen (7490 & 7270) sowie einer Juniper SRX210. Der ein oder andere mag jetzt sicherlich schon richtig vermuten um was es in etwa geht.
Vom Netzwerkaufbau ist es folgendermaßen das der Draytek als Modem fungiert über den die Fritzbox 7490 die Internetverbindung aufbaut. Grund hierfür ist das die TAE-Dose zu weit weg ist von den Büroräumen. Die 7490 verteilt zusätzlich per DHCP das Netzwerk 192.168.1.0/24 innerhalb des Büros. An dieser Fritzbox ist zusätzlich noch die Juniper SRX210 für eine VPN-Einwahl angeschlossen, welche die Verbindung zu einer Colocation aufbaut. Der Tunnel funktioniert soweit auch einwandfrei und ich habe von der SRX210 auch direkten Zugriff auf die Netzwerke hinter dem Tunnel.
An eben dieser SRX210 ist nun die Fritzbox 7270 angeschlossen. Der Zweck hierbei ist das eigentliche Büronetzwerk (192.168.1.0/24) vom VPN-Netzwerk (192.168.2.0/24) zu trennen. Die 7270 ist so eingestellt das sie keinen DHCP-Server betreibt, sondern nur ein WLAN. Der DHCP-Server kommt hierbei von der SRX210, wo auch bereits das erste Problem auftritt. Der eingestellte DHCP-Server auf der SRX kommt aus irgendeinem Grund nicht an der Fritzbox an. Sprich jeder Client müsste hier eine feste IP im 2er Subnetz besitzen, allerdings soll das hier per DHCP-Server geschehen.
Das zweite Problem ist nun das folgende das ich aus dem 2er Netz keinen Zugriff auf die Netzwerke hinter dem Tunnel habe. Mache ich ein Traceroute auf einen der Server hinter dem Tunnel erhalte ich als Antwort nach dem zweiten Hop ein Timeout. Mache ich das gleiche von der SRX210 aus, komme ich direkt durch. Das Ergebnis des Traceroute sieht man unten und der Timeout geht bis zum 30sten Hop durch. Der erste Hop ist die 7490 und der zweit ist der DNS von o2.
Der Nächste Punkt ist die Verbindung zwischen den beiden Netzwerken für den Tunnel. Hierbei sieht die 7270 die Internetverbindung (kommt ja heraus bis zum DNS). Was ich dabei nicht verstehe ist wieso keine Verbindung zu den Servern hinter dem Tunnel machbar sind wenn ich im 2er Netz bin. Das Problem mit dem DHCP-Server kann ich dadurch das ich diesen von der Fritzbox 7270 betreiben lasse. Größeres Problem ist die Verbindung von 192.168.2.0/24 in den Tunnel wichtiger, da sonst die Anwendungen wie ESXi usw. nicht erreicht werden können.
Statische Routen in den Fritzboxen hat keine Besserung gebracht, ebenfalls die Funktion des Exposed Hosts aus den Fritzboxen für die SRX210. Die Config der SRX210 findet ihr am Ende. Sollte jemand von euch eine Idee haben was ich noch machen kann, bin ich für alle Vorschläge offen.
Sollte euch noch etwas an Infos fehlen, einfach fragen. Danke schon einmal im voraus für alle Ideen und Denkanstöße.
Gruß
liquid
SRX210-Config:
Kurz etwas zu dem gesamten Scenario.
Das Netzwerk besteht aus einem Draytek Vigor 130 DSL-Modem, 2 Fritzboxen (7490 & 7270) sowie einer Juniper SRX210. Der ein oder andere mag jetzt sicherlich schon richtig vermuten um was es in etwa geht.
Vom Netzwerkaufbau ist es folgendermaßen das der Draytek als Modem fungiert über den die Fritzbox 7490 die Internetverbindung aufbaut. Grund hierfür ist das die TAE-Dose zu weit weg ist von den Büroräumen. Die 7490 verteilt zusätzlich per DHCP das Netzwerk 192.168.1.0/24 innerhalb des Büros. An dieser Fritzbox ist zusätzlich noch die Juniper SRX210 für eine VPN-Einwahl angeschlossen, welche die Verbindung zu einer Colocation aufbaut. Der Tunnel funktioniert soweit auch einwandfrei und ich habe von der SRX210 auch direkten Zugriff auf die Netzwerke hinter dem Tunnel.
An eben dieser SRX210 ist nun die Fritzbox 7270 angeschlossen. Der Zweck hierbei ist das eigentliche Büronetzwerk (192.168.1.0/24) vom VPN-Netzwerk (192.168.2.0/24) zu trennen. Die 7270 ist so eingestellt das sie keinen DHCP-Server betreibt, sondern nur ein WLAN. Der DHCP-Server kommt hierbei von der SRX210, wo auch bereits das erste Problem auftritt. Der eingestellte DHCP-Server auf der SRX kommt aus irgendeinem Grund nicht an der Fritzbox an. Sprich jeder Client müsste hier eine feste IP im 2er Subnetz besitzen, allerdings soll das hier per DHCP-Server geschehen.
Das zweite Problem ist nun das folgende das ich aus dem 2er Netz keinen Zugriff auf die Netzwerke hinter dem Tunnel habe. Mache ich ein Traceroute auf einen der Server hinter dem Tunnel erhalte ich als Antwort nach dem zweiten Hop ein Timeout. Mache ich das gleiche von der SRX210 aus, komme ich direkt durch. Das Ergebnis des Traceroute sieht man unten und der Timeout geht bis zum 30sten Hop durch. Der erste Hop ist die 7490 und der zweit ist der DNS von o2.
C:\Users\Support>tracert -d 10.10.160.4
Routenverfolgung zu 10.10.160.4 über maximal 30 Hops
1 <1 ms <1 ms <1 ms 192.168.1.2
2 17 ms 16 ms 17 ms 62.52.200.175
3 * * * Zeitüberschreitung der Anforderung.
4
Der Nächste Punkt ist die Verbindung zwischen den beiden Netzwerken für den Tunnel. Hierbei sieht die 7270 die Internetverbindung (kommt ja heraus bis zum DNS). Was ich dabei nicht verstehe ist wieso keine Verbindung zu den Servern hinter dem Tunnel machbar sind wenn ich im 2er Netz bin. Das Problem mit dem DHCP-Server kann ich dadurch das ich diesen von der Fritzbox 7270 betreiben lasse. Größeres Problem ist die Verbindung von 192.168.2.0/24 in den Tunnel wichtiger, da sonst die Anwendungen wie ESXi usw. nicht erreicht werden können.
Statische Routen in den Fritzboxen hat keine Besserung gebracht, ebenfalls die Funktion des Exposed Hosts aus den Fritzboxen für die SRX210. Die Config der SRX210 findet ihr am Ende. Sollte jemand von euch eine Idee haben was ich noch machen kann, bin ich für alle Vorschläge offen.
Sollte euch noch etwas an Infos fehlen, einfach fragen. Danke schon einmal im voraus für alle Ideen und Denkanstöße.
Gruß
liquid
SRX210-Config:
## Last changed: 2016-10-24 16:54:55 GMT+1
version 12.1X47-D40.1;
system {
host-name SRX210-Office-Berlin;
time-zone GMT+1;
root-authentication {
encrypted-password "<entfernt>"; ## SECRET-DATA
}
name-server {
8.8.8.8;
8.8.4.4;
}
name-resolution {
no-resolve-on-input;
}
login {
user <entfernt> {
uid 2003;
class super-user;
authentication {
encrypted-password "<entfernt>"; ## SECRET-DATA
}
}
}
services {
ssh {
protocol-version v2;
}
web-management {
http {
interface ge-0/0/0.0;
}
https {
system-generated-certificate;
interface ge-0/0/0.0;
}
session {
idle-timeout 60;
}
}
dhcp {
pool 192.168.2.0/24 {
address-range low 192.168.2.11 high 192.168.2.40;
maximum-lease-time 86400;
default-lease-time 86400;
name-server {
8.8.8.8;
8.8.4.4;
}
router {
192.168.2.1;
}
propagate-settings vlan.0;
}
}
}
syslog {
archive size 100k files 3;
user * {
any emergency;
}
file messages {
any critical;
authorization info;
}
file interactive-commands {
interactive-commands error;
}
}
max-configurations-on-flash 5;
max-configuration-rollbacks 5;
license {
autoupdate {
url https://ae1.juniper.net/junos/key_retrieval;
}
}
ntp {
server de.ntp.pool.org;
}
}
interfaces {
ge-0/0/0 {
description Internal;
unit 0 {
family inet {
address 192.168.1.5/24;
}
}
}
fe-0/0/2 {
description Office;
unit 0 {
family ethernet-switching {
port-mode access;
vlan {
members office;
}
}
}
}
st0 {
unit 0 {
family inet {
address 192.168.1.5/24;
}
}
}
vlan {
unit 0 {
description Office;
family inet {
address 192.168.2.1/24;
}
}
}
}
routing-options {
static {
route 0.0.0.0/0 next-hop 192.168.1.2;
route 10.0.0.0/8 next-hop st0.0;
route 192.168.0.16/32 next-hop st0.0;
route 10.10.160.0/24 {
next-hop st0.0;
retain;
}
route 10.10.170.0/24 {
next-hop st0.0;
retain;
}
}
}
protocols {
stp;
}
security {
ike {
proposal <entfernt> {
description dhosting-login;
authentication-method pre-shared-keys;
dh-group group14;
authentication-algorithm sha-256;
encryption-algorithm aes-256-cbc;
lifetime-seconds 28800;
}
policy ike-policy-cfgr {
mode main;
description "Policy%20for%20tunnel%20to%20Rack%20";
proposals dhosting;
pre-shared-key ascii-text "<entfernt>"; ## SECRET-DATA
}
gateway ike-gate-cfgr {
ike-policy ike-policy-cfgr;
address 87.225.251.146;
dead-peer-detection {
optimized;
interval 10;
threshold 5;
}
no-nat-traversal;
local-identity inet 85.183.141.56;
external-interface ge-0/0/0;
version v1-only;
}
}
ipsec {
proposal <entfernt> {
description "connection rack";
protocol esp;
authentication-algorithm hmac-sha-256-128;
encryption-algorithm aes-256-cbc;
lifetime-seconds 3600;
}
policy ipsec-policy-cfgr {
description "Tunnel connection to rack Phase II";
perfect-forward-secrecy {
keys group14;
}
proposals dhosting;
}
vpn ipsec-vpn-cfgr {
bind-interface st0.0;
ike {
gateway ike-gate-cfgr;
ipsec-policy ipsec-policy-cfgr;
}
establish-tunnels immediately;
}
}
screen {
ids-option untrust-screen {
icmp {
ping-death;
}
ip {
source-route-option;
tear-drop;
}
tcp {
syn-flood {
alarm-threshold 1024;
attack-threshold 200;
source-threshold 1024;
destination-threshold 2048;
timeout 20;
}
land;
}
}
}
nat {
source {
rule-set trust-to-Internal {
from zone office;
to zone Internal;
rule source-nat-rule {
match {
source-address 0.0.0.0/0;
}
then {
source-nat {
interface;
}
}
}
}
}
}
policies {
from-zone trust to-zone <entfernt> {
policy trust-<entfernt>-cfgr {
match {
source-address net-cfgr_192-168-1-0--24;
destination-address [ net-cfgr_10-0-0-0--8 net-cfgr_192-168-0-0--16 ];
application any;
}
then {
permit;
}
}
}
from-zone <entfernt> to-zone trust {
policy <entfernt>-trust-cfgr {
match {
source-address [ net-cfgr_10-0-0-0--8 net-cfgr_192-168-0-0--16 ];
destination-address net-cfgr_192-168-1-0--24;
application any;
}
then {
permit;
}
}
}
from-zone office to-zone Internal {
policy office-to-inet {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
}
zones {
security-zone Internal {
interfaces {
ge-0/0/0.0 {
host-inbound-traffic {
system-services {
ping;
http;
https;
ssh;
}
}
}
}
}
security-zone office {
tcp-rst;
interfaces {
vlan.0 {
host-inbound-traffic {
system-services {
all;
}
}
}
}
}
security-zone <entfernt> {
address-book {
address net-cfgr_10-0-0-0--8 10.0.0.0/8;
address net-cfgr_192-168-0-0--16 192.168.0.0/16;
}
interfaces {
st0.0;
}
}
security-zone untrust {
host-inbound-traffic {
system-services {
ike;
}
}
}
security-zone trust {
address-book {
address net-cfgr_192-168-1-0--24 192.168.1.0/24;
}
}
}
}
vlans {
office {
vlan-id 3;
interface {
fe-0/0/2.0;
}
l3-interface vlan.0;
}
}
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 318988
Url: https://administrator.de/contentid/318988
Ausgedruckt am: 08.11.2024 um 21:11 Uhr