Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Routingproblem IPsec Tunnel

Mitglied: tvprog1

tvprog1 (Level 1) - Jetzt verbinden

04.07.2016, aktualisiert 12.07.2016, 892 Aufrufe, 3 Kommentare

Hallo,

folgende Konstellation: Eine Firewall hat drei Interfaces (eth1, eth2 und eth3). eth1 (5.1.1.10/30) dient als Transfernetz zum Provider und ist somit der Weg zum default Gateway (5.1.1.9/30), an eth2 (77.1.1.1/24) liegt das zugewiesene Netz vom Provider an und eth3 (192.168.1.1/24) ist das Netz für interne Clients. Nun soll über die IP Adresse "77.1.1.1" welche an eth2 anliegt ein IPsec Tunnel aufgebaut werden. Laut Firewall ist phase 1 + phase 2 erfolgreich aufgebaut. Dies wird auch von der Gegenseite bestätigt.

Bei den Clients ist als default Gateway die IP Adresse "192.168.1.1" - also Interface eth3 der Firewall - hinterlegt. Wenn nun ein Client Pakte verschickt die an das VPN Netz adressiert sind welches wiederum die Firewall erreichen sollte, so kommen diese Pakete wie zu erwarten am Interface eth3 der Firewall an, werden aber von dort aus dann nicht in den VPN Tunnel geroutet.

Nun ist mir zu Ohren gekommen, dass der IPsec Endpoint ein Interface sein muss, an dem direkt ein default Gateway konfiguriert ist. Das wäre in diesem Fall eth1 (5.1.1.10/30). Stimmt das? Kann der IPsec Tunnel nür über das Interface eth1 (5.1.1.10/30) und nicht über das Interface eth2 (77.1.1.1/24) der Firewall korrekt aufgebaut werden? Wenn ja, warum? Routingtechnisch sind doch beide Interfaces über das Internet erreichbar?

LG
Mitglied: aqui
05.07.2016, aktualisiert um 08:41 Uhr
Entscheidend ist was in der Routing Tabelle der UTM steht, denn das bestimmt das Forwarding auf Layer 3 (IP). Leider machst du dazu keinerlei Angaben hier so das man nur blind raten kann...
Nur so viel. In den IPsec Credentials wird fest definiert wie das remote VPN Netzwerk lautet und das lokale. Ist der IPsec Tunnel etabliert kommt es darauf an ob Split Tunneling definiert ist oder ein Gateway Redirect. Ist die Phase 1 und 2 erfolgreich und der Tunnel wirjlich etabliert, wird diese Netzwerk Information in die L3 Forwarding Tabelle übernommen. Leider auch dazu keine Information oben..
Du strebst vermutlich ein Split Tunneling an, so das nur jeweils Traffic des remoten VPN Netzes in den Tunnel geroutet wird und nicht der gesamte Traffic wie bei einem Redirect.
Man kann nur vermuten das du bei der Konfiguration der local und remote Credentials einen Fehler gemacht hast, so das die Pakete nicht geroutet werden.
Wie gesagt ein Posting der Routing Tabelle der UTM wäre hier von großem Vorteil für eine zielführende Antwort.
Bitte warten ..
Mitglied: tvprog1
12.07.2016 um 18:29 Uhr
Warum man die Pakete nicht im Tunnel sah lag an einem Firewall Bug. Trotzdem danke
Bitte warten ..
Mitglied: aqui
16.07.2016 um 13:13 Uhr
Uuhhh böses Faul ! Mit pfSense wär das nicht passiert
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
IPsec S2S Tunnel - redirect gateway
Frage von fundave3LAN, WAN, Wireless3 Kommentare

Hallo Zusammen, ich habe mal wieder etwas zum basteln dabei. Im groben funktioniert es sogar. Allerdings nur eine Feinheit ...

Netzwerkprotokolle

IPSec VPN Lancom Split Tunnel verhindern?

Frage von UnbekannterNR1Netzwerkprotokolle4 Kommentare

Hallo, wir haben in letzter Zeit unsere Lancom Router ausgetauscht diese funktionieren soweit auch ganz gut. Die Router sind ...

Netzwerke

Ipsec VPN Tunnel RV110W - Bintec Be.IP

Frage von Zero01Netzwerke2 Kommentare

Hallo, kann mir jemand helfen eine IPsec LAN - LAN Verbindung zwischen diesen beiden Geräten auf zu bauen? Ist ...

Netzwerke

IPSec Site to Site tunnel send errors

Frage von brammerNetzwerke3 Kommentare

Hallo, ich habe einen existierenden Site to Site Tunnel durch den mehrere Netze gehen . Tunnel ist auch in ...

Neue Wissensbeiträge
Virtualisierung

VEEAM Instant VM Recovery Datenverlust möglich

Information von sabines vor 7 StundenVirtualisierung

Wer instant VM Recovery unter Veeam nutzt, sollte seine Installation überprüfen. In manchen Fällen könnte es zu Datenverlust kommen, ...

Administrator.de Feedback
Hinweise auf Dienstleister oder auf Suchmaschinen
Information von Frank vor 4 TagenAdministrator.de Feedback71 Kommentare

Lieber User, Admins und Moderatoren, aus gegebenen Anlass möchte ich zwei Dinge endgültig klarstellen und für die Nachwelt festhalten: ...

Router & Routing

PfSense 2.4 IPSec VPN mobile Clients Phase 2 wird plötzlich nicht mehr aufgebaut - So einfach war die Lösung

Tipp von the-buccaneer vor 4 TagenRouter & Routing9 Kommentare

Moinsen! Nachdem ich mir hierbei nen Wolf gesucht habe, möchte ich doch die Welt an dieser simplen Lösung teilhaben ...

Humor (lol)
Wählscheiben Telefon
Information von brammer vor 5 TagenHumor (lol)4 Kommentare

Hallo, Mal wirkliche eine nette Spielerei brammer

Heiß diskutierte Inhalte
Backup
VMware ESXi Cluster Backup
Frage von ADRNEXBackup23 Kommentare

Hallo zusammen, Ich habe eine vmware esxi cluster Umgebung mit ca. 20TB Daten, die auf einem SAN liegen. Es ...

Netzwerkmanagement
Softwareverteilung für kleines Unternehmen mit sehr gemixter Hardware
gelöst Frage von BavarianSysadNetzwerkmanagement20 Kommentare

Hallo zusammen^^, ich stehe vor dem Problem das wir im Unternehmen eine Softwareverteilung einführen soll, leider ist dies wie ...

Windows 10
Dell Optiplex 790 Installation Windows 10
gelöst Frage von Ghost108Windows 1016 Kommentare

Guten morgen zusammen, möchte gerne auf meinem Optiplex 790 Windows 10 installieren (Clean Install). Habe das BIOS von Legacy ...

Exchange Server
Exchange 2019 Wildcard geht nicht
Frage von opc123Exchange Server13 Kommentare

Hallo, ich kann mein Wildcard auf dem Exchange keine Dienste zuweisen??