Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Routingproblem IPsec Tunnel

Mitglied: tvprog1

tvprog1 (Level 1) - Jetzt verbinden

04.07.2016, aktualisiert 12.07.2016, 714 Aufrufe, 3 Kommentare

Hallo,

folgende Konstellation: Eine Firewall hat drei Interfaces (eth1, eth2 und eth3). eth1 (5.1.1.10/30) dient als Transfernetz zum Provider und ist somit der Weg zum default Gateway (5.1.1.9/30), an eth2 (77.1.1.1/24) liegt das zugewiesene Netz vom Provider an und eth3 (192.168.1.1/24) ist das Netz für interne Clients. Nun soll über die IP Adresse "77.1.1.1" welche an eth2 anliegt ein IPsec Tunnel aufgebaut werden. Laut Firewall ist phase 1 + phase 2 erfolgreich aufgebaut. Dies wird auch von der Gegenseite bestätigt.

Bei den Clients ist als default Gateway die IP Adresse "192.168.1.1" - also Interface eth3 der Firewall - hinterlegt. Wenn nun ein Client Pakte verschickt die an das VPN Netz adressiert sind welches wiederum die Firewall erreichen sollte, so kommen diese Pakete wie zu erwarten am Interface eth3 der Firewall an, werden aber von dort aus dann nicht in den VPN Tunnel geroutet.

Nun ist mir zu Ohren gekommen, dass der IPsec Endpoint ein Interface sein muss, an dem direkt ein default Gateway konfiguriert ist. Das wäre in diesem Fall eth1 (5.1.1.10/30). Stimmt das? Kann der IPsec Tunnel nür über das Interface eth1 (5.1.1.10/30) und nicht über das Interface eth2 (77.1.1.1/24) der Firewall korrekt aufgebaut werden? Wenn ja, warum? Routingtechnisch sind doch beide Interfaces über das Internet erreichbar?

LG
Mitglied: aqui
05.07.2016, aktualisiert um 08:41 Uhr
Entscheidend ist was in der Routing Tabelle der UTM steht, denn das bestimmt das Forwarding auf Layer 3 (IP). Leider machst du dazu keinerlei Angaben hier so das man nur blind raten kann...
Nur so viel. In den IPsec Credentials wird fest definiert wie das remote VPN Netzwerk lautet und das lokale. Ist der IPsec Tunnel etabliert kommt es darauf an ob Split Tunneling definiert ist oder ein Gateway Redirect. Ist die Phase 1 und 2 erfolgreich und der Tunnel wirjlich etabliert, wird diese Netzwerk Information in die L3 Forwarding Tabelle übernommen. Leider auch dazu keine Information oben..
Du strebst vermutlich ein Split Tunneling an, so das nur jeweils Traffic des remoten VPN Netzes in den Tunnel geroutet wird und nicht der gesamte Traffic wie bei einem Redirect.
Man kann nur vermuten das du bei der Konfiguration der local und remote Credentials einen Fehler gemacht hast, so das die Pakete nicht geroutet werden.
Wie gesagt ein Posting der Routing Tabelle der UTM wäre hier von großem Vorteil für eine zielführende Antwort.
Bitte warten ..
Mitglied: tvprog1
12.07.2016 um 18:29 Uhr
Warum man die Pakete nicht im Tunnel sah lag an einem Firewall Bug. Trotzdem danke
Bitte warten ..
Mitglied: aqui
16.07.2016 um 13:13 Uhr
Uuhhh böses Faul ! Mit pfSense wär das nicht passiert
Bitte warten ..
Ähnliche Inhalte
Netzwerke
Ipsec VPN Tunnel RV110W - Bintec Be.IP
Frage von Zero01Netzwerke2 Kommentare

Hallo, kann mir jemand helfen eine IPsec LAN - LAN Verbindung zwischen diesen beiden Geräten auf zu bauen? Ist ...

Router & Routing

IPsec VPN Tunnel - Tunnel ok aber div. Clients nicht sichtbar?

gelöst Frage von joeyschweizRouter & Routing5 Kommentare

Hallo Zusammen, ich stehe gerade vor einem Rätsel. Um ein Homeofficeplatz mit dem Firmennetzwerk zu verbinden wurde eine IPsec ...

Netzwerke

IPSec Site to Site tunnel send errors

Frage von brammerNetzwerke3 Kommentare

Hallo, ich habe einen existierenden Site to Site Tunnel durch den mehrere Netze gehen . Tunnel ist auch in ...

MikroTik RouterOS

Mikrotik CCR 1036 und Juniper ipsec Tunnel steht dennoch kein Traffic im Tunnel

gelöst Frage von nahdekaMikroTik RouterOS1 Kommentar

Hallo, ein Nachtrag zu meinem Post: Nachdem ich diversen Anleitungen von Greg Sowell als auch den Anleitungen aus der ...

Neue Wissensbeiträge
Off Topic
Europawahl 2019 - Ein Statement der Jugend
Information von Frank vor 1 TagOff Topic18 Kommentare

Dies ist ein offener Brief. Ein Statement. Von einem großen Teil der Youtuber-Szene. Am Wochenende sind die EU-Wahlen und ...

Off Topic
Europawahl 2019
Information von Frank vor 2 TagenOff Topic44 Kommentare

Vom 23. bis 26. Mai 2019 findet die Europawahl in den Mitgliedstaaten der Europäischen Union statt (ja auch in ...

Humor (lol)

Minister wollen offenbar Ausweispflicht für .de-Domain

Information von Kraemer vor 2 TagenHumor (lol)7 Kommentare

Zitat von Golem.de: Die zuständigen Verbraucherschutzminister fordern einem Medienbericht zufolge offenbar eine Ausweispflicht für .de-Domains. Das soll Betrugsfälle mit ...

Off Topic
Was als Noob hier mal gesagt werden musste
Information von th30ther vor 4 TagenOff Topic5 Kommentare

Moinsen wertes Forum, ich möchte mich an dieser Stelle mal beim Forum generell und bei aqui speziell bedanken! Ich ...

Heiß diskutierte Inhalte
Router & Routing
ZyXEL ZyWALL USG 20 Routing
Frage von Oggy01Router & Routing27 Kommentare

Hallo, und wieder habe ich ein Problem mit dem Routing. Bis vor ein paar Tagen habe ich das mit ...

Off Topic
Europawahl 2019 - Ein Statement der Jugend
Information von FrankOff Topic17 Kommentare

Dies ist ein offener Brief. Ein Statement. Von einem großen Teil der Youtuber-Szene. Am Wochenende sind die EU-Wahlen und ...

LAN, WAN, Wireless
Welches Material ist das Richtige?
Frage von Motte990LAN, WAN, Wireless12 Kommentare

Guten Morgen Leute, ich bin aktuell damit beschäftigt in unserm neu gekauften Haus das Netzwerk einzubauen. Aktuell wurden bis ...

Router & Routing
2 Server über VPN (3. Netz) verbinden mit iptables
Frage von samsillaRouter & Routing8 Kommentare

Hallo, mein Ziel ist, zwei Netzwerke (192.168.0.X und 192.168.2.X) über ein VPN (10.8.0.X) zu verbinden. Folgender Netzwerkaufbau ist gegeben: ...