5
SRX320 als VPN-Gateway an be.ip Plus, Routing?
Hallo alle miteinander 
Aktuell habe ich ein Problem im Netzwerk wo ich langsam aber sicher an meinem Verstand zweifel. Kommen wir aber erst einmal zu den Eckdaten der Geschichte.
Derzeit verlege ich den Standort einer Praxis und muss hierzu die VPN-Verbindungen entsprechend neu etablieren. Im Alten Standort lief eine Fritzbox 7490 mit statischen Routen zu einer Juniper SRX320 um die entsprechenden VPN-Verbindungen aufzubauen. Die SRX ist hierbei nur das VPN-Gateway und schickte alle Pakete die in die VPN-Tunnel gehen sollte wieder an die Fritzbox zurück. Das ganze sah schematisch so aus:
Bei einem normalen Zugriff auf das Internet (Abruf E-Mails, Websites, etc) ging die Anfrage vom lokalen Netzwerk aus direkt an die Fritzbox und wenn eine Ressource aus den anderen Standorten angefordert wurde erst an die SRX320 und dann weiter an die Fritzbox in den entsprechenden Standort. Das statische Routing sag hierfür folgendermaßen aus:
Hierdurch und dem entsprechenden Gegenstück konnten die Standorte miteinander "reden". Soweit ist auch alles klar da VPN-Verbindungen eh immer geroutet werden müssen.
So das eigentliche Problem was sich jetzt ergeben hat ist das folgende.
Bei der Standortverlegung wurde die Fritzbox 7490 ausser Dienst gestellt, da für die neue Location eine Bintec be.ip Plus mit elmeg DECT200M und elmeg DECT150 angeschafft wurden um die gesamte Fläche des Stockwerks mit der Telefonie abzudecken. Die be.ip Plus dient hierbei auch als Router für das Internet da ebenfalls wieder ein Telekom VDSL-Vertrag in Form von DeutschlandLAN IP Voice/Data M Premium genutzt wird. Die be.ip Plus für die Telefonie und das interne Netzwerk zu konfigurieren war hier schnell erledigt.
Was sich allerdings verweigert ist das das statische Routing für die VPN-Verbindungen. Auch hier habe ich die entsprechend benötigten statischen Routen eingetragen wie sie oben in der Tabelle stehen was dann folgendermaßen aussah:
Ein erster Test hat ergeben das die Datenpakete zwar von der be.ip Plus an die SRX320 weiter gereicht werden aber ab diesen Zeitpunkt gibt es nur noch eine Zeitüberschreitung der Anforderung. Also nochmal das das Handbuch und das Internet zu Rate gezogen und hier einiges gefunden. Das meiste was ich dazu gefunden habe war einfach nur "Nutze einfach die VPN-Funktion der be.ip und lass das zusätzliche Gateway weg.". Das wäre an sich eine Möglichkeit, aber erlaubt die Richtlinie nicht, da für VPN-Verbindungen die SRX zum Einsatz kommen soll.
Ein anderer Vorschlag war noch das ich die IPv4-Filterung der be.ip Plus abschalten soll oder eine entsprechende Regel dafür nutze um den Datenverkehr durch die Firewall der be.ip zu leiten. Hier war dann aber das Problem das die Datenpakete ebenfalls nicht durchgingen. Die Filterregel entsprach dem folgenden:
Hatte auch keinen Erfolg gebracht da die Datenpakete zwar alle zur SRX320 gegangen sind aber ab da war dann Schluß. Auch hatte ich vermutet das etwas an der SRX sein könnte und habe die alte Konfiguration mit dem neuen Telekom-Vertrag über die Fritzbox 7490 konfiguriert, be.ip aus dem Netz genommen und hier haben die VPN-Verbindungen sofort funktioniert.
Gibt es hier an der be.ip Plus eine bestimmte Einstellung oder Vorgehensweise wie man das oben skizzierte Konstrukt umsetzen kann? Falls ja wäre ich für eine kurze Anleitung dazu sehr dankbar da ich mittlerweile nicht mehr weiter weiß. Auch wenn die Geräte von Bintec-Elmeg neu für mich sind finde ich mich doch dort sehr gut zurecht und die Materie ist für mich auch nichts neues.
Vielen Dank bereits im voraus für alle Tips / Anregungen und Hilfestellung!
Aktuell habe ich ein Problem im Netzwerk wo ich langsam aber sicher an meinem Verstand zweifel. Kommen wir aber erst einmal zu den Eckdaten der Geschichte.
Derzeit verlege ich den Standort einer Praxis und muss hierzu die VPN-Verbindungen entsprechend neu etablieren. Im Alten Standort lief eine Fritzbox 7490 mit statischen Routen zu einer Juniper SRX320 um die entsprechenden VPN-Verbindungen aufzubauen. Die SRX ist hierbei nur das VPN-Gateway und schickte alle Pakete die in die VPN-Tunnel gehen sollte wieder an die Fritzbox zurück. Das ganze sah schematisch so aus:
Bei einem normalen Zugriff auf das Internet (Abruf E-Mails, Websites, etc) ging die Anfrage vom lokalen Netzwerk aus direkt an die Fritzbox und wenn eine Ressource aus den anderen Standorten angefordert wurde erst an die SRX320 und dann weiter an die Fritzbox in den entsprechenden Standort. Das statische Routing sag hierfür folgendermaßen aus:
| Zielnetz | Subnetmask | Gateway |
|---|---|---|
| 10.0.0.0 | 255.0.0.0 | 192.168.80.1 |
| 192.168.64.0 | 255.255.255.0 | 192.168.80.1 |
Hierdurch und dem entsprechenden Gegenstück konnten die Standorte miteinander "reden". Soweit ist auch alles klar da VPN-Verbindungen eh immer geroutet werden müssen.
So das eigentliche Problem was sich jetzt ergeben hat ist das folgende.
Bei der Standortverlegung wurde die Fritzbox 7490 ausser Dienst gestellt, da für die neue Location eine Bintec be.ip Plus mit elmeg DECT200M und elmeg DECT150 angeschafft wurden um die gesamte Fläche des Stockwerks mit der Telefonie abzudecken. Die be.ip Plus dient hierbei auch als Router für das Internet da ebenfalls wieder ein Telekom VDSL-Vertrag in Form von DeutschlandLAN IP Voice/Data M Premium genutzt wird. Die be.ip Plus für die Telefonie und das interne Netzwerk zu konfigurieren war hier schnell erledigt.
Was sich allerdings verweigert ist das das statische Routing für die VPN-Verbindungen. Auch hier habe ich die entsprechend benötigten statischen Routen eingetragen wie sie oben in der Tabelle stehen was dann folgendermaßen aussah:
Ein erster Test hat ergeben das die Datenpakete zwar von der be.ip Plus an die SRX320 weiter gereicht werden aber ab diesen Zeitpunkt gibt es nur noch eine Zeitüberschreitung der Anforderung. Also nochmal das das Handbuch und das Internet zu Rate gezogen und hier einiges gefunden. Das meiste was ich dazu gefunden habe war einfach nur "Nutze einfach die VPN-Funktion der be.ip und lass das zusätzliche Gateway weg.". Das wäre an sich eine Möglichkeit, aber erlaubt die Richtlinie nicht, da für VPN-Verbindungen die SRX zum Einsatz kommen soll.
Ein anderer Vorschlag war noch das ich die IPv4-Filterung der be.ip Plus abschalten soll oder eine entsprechende Regel dafür nutze um den Datenverkehr durch die Firewall der be.ip zu leiten. Hier war dann aber das Problem das die Datenpakete ebenfalls nicht durchgingen. Die Filterregel entsprach dem folgenden:
Hatte auch keinen Erfolg gebracht da die Datenpakete zwar alle zur SRX320 gegangen sind aber ab da war dann Schluß. Auch hatte ich vermutet das etwas an der SRX sein könnte und habe die alte Konfiguration mit dem neuen Telekom-Vertrag über die Fritzbox 7490 konfiguriert, be.ip aus dem Netz genommen und hier haben die VPN-Verbindungen sofort funktioniert.
Gibt es hier an der be.ip Plus eine bestimmte Einstellung oder Vorgehensweise wie man das oben skizzierte Konstrukt umsetzen kann? Falls ja wäre ich für eine kurze Anleitung dazu sehr dankbar da ich mittlerweile nicht mehr weiter weiß. Auch wenn die Geräte von Bintec-Elmeg neu für mich sind finde ich mich doch dort sehr gut zurecht und die Materie ist für mich auch nichts neues.
Vielen Dank bereits im voraus für alle Tips / Anregungen und Hilfestellung!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 397267
Url: https://administrator.de/contentid/397267
Ausgedruckt am: 04.12.2024 um 08:12 Uhr
5 Kommentare
Neuester Kommentar
Ich kenn die be.ip nicht, aber die ganzen reinen Router, also R- und RS-Reihe, die eigentlich ähnlich funktionieren. Mich wundert jetzt erstmal die Bridge_BR0, die kenne ich so nicht, normal müsste es LAN-1 oder so sein, aber vermutlich ist es egal.
Du hast jetzt nur eine Filterregel angelegt, die die Kommunikation von Bridge_BR0 mit der SRX320 erlaubt. Vermutlich sind das Stationsobjekte, ich gehe mal davon aus, dass Bridge_BR0 für 192.168.80.0/24 und SRX320 für 192.168.64.0/24 steht. Du wirst vermutlich die Gegenregel benötigen, also von 192.168.64.0/24 nach 192.168.80.0/24. Alternativ kannst du auch die Netzwerkschnittstelle auf Trusted setzen und alle Filterregeln entfernen, dann gilt da eine Allow-All-Regel. Mit Untrusted ist es eine Deny-All-Regel.
Du hast jetzt nur eine Filterregel angelegt, die die Kommunikation von Bridge_BR0 mit der SRX320 erlaubt. Vermutlich sind das Stationsobjekte, ich gehe mal davon aus, dass Bridge_BR0 für 192.168.80.0/24 und SRX320 für 192.168.64.0/24 steht. Du wirst vermutlich die Gegenregel benötigen, also von 192.168.64.0/24 nach 192.168.80.0/24. Alternativ kannst du auch die Netzwerkschnittstelle auf Trusted setzen und alle Filterregeln entfernen, dann gilt da eine Allow-All-Regel. Mit Untrusted ist es eine Deny-All-Regel.
1
An sich ist das auch LAN1. Die be.ip Plus baut allerdings daraus eine Bridge wenn LAN und WLAN über eine NetzID gesteuert werden (hier 192.168.80.0). Würde ich das WLAN in ein eigenes VLAN packen wäre die Bridge so nicht vorhanden.
Und genau das Interface Bridge_BR0 entspricht 192.168.80.0/24. SRX320 entspricht hier direkt der IP-Adresse 192.168.80.1. In der be.ip Plus kann man mit sogenannten Address-Aliasen arbeiten die man zuvor konfigurieren muss.
Das mit der Gegenregel habe ich jetzt so nicht konfiguriert muss ich gleich mal austesten ob das funktioniert. Alternativ teste ich das auch mit der Vertrauensstufe das ich die auf Trusted setze.
Vielen Dank für den Input und ich melde mich dann nochmal
Hallo,
steht die Tunnel zwischen der SRX320 und den Gegenstellen ?
CH
steht die Tunnel zwischen der SRX320 und den Gegenstellen ?
CH
Ja alle konfigurieren Tunnelverbindungen stehen und sind sofort einsatzbereit wenn ich die Fritzbox wieder in das Netz hänge.
So der VPN-Zugriff läuft jetzt wie gewünscht über die be.ip Plus mit der SRX320 als Gateway für die Tunnel.
Danke noch mal an @tikayevent. Dein Vorschlag war ein Teilaspekt der Lösung. Zum anderen müssen für jeden Tunnel zwei Regeln vorhanden sein um den Zugriff zu erlauben und nebenher konnte ich einen Fehler in der VPN-Config finden und beheben.
Samstag ist gerettet und es kann weiter gehen mit der Einrichtung der neuen Räume
Danke noch mal an @tikayevent. Dein Vorschlag war ein Teilaspekt der Lösung. Zum anderen müssen für jeden Tunnel zwei Regeln vorhanden sein um den Zugriff zu erlauben und nebenher konnte ich einen Fehler in der VPN-Config finden und beheben.
Samstag ist gerettet und es kann weiter gehen mit der Einrichtung der neuen Räume
