liquidbase
Goto Top

SRX320 als VPN-Gateway an be.ip Plus, Routing?

Hallo alle miteinander face-smile

Aktuell habe ich ein Problem im Netzwerk wo ich langsam aber sicher an meinem Verstand zweifel. Kommen wir aber erst einmal zu den Eckdaten der Geschichte.

Derzeit verlege ich den Standort einer Praxis und muss hierzu die VPN-Verbindungen entsprechend neu etablieren. Im Alten Standort lief eine Fritzbox 7490 mit statischen Routen zu einer Juniper SRX320 um die entsprechenden VPN-Verbindungen aufzubauen. Die SRX ist hierbei nur das VPN-Gateway und schickte alle Pakete die in die VPN-Tunnel gehen sollte wieder an die Fritzbox zurück. Das ganze sah schematisch so aus:

vpn-schema

Bei einem normalen Zugriff auf das Internet (Abruf E-Mails, Websites, etc) ging die Anfrage vom lokalen Netzwerk aus direkt an die Fritzbox und wenn eine Ressource aus den anderen Standorten angefordert wurde erst an die SRX320 und dann weiter an die Fritzbox in den entsprechenden Standort. Das statische Routing sag hierfür folgendermaßen aus:

Zielnetz Subnetmask Gateway
10.0.0.0 255.0.0.0 192.168.80.1
192.168.64.0 255.255.255.0 192.168.80.1

Hierdurch und dem entsprechenden Gegenstück konnten die Standorte miteinander "reden". Soweit ist auch alles klar da VPN-Verbindungen eh immer geroutet werden müssen.

So das eigentliche Problem was sich jetzt ergeben hat ist das folgende.
Bei der Standortverlegung wurde die Fritzbox 7490 ausser Dienst gestellt, da für die neue Location eine Bintec be.ip Plus mit elmeg DECT200M und elmeg DECT150 angeschafft wurden um die gesamte Fläche des Stockwerks mit der Telefonie abzudecken. Die be.ip Plus dient hierbei auch als Router für das Internet da ebenfalls wieder ein Telekom VDSL-Vertrag in Form von DeutschlandLAN IP Voice/Data M Premium genutzt wird. Die be.ip Plus für die Telefonie und das interne Netzwerk zu konfigurieren war hier schnell erledigt.
Was sich allerdings verweigert ist das das statische Routing für die VPN-Verbindungen. Auch hier habe ich die entsprechend benötigten statischen Routen eingetragen wie sie oben in der Tabelle stehen was dann folgendermaßen aussah:

be.ip-routing

Ein erster Test hat ergeben das die Datenpakete zwar von der be.ip Plus an die SRX320 weiter gereicht werden aber ab diesen Zeitpunkt gibt es nur noch eine Zeitüberschreitung der Anforderung. Also nochmal das das Handbuch und das Internet zu Rate gezogen und hier einiges gefunden. Das meiste was ich dazu gefunden habe war einfach nur "Nutze einfach die VPN-Funktion der be.ip und lass das zusätzliche Gateway weg.". Das wäre an sich eine Möglichkeit, aber erlaubt die Richtlinie nicht, da für VPN-Verbindungen die SRX zum Einsatz kommen soll.
Ein anderer Vorschlag war noch das ich die IPv4-Filterung der be.ip Plus abschalten soll oder eine entsprechende Regel dafür nutze um den Datenverkehr durch die Firewall der be.ip zu leiten. Hier war dann aber das Problem das die Datenpakete ebenfalls nicht durchgingen. Die Filterregel entsprach dem folgenden:

be.ip-fw-rule

Hatte auch keinen Erfolg gebracht da die Datenpakete zwar alle zur SRX320 gegangen sind aber ab da war dann Schluß. Auch hatte ich vermutet das etwas an der SRX sein könnte und habe die alte Konfiguration mit dem neuen Telekom-Vertrag über die Fritzbox 7490 konfiguriert, be.ip aus dem Netz genommen und hier haben die VPN-Verbindungen sofort funktioniert.

Gibt es hier an der be.ip Plus eine bestimmte Einstellung oder Vorgehensweise wie man das oben skizzierte Konstrukt umsetzen kann? Falls ja wäre ich für eine kurze Anleitung dazu sehr dankbar da ich mittlerweile nicht mehr weiter weiß. Auch wenn die Geräte von Bintec-Elmeg neu für mich sind finde ich mich doch dort sehr gut zurecht und die Materie ist für mich auch nichts neues.

Vielen Dank bereits im voraus für alle Tips / Anregungen und Hilfestellung!

Content-Key: 397267

Url: https://administrator.de/contentid/397267

Printed on: June 13, 2024 at 14:06 o'clock

Member: tikayevent
Solution tikayevent Jan 05, 2019 at 10:25:02 (UTC)
Goto Top
Ich kenn die be.ip nicht, aber die ganzen reinen Router, also R- und RS-Reihe, die eigentlich ähnlich funktionieren. Mich wundert jetzt erstmal die Bridge_BR0, die kenne ich so nicht, normal müsste es LAN-1 oder so sein, aber vermutlich ist es egal.

Du hast jetzt nur eine Filterregel angelegt, die die Kommunikation von Bridge_BR0 mit der SRX320 erlaubt. Vermutlich sind das Stationsobjekte, ich gehe mal davon aus, dass Bridge_BR0 für 192.168.80.0/24 und SRX320 für 192.168.64.0/24 steht. Du wirst vermutlich die Gegenregel benötigen, also von 192.168.64.0/24 nach 192.168.80.0/24. Alternativ kannst du auch die Netzwerkschnittstelle auf Trusted setzen und alle Filterregeln entfernen, dann gilt da eine Allow-All-Regel. Mit Untrusted ist es eine Deny-All-Regel.
Member: liquidbase
liquidbase Jan 05, 2019 at 10:44:42 (UTC)
Goto Top
Zitat von @tikayevent:

Mich wundert jetzt erstmal die Bridge_BR0

An sich ist das auch LAN1. Die be.ip Plus baut allerdings daraus eine Bridge wenn LAN und WLAN über eine NetzID gesteuert werden (hier 192.168.80.0). Würde ich das WLAN in ein eigenes VLAN packen wäre die Bridge so nicht vorhanden.

Und genau das Interface Bridge_BR0 entspricht 192.168.80.0/24. SRX320 entspricht hier direkt der IP-Adresse 192.168.80.1. In der be.ip Plus kann man mit sogenannten Address-Aliasen arbeiten die man zuvor konfigurieren muss.

Das mit der Gegenregel habe ich jetzt so nicht konfiguriert muss ich gleich mal austesten ob das funktioniert. Alternativ teste ich das auch mit der Vertrauensstufe das ich die auf Trusted setze.

Vielen Dank für den Input und ich melde mich dann nochmal face-smile
Member: ChriBo
ChriBo Jan 05, 2019 at 11:46:10 (UTC)
Goto Top
Hallo,
steht die Tunnel zwischen der SRX320 und den Gegenstellen ?

CH
Member: liquidbase
liquidbase Jan 05, 2019 at 12:52:25 (UTC)
Goto Top
Ja alle konfigurieren Tunnelverbindungen stehen und sind sofort einsatzbereit wenn ich die Fritzbox wieder in das Netz hänge.
Member: liquidbase
liquidbase Jan 05, 2019 updated at 15:26:42 (UTC)
Goto Top
So der VPN-Zugriff läuft jetzt wie gewünscht über die be.ip Plus mit der SRX320 als Gateway für die Tunnel.
Danke noch mal an @tikayevent. Dein Vorschlag war ein Teilaspekt der Lösung. Zum anderen müssen für jeden Tunnel zwei Regeln vorhanden sein um den Zugriff zu erlauben und nebenher konnte ich einen Fehler in der VPN-Config finden und beheben.

Samstag ist gerettet und es kann weiter gehen mit der Einrichtung der neuen Räume face-smile