7
Static route IPSEC Tunnel
Guten Abend,
Ein Standard NetzwerkA (192.168.1.100-105) mit Standardgateway 192.168.1.254.
Nun erweitert sich das NetzwerkA um NetzwerkB über ein IPSEC VPN Tunnel.
Das ganze ist bis jetzt nur um den Tunnel erweitert worden.
Auf 192.168.1.100 hängt ein SMB Server wo alle Clients aus .1.x und .8.x zugreifen sollen.
Standardgateway ist immer 192.168.1.254, den man nicht ändern kann, sonnst sind alle ips veränderbar.
Zur Verfügung stehen 2xmr600 (tunnel und static ips) und wenn nötig 2xddwrt router mit wan und lan port.
Mit Static routes soll das ganze gerouted werden. Die Tunnel laufen stabil.
Mfg
Fluffz
Ein Standard NetzwerkA (192.168.1.100-105) mit Standardgateway 192.168.1.254.
Nun erweitert sich das NetzwerkA um NetzwerkB über ein IPSEC VPN Tunnel.
Das ganze ist bis jetzt nur um den Tunnel erweitert worden.
NetzwerkA
<---IPSEC VPN-192.168.3.1 mr600--><---><192.168.1.254 Gateway><---><192.168.1.100 Server -105 Clients>
NetzwerkB
<---IPSEC VPN-192.168.2.1 mr600--><---><192.168.8.1-5 Clients>Auf 192.168.1.100 hängt ein SMB Server wo alle Clients aus .1.x und .8.x zugreifen sollen.
Standardgateway ist immer 192.168.1.254, den man nicht ändern kann, sonnst sind alle ips veränderbar.
Zur Verfügung stehen 2xmr600 (tunnel und static ips) und wenn nötig 2xddwrt router mit wan und lan port.
Mit Static routes soll das ganze gerouted werden. Die Tunnel laufen stabil.
Mfg
Fluffz
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 625064
Url: https://administrator.de/contentid/625064
Ausgedruckt am: 23.11.2024 um 12:11 Uhr
7 Kommentare
Neuester Kommentar
Hallo,
Das ist jetzt was? Eine Frage? Wenn ja, wo?
Du schreibst die Antwort ja bereits selbst
Das ist jetzt was? Eine Frage? Wenn ja, wo?
Du schreibst die Antwort ja bereits selbst
Mit Static routes soll das ganze gerouted werden. Die Tunnel laufen stabil.
Ja genau, stimmt, eine Frage:
Wie müssen die Routen in den einzelnen Routern gelegt werden?
mfg
fluffz
Wie müssen die Routen in den einzelnen Routern gelegt werden?
mfg
fluffz
Die Zeichnung ist leider etwas zweideutig, so das nicht ganz klar ist was technisch genau mit "Erweitern" gemeint ist ?!
Wie muss man sich das vorstellen ? Haben die vorhandenen Router mehrere LAN Schnittstellen an denen jetzt nur weitere IP Netze aktiviert wurden also quasi so:
Oder sind dort separate Router dazugekommen die diese neuen IP Netze ankoppeln wie hier dargestellt, denn mit 2 IP Netzen gemeinsam auf "einem Draht" zu arbeiten ist technisch nicht möglich und zudem ein Verstoß gegen den TCP/IP Standard.
Einzig nur in Szenario 2 (zusätzliche Router zur Ankopplung) sind überhaupt statische Routen auf den beteiligten Routern erforderlich.
In Szenario 1 benötigst du keinerlei statische Routen ! Logisch, denn die zusätzlichen IP Netze sind an den vorhandenenen Routern ja direkt angeschlossen und somit "kennen" die dann ihre IP Netze, was statische Routen dann folglich sinnfrei macht.
Um die jeweils neuen IP Netze auf der anderen Seite via VPN bekannt zu machen, musst du lediglich eine 2te Phase 2 SA in die VPN Konfig hinzufügen und fertig ist der Lack. IPsec distribuiert die Routen bekanntlich damit automatisch.
Das geht jetzt allerdings davon aus das die VPN Kopplung das IPsec Protokoll verwendet. Leider ist deine o.a. Beschreibung dort auch sehr oberflächlich und die Angabe des verwendeten VPN Protokolls fehlt, so das wir leider im freien Fall raten müssen hier.
Wie sowas mit mehreren Phase 2 SAs aussieht zeigen dir diese Threads:
2 PfSensen mit OpenVPN verbinden 1x Server 1x Client
PfSense IPsec hub and spoke
PFSense mit Fritzboxen verbinden
Wie bereits gesagt: IPsec jetzt frei geraten... Bei OpenVPN o.ä. sähe die VPN Routing Konfig natürlich anders aus.
Wie muss man sich das vorstellen ? Haben die vorhandenen Router mehrere LAN Schnittstellen an denen jetzt nur weitere IP Netze aktiviert wurden also quasi so:
Oder sind dort separate Router dazugekommen die diese neuen IP Netze ankoppeln wie hier dargestellt, denn mit 2 IP Netzen gemeinsam auf "einem Draht" zu arbeiten ist technisch nicht möglich und zudem ein Verstoß gegen den TCP/IP Standard.
Einzig nur in Szenario 2 (zusätzliche Router zur Ankopplung) sind überhaupt statische Routen auf den beteiligten Routern erforderlich.
In Szenario 1 benötigst du keinerlei statische Routen ! Logisch, denn die zusätzlichen IP Netze sind an den vorhandenenen Routern ja direkt angeschlossen und somit "kennen" die dann ihre IP Netze, was statische Routen dann folglich sinnfrei macht.
Um die jeweils neuen IP Netze auf der anderen Seite via VPN bekannt zu machen, musst du lediglich eine 2te Phase 2 SA in die VPN Konfig hinzufügen und fertig ist der Lack. IPsec distribuiert die Routen bekanntlich damit automatisch.
Das geht jetzt allerdings davon aus das die VPN Kopplung das IPsec Protokoll verwendet. Leider ist deine o.a. Beschreibung dort auch sehr oberflächlich und die Angabe des verwendeten VPN Protokolls fehlt, so das wir leider im freien Fall raten müssen hier.
Wie sowas mit mehreren Phase 2 SAs aussieht zeigen dir diese Threads:
2 PfSensen mit OpenVPN verbinden 1x Server 1x Client
PfSense IPsec hub and spoke
PFSense mit Fritzboxen verbinden
Wie bereits gesagt: IPsec jetzt frei geraten... Bei OpenVPN o.ä. sähe die VPN Routing Konfig natürlich anders aus.
Hallo,
OK verstehe. Hier ein Diagramm.
Vielleicht lässt sich damit mehr anfangen. Ich habe die IPs geändert damit es leichter ist.
In Netzwerk A ist noch ein router 192.168.1.254, der macht noch ein Routing nach 10.240.x.x.
Zur weiteren Erklärung das hier lesen.
https://www.wis.at/wiki/doku.php?id=handbuch:integration_in_das_gin#prob ...
Zusammenfassend:
NetzA 192.168.1.0/24 besteht und wir über den Cisco wie oben beschrieben static geroutet.
Jetzt kommt NetzB 192.168.8.0/24 dazu, die sollen auf den GIN zugreifen können.
Wie nennt sich das Tool fürs zeichnen des Netzwerks?
OK verstehe. Hier ein Diagramm.
Vielleicht lässt sich damit mehr anfangen. Ich habe die IPs geändert damit es leichter ist.
In Netzwerk A ist noch ein router 192.168.1.254, der macht noch ein Routing nach 10.240.x.x.
Zur weiteren Erklärung das hier lesen.
https://www.wis.at/wiki/doku.php?id=handbuch:integration_in_das_gin#prob ...
Zusammenfassend:
NetzA 192.168.1.0/24 besteht und wir über den Cisco wie oben beschrieben static geroutet.
Jetzt kommt NetzB 192.168.8.0/24 dazu, die sollen auf den GIN zugreifen können.
Wie nennt sich das Tool fürs zeichnen des Netzwerks?
Sorry, aber deine manipulierte Zeichnung oben ist ohne Aussage und die obige weiter verwirrende Beschreibung ("...ist noch ein Router 192.168.1.254, der macht noch ein Routing nach 10.240.x.x....") macht es unmöglich dein Design hier richtig zu verstehen. Zumal hier jetzt auch noch IP Netze auftauchen die im Originalpost gar nicht vorkommen.
Bevor wir uns hier also alle endlos im Kreis drehen und aneinander vorbeireden solltest du besser eine kurze Topologieskizze hier posten wie wir dein Netzwerk Design denn nun zu verstehen haben ! So ist es vollkommen unmöglich dir eine zielführendfe und helfende Antwort zu geben ohne im freien Fall raten zu müssen. Das kann ja auch nicht in deinem Sinne für eine Lösung sein, oder ?
Winblows = Visio oder Draw vom Libre Office
Mac = Omnigraffle
Linux = dia oder Draw ebenso aus Libre Office
Alles nutzt die freien Cisco Network Topology Icons: https://www.cisco.com/c/en/us/about/brand-center/network-topology-icons. ...
Und nun bist du erstmal dran mit einer verwendbaren Topologie Zeichnung zu deiner Frage...
Bevor wir uns hier also alle endlos im Kreis drehen und aneinander vorbeireden solltest du besser eine kurze Topologieskizze hier posten wie wir dein Netzwerk Design denn nun zu verstehen haben ! So ist es vollkommen unmöglich dir eine zielführendfe und helfende Antwort zu geben ohne im freien Fall raten zu müssen. Das kann ja auch nicht in deinem Sinne für eine Lösung sein, oder ?
Wie nennt sich das Tool fürs Zeichnen des Netzwerks?
Da gibt es mehrere:Winblows = Visio oder Draw vom Libre Office
Mac = Omnigraffle
Linux = dia oder Draw ebenso aus Libre Office
Alles nutzt die freien Cisco Network Topology Icons: https://www.cisco.com/c/en/us/about/brand-center/network-topology-icons. ...
Und nun bist du erstmal dran mit einer verwendbaren Topologie Zeichnung zu deiner Frage...
Hallo,
ja sry für die lange zeit.
wie wurde es gelöst.
profi firewall die RIP2 durch den tunnel weiter gibt.
Netzwerk A Router A hat RIP2 laufen, das durch den tunnel bringen funktioniert nur mit profi hardware.
damit static routing auch im b netzwerk
ja sry für die lange zeit.
wie wurde es gelöst.
profi firewall die RIP2 durch den tunnel weiter gibt.
Netzwerk A Router A hat RIP2 laufen, das durch den tunnel bringen funktioniert nur mit profi hardware.
damit static routing auch im b netzwerk
damit static routing auch im b netzwerk
Warum static wenn mit RIPv2 nun alles dynamisch ist ?!
