tomskhc
Goto Top

Static route IPSEC Tunnel

Guten Abend,

Ein Standard NetzwerkA (192.168.1.100-105) mit Standardgateway 192.168.1.254.

Nun erweitert sich das NetzwerkA um NetzwerkB über ein IPSEC VPN Tunnel.
Das ganze ist bis jetzt nur um den Tunnel erweitert worden.

NetzwerkA

<---IPSEC VPN-192.168.3.1 mr600--><---><192.168.1.254 Gateway><---><192.168.1.100 Server -105 Clients>


NetzwerkB
<---IPSEC VPN-192.168.2.1 mr600--><---><192.168.8.1-5 Clients>

Auf 192.168.1.100 hängt ein SMB Server wo alle Clients aus .1.x und .8.x zugreifen sollen.
Standardgateway ist immer 192.168.1.254, den man nicht ändern kann, sonnst sind alle ips veränderbar.
Zur Verfügung stehen 2xmr600 (tunnel und static ips) und wenn nötig 2xddwrt router mit wan und lan port.

Mit Static routes soll das ganze gerouted werden. Die Tunnel laufen stabil.

Mfg
Fluffz

Content-ID: 625064

Url: https://administrator.de/forum/static-route-ipsec-tunnel-625064.html

Ausgedruckt am: 27.12.2024 um 03:12 Uhr

tech-flare
tech-flare 22.11.2020 um 22:10:28 Uhr
Goto Top
Hallo,

Das ist jetzt was? Eine Frage? Wenn ja, wo?

Du schreibst die Antwort ja bereits selbst

Mit Static routes soll das ganze gerouted werden. Die Tunnel laufen stabil.
TomskHC
TomskHC 23.11.2020 um 09:36:11 Uhr
Goto Top
Ja genau, stimmt, eine Frage:

Wie müssen die Routen in den einzelnen Routern gelegt werden?

mfg
fluffz
aqui
aqui 23.11.2020 aktualisiert um 12:38:45 Uhr
Goto Top
Die Zeichnung ist leider etwas zweideutig, so das nicht ganz klar ist was technisch genau mit "Erweitern" gemeint ist ?!
Wie muss man sich das vorstellen ? Haben die vorhandenen Router mehrere LAN Schnittstellen an denen jetzt nur weitere IP Netze aktiviert wurden also quasi so:

2vpn-1

Oder sind dort separate Router dazugekommen die diese neuen IP Netze ankoppeln wie hier dargestellt, denn mit 2 IP Netzen gemeinsam auf "einem Draht" zu arbeiten ist technisch nicht möglich und zudem ein Verstoß gegen den TCP/IP Standard.

2vpn-2

Einzig nur in Szenario 2 (zusätzliche Router zur Ankopplung) sind überhaupt statische Routen auf den beteiligten Routern erforderlich.
In Szenario 1 benötigst du keinerlei statische Routen ! Logisch, denn die zusätzlichen IP Netze sind an den vorhandenenen Routern ja direkt angeschlossen und somit "kennen" die dann ihre IP Netze, was statische Routen dann folglich sinnfrei macht.

Um die jeweils neuen IP Netze auf der anderen Seite via VPN bekannt zu machen, musst du lediglich eine 2te Phase 2 SA in die VPN Konfig hinzufügen und fertig ist der Lack. IPsec distribuiert die Routen bekanntlich damit automatisch.
Das geht jetzt allerdings davon aus das die VPN Kopplung das IPsec Protokoll verwendet. Leider ist deine o.a. Beschreibung dort auch sehr oberflächlich und die Angabe des verwendeten VPN Protokolls fehlt, so das wir leider im freien Fall raten müssen hier. face-sad
Wie sowas mit mehreren Phase 2 SAs aussieht zeigen dir diese Threads:
2 PfSensen mit OpenVPN verbinden 1x Server 1x Client
PfSense IPsec hub and spoke
PFSense mit Fritzboxen verbinden
Wie bereits gesagt: IPsec jetzt frei geraten... Bei OpenVPN o.ä. sähe die VPN Routing Konfig natürlich anders aus.
TomskHC
TomskHC 23.11.2020 aktualisiert um 19:51:40 Uhr
Goto Top
Hallo,

OK verstehe. Hier ein Diagramm.
Vielleicht lässt sich damit mehr anfangen. Ich habe die IPs geändert damit es leichter ist.

In Netzwerk A ist noch ein router 192.168.1.254, der macht noch ein Routing nach 10.240.x.x.
Zur weiteren Erklärung das hier lesen.
https://www.wis.at/wiki/doku.php?id=handbuch:integration_in_das_gin#prob ...

Zusammenfassend:
NetzA 192.168.1.0/24 besteht und wir über den Cisco wie oben beschrieben static geroutet.
Jetzt kommt NetzB 192.168.8.0/24 dazu, die sollen auf den GIN zugreifen können.

Wie nennt sich das Tool fürs zeichnen des Netzwerks?
netzwerkplan neu
aqui
aqui 24.11.2020 um 09:39:55 Uhr
Goto Top
Sorry, aber deine manipulierte Zeichnung oben ist ohne Aussage und die obige weiter verwirrende Beschreibung ("...ist noch ein Router 192.168.1.254, der macht noch ein Routing nach 10.240.x.x....") macht es unmöglich dein Design hier richtig zu verstehen. Zumal hier jetzt auch noch IP Netze auftauchen die im Originalpost gar nicht vorkommen. face-sad

Bevor wir uns hier also alle endlos im Kreis drehen und aneinander vorbeireden solltest du besser eine kurze Topologieskizze hier posten wie wir dein Netzwerk Design denn nun zu verstehen haben ! So ist es vollkommen unmöglich dir eine zielführendfe und helfende Antwort zu geben ohne im freien Fall raten zu müssen. Das kann ja auch nicht in deinem Sinne für eine Lösung sein, oder ?

Wie nennt sich das Tool fürs Zeichnen des Netzwerks?
Da gibt es mehrere:
Winblows = Visio oder Draw vom Libre Office
Mac = Omnigraffle
Linux = dia oder Draw ebenso aus Libre Office
Alles nutzt die freien Cisco Network Topology Icons: https://www.cisco.com/c/en/us/about/brand-center/network-topology-icons. ...
Und nun bist du erstmal dran mit einer verwendbaren Topologie Zeichnung zu deiner Frage... face-wink
TomskHC
TomskHC 12.05.2021 um 09:18:53 Uhr
Goto Top
Hallo,

ja sry für die lange zeit.

wie wurde es gelöst.

profi firewall die RIP2 durch den tunnel weiter gibt.
Netzwerk A Router A hat RIP2 laufen, das durch den tunnel bringen funktioniert nur mit profi hardware.

damit static routing auch im b netzwerk
148523
148523 12.05.2021 um 10:29:41 Uhr
Goto Top
damit static routing auch im b netzwerk
Warum static wenn mit RIPv2 nun alles dynamisch ist ?!