Topic: Frage zu IPSEC und lokales Subnetz.
Hallo,
derzeit habe ich das Problem das ich auf den Tunnel nicht zugreifen kann. Es war leider eine voraussetzung von dem gegenüber, dass das lokale Subnetz auf 192.168.2.100/32 eingestellt ist.
Das LAN Subnetz hingegen ist 192.168.1.1
Ziel ist es eine Verbindung per ftp über diesen Tunnel aufzubauen. Wie bekomme ich es hin damit ich vom Subnetz 182.168.1.1 auf den Tunnel "212.184.195.209" zugreifen kann?
[code]
conn test
left=192.168.178.3
leftnexthop=%defaultroute
leftsubnet=192.168.2.100/32
leftfirewall=yes
lefthostaccess=yes
right=212.184.195.xxx
rightsubnet=212.184.195.209/32
rightnexthop=%defaultroute
ike=aes256-sha-modp1536
esp=aes256-sha1
keyexchange=ikev1
ikelifetime=1h
keylife=8h
dpddelay=30
dpdtimeout=120
dpdaction=restart
pfs=no
authby=secret
auto=start
[/code]
derzeit habe ich das Problem das ich auf den Tunnel nicht zugreifen kann. Es war leider eine voraussetzung von dem gegenüber, dass das lokale Subnetz auf 192.168.2.100/32 eingestellt ist.
Das LAN Subnetz hingegen ist 192.168.1.1
Ziel ist es eine Verbindung per ftp über diesen Tunnel aufzubauen. Wie bekomme ich es hin damit ich vom Subnetz 182.168.1.1 auf den Tunnel "212.184.195.209" zugreifen kann?
[code]
conn test
left=192.168.178.3
leftnexthop=%defaultroute
leftsubnet=192.168.2.100/32
leftfirewall=yes
lefthostaccess=yes
right=212.184.195.xxx
rightsubnet=212.184.195.209/32
rightnexthop=%defaultroute
ike=aes256-sha-modp1536
esp=aes256-sha1
keyexchange=ikev1
ikelifetime=1h
keylife=8h
dpddelay=30
dpdtimeout=120
dpdaction=restart
pfs=no
authby=secret
auto=start
[/code]
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 257505
Url: https://administrator.de/forum/topic-frage-zu-ipsec-und-lokales-subnetz-257505.html
Ausgedruckt am: 18.05.2025 um 04:05 Uhr
12 Kommentare
Neuester Kommentar
Hi,
Wo in diesem Konstrukt ist das Netz 192.168.2.100/32 ..... Wie ich gerad sehe: Das ist kein Netz sondern eine Host-Adresse .!?
Genaue Fakten! Dann kannst Du hilfreiche Antworten erwarten.
E.
derzeit habe ich das Problem das ich auf den Tunnel nicht zugreifen kann. Es war leider eine voraussetzung von dem gegenüber,
dass das lokale Subnetz auf 192.168.2.100/32 eingestellt ist.
Das LAN Subnetz hingegen ist 192.168.1.1
Kannst Du das bitte mal genauer erklären? Wo ist für Dich der Unterschied zwischen "das lokale Subnetz" und "Das LAN Subnetz"?dass das lokale Subnetz auf 192.168.2.100/32 eingestellt ist.
Das LAN Subnetz hingegen ist 192.168.1.1
Ziel ist es eine Verbindung per ftp über diesen Tunnel aufzubauen. Wie bekomme ich es hin damit ich vom Subnetz 182.168.1.1
auf den Tunnel "212.184.195.209" zugreifen kann?
Und hier meinst Du sicher 192.168.1.1 ?auf den Tunnel "212.184.195.209" zugreifen kann?
Wo in diesem Konstrukt ist das Netz 192.168.2.100/32 ..... Wie ich gerad sehe: Das ist kein Netz sondern eine Host-Adresse .!?
Genaue Fakten! Dann kannst Du hilfreiche Antworten erwarten.
E.
Deine Topologie Beschreibung der IP Adressierung ist etwas wirr, sorry. Erst wird dir vorgeschrieben das du 192.168.2.0 /24 als lokales Netz verwenden musst, dann nimmst du aber ein völlig anderes IP Netz 192.168.1.0 /24 was ja dann niemals gehen kann, denn in der Phase 2 wird das negotiated. Ein Mismatch führt zum sofortigen Abbruch des Tunnels.
Welche IP Adressierung ist denn jetzt gültig ? Oder kannst du das .1.0er Netz nicht umkonfigurieren ? Wenn ja hilft nur ein lokales NAT auf eine .2.0er Adresse...klar ! Denn wenn die andere Seite von der Konfig dieses IP netz vorschreibt kannst du nicht einfach ein anderes IP Netz verwenden. Ein IPsec Tunnel kommt dann nicht zustande. Die Konfig Parameter auf beiden Seiten des Tunnels müssen identisch sein !
Auch was der wirre [code] Schnipsel soll bzw. wo das herkommt bleibt im Unklaren.
Damit ist eine zielgerichtete Hilfe quasi unmöglich
Grundlagen kannst du ggf. vorab hier nachlesen:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Welche IP Adressierung ist denn jetzt gültig ? Oder kannst du das .1.0er Netz nicht umkonfigurieren ? Wenn ja hilft nur ein lokales NAT auf eine .2.0er Adresse...klar ! Denn wenn die andere Seite von der Konfig dieses IP netz vorschreibt kannst du nicht einfach ein anderes IP Netz verwenden. Ein IPsec Tunnel kommt dann nicht zustande. Die Konfig Parameter auf beiden Seiten des Tunnels müssen identisch sein !
Auch was der wirre [code] Schnipsel soll bzw. wo das herkommt bleibt im Unklaren.
Damit ist eine zielgerichtete Hilfe quasi unmöglich
Grundlagen kannst du ggf. vorab hier nachlesen:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
War jetzt auch mal im freien Fall geraten weil auch hier leider mal wieder Oberflächlichkeit herrscht und keinerlei Masken genannt wurden... 
Auch wieder klarer Fall von unintelligenter IP Adressplanung weil das_hier wieder mal nicht beachtet wurde...wie immer
Auch wieder klarer Fall von unintelligenter IP Adressplanung weil das_hier wieder mal nicht beachtet wurde...wie immer
Zitat von @aqui:
Auch wieder klarer Fall von unintelligenter IP Adressplanung weil das_hier wieder mal nicht beachtet wurde...wie immer
Hast Du da Langeweile gehabt?! Auch wieder klarer Fall von unintelligenter IP Adressplanung weil das_hier wieder mal nicht beachtet wurde...wie immer
Guter Artikel ...E.
Die Beschreibung war etwas komisch tut mir leid.
Im Router ist die LAN Adressbereich auf: 192.168.1.0/24 eingestellt.
der Tunnel hingegen ist auf Lokales Subnetz: 192.168.2.100/32 einstellt.
Wie schaff ich die Packete über diese VPN Verbindung zu schicken obwohl das LAN Netzwerk vom Router in ein anderen Bereich ist?
Im speziellen geht es hier um eine VPN Verbindung.
Leider kann ich keine Bilder anhängen sonst würd ich dies zur Verdeutlichung tun.
Im Router ist die LAN Adressbereich auf: 192.168.1.0/24 eingestellt.
der Tunnel hingegen ist auf Lokales Subnetz: 192.168.2.100/32 einstellt.
Wie schaff ich die Packete über diese VPN Verbindung zu schicken obwohl das LAN Netzwerk vom Router in ein anderen Bereich ist?
Im speziellen geht es hier um eine VPN Verbindung.
Leider kann ich keine Bilder anhängen sonst würd ich dies zur Verdeutlichung tun.
Aha, Schon klarer.
Und was ist "212.184.195.209". Der Zielhost oder das Zielnetz?
Welche Maske hat das Zielnetz?
Wie lautet die IP-Adresse am anderen Ende des Tunnels? Deine Tunnel-Adresse ist 192.168.2.100. Also muss die Gegenseite 192.168.2.x sein.
Wenn Du diese Daten hast, dann kannst Du im Router ne Route setzen
E.
Und was ist "212.184.195.209". Der Zielhost oder das Zielnetz?
Welche Maske hat das Zielnetz?
Wie lautet die IP-Adresse am anderen Ende des Tunnels? Deine Tunnel-Adresse ist 192.168.2.100. Also muss die Gegenseite 192.168.2.x sein.
Wenn Du diese Daten hast, dann kannst Du im Router ne Route setzen
E.
Remote ip ist die 212.184.195.211 und das Subnetz der Gegenseite ist: 212.184.195.209/32
Der Tunnel steht nur kann ich aus dem Netzwerk nicht drauf zugreifen.
Der Tunnel steht nur kann ich aus dem Netzwerk nicht drauf zugreifen.
Remote ip ist die 212.184.195.211
Das geht nicht. Wenn Dein Tunnel Enpunkt 192.168.2.100 sein soll (Du hast uns immer noch nicht die Maske verraten), dann muss der Endpunkt am anderen Ende im selben Netz sein. Also Höchstwahrscheinlich 192.168.2.xund das Subnetz der Gegenseite ist: 212.184.195.209/32
Netze können keine 32'-Masken haben!Entweder fragst Du auf der Gegenseite die falsche Person oder diese hat keine Ahnung von diesem Thema oder Du verstehst bloß nicht, was sie Dir sagen will.
E.
Beides ist auf /32 eingestellt. Eine Route/Forwarding kann man nicht herstellen damit man nicht im gleichen Netz sein muss?
Wer "Beides"?
Was hast Du überhaupt für ein Router?
Geht der Tunnel über Internet?
Oder über eine "VPN Wolke"?
Oder über irgendein anderes fremdes Netz?
Dein Router hat eine interne und eine externe Adresse. Und dann hat er noch eine im VPN-Tunnel.
1. Wie lautet die interne Adresse? Und die Maske?
2. Wie lautet die externe Adresse? Und die Maske? Ist diese überhaupt statisch üder eine dynamische vom ISP?
3. Wie lautet die Adresse des Routers im VPN-Tunnel?
4. Wie lautet die Adresse des Routers auf der Gegenseite im Tunnel?
5. Steht die VPN-verbindung überhaupt schon? Ist das vielleicht das Problem, dass der Tunnel gar nicht erst aufgebaut wird?
6. Wenn der Tunnel nich nicht stehen sollte, dann musst Du da erst mal anfangen.
Wenn Du diese Fragen nicht beantworrten kannst, dann vielleicht die IT der Gegenseite?
E.
Eine Route/Forwarding kann man nicht herstellen damit man nicht im gleichen Netz sein muss?
Was? Sorry. Das verstehe ich vom Deutsch her nicht ....Was hast Du überhaupt für ein Router?
Geht der Tunnel über Internet?
Oder über eine "VPN Wolke"?
Oder über irgendein anderes fremdes Netz?
Dein Router hat eine interne und eine externe Adresse. Und dann hat er noch eine im VPN-Tunnel.
1. Wie lautet die interne Adresse? Und die Maske?
2. Wie lautet die externe Adresse? Und die Maske? Ist diese überhaupt statisch üder eine dynamische vom ISP?
3. Wie lautet die Adresse des Routers im VPN-Tunnel?
4. Wie lautet die Adresse des Routers auf der Gegenseite im Tunnel?
5. Steht die VPN-verbindung überhaupt schon? Ist das vielleicht das Problem, dass der Tunnel gar nicht erst aufgebaut wird?
6. Wenn der Tunnel nich nicht stehen sollte, dann musst Du da erst mal anfangen.
Wenn Du diese Fragen nicht beantworrten kannst, dann vielleicht die IT der Gegenseite?
E.
Nur mal nebenbei:
Erstmal ist das totaler Unsinn, da da immer 2 IP Netze (Hostteil auf 0) definiert sein müssen und keine Host IP mit einer /32er Maske.
Zum zweiten stimmen die IPs nicht ! Konfig Fehler und IP Adressfehler !
Du musst das lokale LAN am Router auf diese IP Adresse anpassen und das auch so mit der Netzwerkadresse im Setup einstellen, sonst klappt es nicht !
Ist aber ja mit 3 Mausklicks und DHCP Server schnell erledigt sofern dein lokales LAN klein ist.
Im Router ist die LAN Adressbereich auf: 192.168.1.0/24 eingestellt.
der Tunnel hingegen ist auf Lokales Subnetz: 192.168.2.100/32 einstellt.
Das ist von vorn herein zum Scheitern veruteilt und kann natürlich niemals klappen !der Tunnel hingegen ist auf Lokales Subnetz: 192.168.2.100/32 einstellt.
Erstmal ist das totaler Unsinn, da da immer 2 IP Netze (Hostteil auf 0) definiert sein müssen und keine Host IP mit einer /32er Maske.
Zum zweiten stimmen die IPs nicht ! Konfig Fehler und IP Adressfehler !
Du musst das lokale LAN am Router auf diese IP Adresse anpassen und das auch so mit der Netzwerkadresse im Setup einstellen, sonst klappt es nicht !
Ist aber ja mit 3 Mausklicks und DHCP Server schnell erledigt sofern dein lokales LAN klein ist.
