nixverstehen
Goto Top

VPN-Client Verbindung von extern in alle Subnetze

Hallo zusammen,

jetzt habe ich die ganze Woche gewartet, bis Freitag ist face-wink und ich meine Frage stellen kann.

Ich möchte von meinem Laptop zuhause über einen VPN-Client (NCP bzw. Lancom) auf unser in der Firma zugreifen. Das klappt auch
wunderbar, aber nur in ein Subnetz. Der Aufbau sieht folgendermaßen aus:

Router (Lancom 1781VA):

VLAN1 (untagged) 172.16.1.0/24 mit Routeradresse 172.16.1.1
VLAN100 (tagged) 172.16.100.0/24 mit Routeradresse 172.16.100.1
Rückroute 192.168.1.0/24 bis 192.168.4.0/24 nach 172.16.100.2 (L3-Switch)

L3-Switch (Cisco SG350X-24MP):

VLAN1 (untagged) 172.16.1.2
VLAN100 (tagged) 172.16.100.2 (Default-Route fürs Internet)
VLAN10 (tagged) 192.168.1.2
VLAN20 (tagged) 192.168.2.2
VLAN30 (tagged) 192.168.3.2
VLAN40 (tagged) 192.168.4.2

L2-Switch 1 (Lancom GS-2328P)

VLAN1 (untagged) 172.16.1.3
VLAN10 (tagged)
VLAN20 (tagged)
VLAN30 (tagged)
VLAN40 (tagged)

L2-Switch 2 (D-Link DGS-1210-10P):

VLAN1 (untagged) 172.16.1.4
VLAN10 (tagged)
VLAN20 (tagged)
VLAN30 (tagged)
VLAN40 (tagged)

Über die VPN-Verbindung (172.16.1.200) komme ich von extern auf 172.16.1.1 (Router), 172.16.1.2 (L3-Switch), 172.16.1.3 und 172.16.1.4 (L2-Switches) sowie auf 172.16.100.1 (Router VLAN100).
Aber auf 172.16.100.2 (L3-Switch VLAN100) sowie in VLAN10 - 40 komme ich nicht.
Ich bin mir ziemlich sicher, das es an einer simplen Firewall-Regel liegt. Wenn ich testweise die Firewall auf dem Router deaktiviere, habe ich Verbindung in alle Netze.
Auf dem VPN-Client ist Split-Tunneling für die notwendigen Netze angelegt und zuhause nutze ich 192.168.0.0/24.

Auf der Firewall sind HTTP, HTTPS, SMTP, IMAP von allen lokalen Netzen nach extern erlaubt und ansonsten alles untersagt.Wie müsste denn die Regel aussehen, um in alle lokalen Netze zu kommen?

Ich weiß...Anfängerfrage....aber es ist ja Freitag face-smile

Gruß NV

Content-Key: 394261

Url: https://administrator.de/contentid/394261

Printed on: April 21, 2024 at 03:04 o'clock

Member: Pjordorf
Pjordorf Nov 30, 2018 updated at 14:44:59 (UTC)
Goto Top
Hallo,

Zitat von @NixVerstehen:
Das klappt auch wunderbar, aber nur in ein Subnetz. Der Aufbau sieht folgendermaßen aus:
Und in welches VLAN klappt es?

VLAN1 (untagged) 172.16.1.2
Ist eine IP und keine Netzaddresse.

VLAN10 (tagged) 192.168.1.2
Ist auch wieder eine IP und keine Netzaddresse, aber dein VLAN1 hat die gleiche IP.

VLAN20 (tagged) 192.168.2.2
VLAN30 (tagged) 192.168.3.2
VLAN40 (tagged) 192.168.4.2
Sind alles IPs und keine Netzaddressen.

VLAN1 (untagged) 172.16.1.3
Ein anderes VLAN1 als dein VLAN1 mit IP 172.16.1.2?

VLAN1 (untagged) 172.16.1.4
Ein anderes VLAN1 als dein VLAN1 mit IP 172.16.1.2 oder dein VLAN1 mit IP 172.16.1.3?

Wenn ich testweise die Firewall auf dem Router deaktiviere, habe ich Verbindung in alle Netze
Dann schau in dein LOG warum die Firewall sperrt.

Auf der Firewall sind HTTP, HTTPS, SMTP, IMAP von allen lokalen Netzen nach extern erlaubt und ansonsten alles untersagt.Wie müsste denn die Regel aussehen, um in alle lokalen Netze zu kommen?
Und ICMP (ping) nicht?

Gruß,
Peter
Member: NixVerstehen
NixVerstehen Nov 30, 2018 at 15:34:04 (UTC)
Goto Top
Zitat von @Pjordorf:

Hallo,

Zitat von @NixVerstehen:
Das klappt auch wunderbar, aber nur in ein Subnetz. Der Aufbau sieht folgendermaßen aus:
Und in welches VLAN klappt es?
In VLAN1

VLAN1 (untagged) 172.16.1.2
Ist eine IP und keine Netzaddresse.
Sorry...unzureichend ausgedrückt-> Adresse des L3-Switches im VLAN1

VLAN10 (tagged) 192.168.1.2
Ist auch wieder eine IP und keine Netzaddresse, aber dein VLAN1 hat die gleiche IP.
-> Adresse des L3-Switches im VLAN10 (ist doch nicht gleich? Adresse VLAN1 = 172.16.1.2, Adresse VLAN10=192.168.1.2

VLAN20 (tagged) 192.168.2.2
VLAN30 (tagged) 192.168.3.2
VLAN40 (tagged) 192.168.4.2
Sind alles IPs und keine Netzaddressen.
Auch hier sorry...unzureichend ausgedrückt-> Adressen des L3-Switches in den jeweiligen VLANs

VLAN1 (untagged) 172.16.1.3
Ein anderes VLAN1 als dein VLAN1 mit IP 172.16.1.2?
L2-Switch Nr. 1 mit dieser Adresse im VLAN1

VLAN1 (untagged) 172.16.1.4
Ein anderes VLAN1 als dein VLAN1 mit IP 172.16.1.2 oder dein VLAN1 mit IP 172.16.1.3?
L2-Switch Nr. 2 mit dieser Adresse im VLAN1

Wenn ich testweise die Firewall auf dem Router deaktiviere, habe ich Verbindung in alle Netze
Dann schau in dein LOG warum die Firewall sperrt.
Ich schaue heute abend mal drauf.

Auf der Firewall sind HTTP, HTTPS, SMTP, IMAP von allen lokalen Netzen nach extern erlaubt und ansonsten alles untersagt.Wie müsste denn die Regel aussehen, um in alle lokalen Netze zu kommen?
Und ICMP (ping) nicht?
Leider nein.

Gruß,
Peter
Vielen Dank. Melde mich wieder, wenn ich das FW-Log angeschaut habe.
Gruß NV
Member: Pjordorf
Pjordorf Nov 30, 2018 updated at 16:09:28 (UTC)
Goto Top
Hallo,

Zitat von @NixVerstehen:
Adresse des L3-Switches im VLAN10 (ist doch nicht gleich? Adresse VLAN1 = 172.16.1.2, Adresse VLAN10=192.168.1.2
Sorry mein Fehler. Hatte nur die .1.2 gesehen und diese falsch registriert.

Und ICMP (ping) nicht?
Leider nein.
Und du wunderst dich das ein Ping nicht geht? (ICMP Request und ICMP Echo Reply)
https://en.wikipedia.org/wiki/Internet_Control_Message_Protocol
https://en.wikipedia.org/wiki/Ping_(networking_utility)
Und auch im Wireshark siehst du IVMP (Ping) ganz deiutlich.
https://wiki.wireshark.org/Internet_Control_Message_Protocol

Mal mal deine Switche und Router auf nen Blatt Papier, ordne die Netze und IPS sowie GWs zu und evtl auch die SNMasken so oder sind die alle /24, und auch deine VLANs und dein VPN (nicht vergessen) zu damit wir und du sehen kannst wie dein Client ausm Internet (VPN) sich wohin verbinden soll (z.B. per ICMP (Ping) und stelle das hier rein.

Gruß,
Peter
Member: NixVerstehen
NixVerstehen Nov 30, 2018 at 16:20:42 (UTC)
Goto Top
Hallo,

ich mach am WE mal ein Visio davon. Auf der FW ist ICMP natürlich von "any" nach "any" erlaubt. Sorry, hatte ich vergessen zu schreiben.
Wünsch dir ein schönes Wochenende und danke.

Gruß Arno
Member: Pjordorf
Pjordorf Nov 30, 2018 at 16:39:28 (UTC)
Goto Top
Hallo,

Zitat von @NixVerstehen:
ich mach am WE mal ein Visio davon. Auf der FW ist ICMP natürlich von "any" nach "any" erlaubt. Sorry, hatte ich vergessen zu schreiben.
Dann schau in den Logs wo dein Packet geblockt (gelöscht) wird oder falsch abbiegt und wohin eine evtl Antwort auf dein Echo Request hin geschickt wird (Route nd Rückroute). Da auch ein Fritte ein Packet Capture beherrscht sollten deine Teilchenbeschleuniger das auch können bzw. Mirror Ports bieten. Nutze deinen Wireshark um zu finden wer falsche Einstellungen oder Routen bildet.

Gruß,
Peter
Member: NixVerstehen
NixVerstehen Dec 17, 2018 at 13:57:23 (UTC)
Goto Top
Servus,

@Pjordorf: Hier mal das Visio. Aber inzwischen hüpft es, ist aber im Bild noch nicht berücksichtigt.

netzdiagramm

Die Lösung war, auf dem Router ein zusätzliches Netz 192.168.10.0/24 anzulegen und hieraus dann die Adresse für den VPN-Client zu bedienen
(192.168.10.200). Der Lancom-Router/Firewall kennt dann logischerweise dieses Netz und gibt Ruhe. Vorher (wie im Bild) hat ein Zugriff von 172.16.1.200 nach bspw. 192.168.1.19 auf dem Rückweg IDS-Alarm ausgelöst. Jetzt passt es und ich hab von zuhause Zugriff auf alles notwendige.

@tikayevent: Vielen Dank für den entscheidenden Hinweis.

Mal wieder ein Anfängerfehler *grmpf*

Gruß NV
Member: Pjordorf
Pjordorf Dec 17, 2018 updated at 14:04:37 (UTC)
Goto Top
Hallo,

Zitat von @NixVerstehen:
@tikayevent: Vielen Dank für den entscheidenden Hinweis.
Von ihm haben wir hier nichts gelesen?!?

Gruß,
Peter
Member: NixVerstehen
NixVerstehen Dec 17, 2018 updated at 14:14:56 (UTC)
Goto Top
Hallo Peter,

war außerhalb des Forums.

Gruß Arno

Edit: Aber du lagst natürlich auch richtig mit dem Hinweis, die Logs anzuschauen.