5
VPN IKEv1 SA Aushandlung
Hallo Leute,
ich habe mal eine Frage bzgl. SA-Aushandlungen. Wenn wir z.B. folgende Konstellation haben:
VPN - Client -> VPN GW - > Coreswitch - VPN GW - Server
Die direkte Verbindung vom VPN-Client zum ersten GW ist mit gegenseitiger manueller SA-Regelerzeugung erstellt worden.
Nach meinem Kenntnisstand benötigt man nun ebenfalls eine SA vom VPN-Client zum Servernetz, die auf dem Client hinterlegt wird.
Was ist nun mit den ganzen Transfernetzen, die werden dann einfach durchgeroutet, oder wird für jedes Netz, zum Endnetz eine SA benötigt?
Vielen Dank
ich habe mal eine Frage bzgl. SA-Aushandlungen. Wenn wir z.B. folgende Konstellation haben:
VPN - Client -> VPN GW - > Coreswitch - VPN GW - Server
Die direkte Verbindung vom VPN-Client zum ersten GW ist mit gegenseitiger manueller SA-Regelerzeugung erstellt worden.
Nach meinem Kenntnisstand benötigt man nun ebenfalls eine SA vom VPN-Client zum Servernetz, die auf dem Client hinterlegt wird.
Was ist nun mit den ganzen Transfernetzen, die werden dann einfach durchgeroutet, oder wird für jedes Netz, zum Endnetz eine SA benötigt?
Vielen Dank
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 389006
Url: https://administrator.de/forum/vpn-ikev1-sa-aushandlung-389006.html
Ausgedruckt am: 22.03.2025 um 12:03 Uhr
5 Kommentare
Neuester Kommentar
Es ist nicht zwingend notwendig, aber man muss dann z.B. auf traceroute als Diagnosewerkzeug verzichten.
oder wird für jedes Netz, zum Endnetz eine SA benötigt?
Nein, das kommt darauf an was für eine Subnetzmakse du an den Client versendest. Bei entsprechender Größe und sofern die Netze konsistent sind reicht eine SA.Bei wilder Verteilung musst du mehrere SAs definieren !
Das bedeutet, wenn ich eine Maske mit entsprechend großem Subnet habe, dann sind die eingeteilten Subnetzenatürlich abgedeckt.
Sollten es aber immer einzelne Netze sein, dann benötige ich immer eine entsprechende SA.
@TiKa
Wenn ich obigeres lese, dann bedeutet dies, dass meine Pakete zwar durchgeroutet werden, ich aber
keine "Vertrauenstellung" zu dem Netzwerk habe, richtig verstanden ?
Sollten es aber immer einzelne Netze sein, dann benötige ich immer eine entsprechende SA.
@TiKa
Wenn ich obigeres lese, dann bedeutet dies, dass meine Pakete zwar durchgeroutet werden, ich aber
keine "Vertrauenstellung" zu dem Netzwerk habe, richtig verstanden ?
Das bedeutet, wenn ich eine Maske mit entsprechend großem Subnet habe....
Nein !Vermutlich hast du das missverstanden ?!
Nehmen wir mal an du hast remote die folgenden IP Netze:
- 192.168.10.0 /24
- 192.168.20.0 /24
- 192.168.30.0 /24
- bis 192.168.100.0 /24
Diese SA routet dann alle IP Netze von 192.168.0.1 bis 192.168.127.254 in den VPN Tunnel und deckt damit alle deine remoten Netze ab.
Hast du aber sowas:
- 10.1.1.0 /24
- 172.16.1.0 /24
- 172.32.100.0 /24
- 192.168.168.0 /24
Die Pakete zu einem Netzwerk gehen, für die es keine Netzbeziehung gibt (src <=> dst) werden verworfen. Die Netzbeziehung ist aber nicht nötig, wenn ein solches Netz nur für den Transit genutzt wird, da ja keine direkte Kommunikation mit dem Netzwerk nötig ist.
Ist im Internet genauso, in reine Transitverbindungen eines Providers kannst du nicht reingreifen, wenn du diese überhaupt siehst.
Ist im Internet genauso, in reine Transitverbindungen eines Providers kannst du nicht reingreifen, wenn du diese überhaupt siehst.
