VPN IKEv1 SA Aushandlung
Hallo Leute,
ich habe mal eine Frage bzgl. SA-Aushandlungen. Wenn wir z.B. folgende Konstellation haben:
VPN - Client -> VPN GW - > Coreswitch - VPN GW - Server
Die direkte Verbindung vom VPN-Client zum ersten GW ist mit gegenseitiger manueller SA-Regelerzeugung erstellt worden.
Nach meinem Kenntnisstand benötigt man nun ebenfalls eine SA vom VPN-Client zum Servernetz, die auf dem Client hinterlegt wird.
Was ist nun mit den ganzen Transfernetzen, die werden dann einfach durchgeroutet, oder wird für jedes Netz, zum Endnetz eine SA benötigt?
Vielen Dank
ich habe mal eine Frage bzgl. SA-Aushandlungen. Wenn wir z.B. folgende Konstellation haben:
VPN - Client -> VPN GW - > Coreswitch - VPN GW - Server
Die direkte Verbindung vom VPN-Client zum ersten GW ist mit gegenseitiger manueller SA-Regelerzeugung erstellt worden.
Nach meinem Kenntnisstand benötigt man nun ebenfalls eine SA vom VPN-Client zum Servernetz, die auf dem Client hinterlegt wird.
Was ist nun mit den ganzen Transfernetzen, die werden dann einfach durchgeroutet, oder wird für jedes Netz, zum Endnetz eine SA benötigt?
Vielen Dank
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 389006
Url: https://administrator.de/forum/vpn-ikev1-sa-aushandlung-389006.html
Ausgedruckt am: 22.03.2025 um 12:03 Uhr
5 Kommentare
Neuester Kommentar
Das bedeutet, wenn ich eine Maske mit entsprechend großem Subnet habe....
Nein !Vermutlich hast du das missverstanden ?!
Nehmen wir mal an du hast remote die folgenden IP Netze:
- 192.168.10.0 /24
- 192.168.20.0 /24
- 192.168.30.0 /24
- bis 192.168.100.0 /24
Diese SA routet dann alle IP Netze von 192.168.0.1 bis 192.168.127.254 in den VPN Tunnel und deckt damit alle deine remoten Netze ab.
Hast du aber sowas:
- 10.1.1.0 /24
- 172.16.1.0 /24
- 172.32.100.0 /24
- 192.168.168.0 /24
Die Pakete zu einem Netzwerk gehen, für die es keine Netzbeziehung gibt (src <=> dst) werden verworfen. Die Netzbeziehung ist aber nicht nötig, wenn ein solches Netz nur für den Transit genutzt wird, da ja keine direkte Kommunikation mit dem Netzwerk nötig ist.
Ist im Internet genauso, in reine Transitverbindungen eines Providers kannst du nicht reingreifen, wenn du diese überhaupt siehst.
Ist im Internet genauso, in reine Transitverbindungen eines Providers kannst du nicht reingreifen, wenn du diese überhaupt siehst.