x42kampfpanzer
27.10.2015, aktualisiert am 28.10.2015
view2126
view8
0
Beitrags-Menü
  • Ausdrucken
  • Internen Beitrags-Link kopieren
  • Externen Beitrags-Link kopieren

VPN in Subnetz hinter Router

gelöstFrageNetzwerkeLAN, WAN, Wireless
Hallo an alle,

wir haben seit kurzen aufgrund von einer Empfehlung einen L3 Switch von Cisco bei uns installiert mit mehreren Subnetzen.
Gibt es eine Möglichkeit eine IPsec Verbindung zu den Subnetzen "hinter" dem Router herzustellen ohne das der Router in diesen Mitglied ist? Aktuell sind einfach statische routen für die Subnetze auf dem DrayTek zum Switch eingerichtet.

b1dc41182411d13df6b3efe5de0da043

Danke!
KP
Share articleTeilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilen

Content-ID: 286811

Url: https://administrator.de/forum/vpn-in-subnetz-hinter-router-286811.html

Ausgedruckt am: 14.05.2025 um 08:05 Uhr

8 Kommentare
Neuester Kommentar
Goto Top
catachan
catachan 27.10.2015 um 14:45:24 Uhr
Goto Top
Hi

ja, natürlich. Die statischen Routen brauchst du aber trotzdem, da der Traffic vom Draytek ja zu dem Cisco SG300 finden muss.
D.h. du machst deine VPN Config und gibst einfach bei den lokalen Netze das betreffende Subnetz ein. Dieses muss nicht direkt am Draytek anliegen

LG
X42Kampfpanzer
X42Kampfpanzer 27.10.2015 aktualisiert um 14:54:02 Uhr
Goto Top
Hallo catachan,

ok super!
Für PfSense habe ich das hier gefunden:
https://doc.pfsense.org/index.php/IPsec_with_Multiple_Subnets

Leider habe ich das schonmal probiert und bei einem zweiten Phase 2 Eintrag entsteht keine Verbindung.
Am DrayTek kann ich auch nicht mehrere Phase 2 Einträge einrichten, was mach ich denn da jetzt?

Edit:
http://www.draytek.com/index.php?option=com_k2&view=item&id=532 ...
Das hier ist ja genau umgekehrt wie ich es brauche...

Danke!
KP
aqui
aqui 28.10.2015 aktualisiert um 10:21:06 Uhr
Goto Top
Gibt es eine Möglichkeit eine IPsec Verbindung zu den Subnetzen "hinter" dem Router herzustellen ohne das der Router in diesen Mitglied ist?
Was meinst du damit genau ??
Ist dieses Subnetz NICHT am L3 Switch angeschlossen, also vollkommen isoliert ?
Leider ist vollkommen unklar was genau du erreichen willst bzw. WIE dieses Subnetz integriert ist un die L3 Umgebung.
Soll das 10.10.10.0 /24 Netz von allen Subnetzen auf der SG-300 Seite erreichbar sein und umgekehrt ?

Wenn ja ist das kinderleicht.
Der Draytek braucht ein paar statische Routen
  • 10.10.40.0 /24 auf die 10.10.1.10
  • 10.10.42.0 /24 auf die 10.10.1.10
  • 10.10.10.0 /24 auf das IPsec Tunnelinterface

Die pfSense braucht 3 statische Routen:
  • 10.10.40.0 /24 auf das IPsec Tunnelinterface
  • 10.10.42.0 /24 auf das IPsec Tunnelinterface
  • 10.10.1.0 /24 auf das IPsec Tunnelinterface
(Wobei du diese 3 Routen der SG-300 Seite auch dynamisch via IPsec an die pfSense propagieren lassen kannst, was einfacher ist)

Der SG 300 hat eine default Route auf den Draytek //ip route 0.0.0.0 0.0.0.0.0 10.10.1.1
Das wars...

Details dazu wie immer hier:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
X42Kampfpanzer
X42Kampfpanzer 28.10.2015 um 10:42:28 Uhr
Goto Top
Hallo aqui,

ich will von der PfSense Seite die Subnetze auf dem L3 Switch hinter dem DrayTek erreichen.

Leider kann ich keine statischen Route auf das Ipsec Interface legen:
https://forum.pfsense.org/index.php?topic=69203.0

Der DrayTek unterstützt auch leider nicht mehrere Phase 2 Einträge.
Deshalb weis ich jetzt nicht wie ich hier vorgehen soll... NAT vielleicht?

KP
aqui
Lösung aqui 28.10.2015 aktualisiert um 11:41:19 Uhr
Goto Top
ich will von der PfSense Seite die Subnetze auf dem L3 Switch hinter dem DrayTek erreichen.
OK, wie vermutet. Da sist kinderleicht mit den oben besprochenen Routen !
Der DrayTek unterstützt auch leider nicht mehrere Phase 2 Einträge.
OK, das ist ja kein Problem, dann trickse etwas mit der Netzmaske...
Propagiere vom Draytek eine 11 Bit Maske (255.224.0.0) für das 10er Netzwerk an die pfSense. Die routet dann alles ab 10.31.0.0 in den Tunnel damit auch deine beiden 40er und 42er Netze.
Alternative ist ein dynamisches Routing Protokoll. Aktiviere einfach RIPv2 auf beiden Routern, das löst das problem auch sofort.
NAT ist Blödsinn...das löst dein Routing Problem ja nicht. Jetzt bitte nicht anfangen sinnfrei zu raten...
X42Kampfpanzer
X42Kampfpanzer 28.10.2015 um 11:14:10 Uhr
Goto Top
Propagiere vom Draytek eine 11 Bit Maske (255.224.0.0) für das 10er Netzwerk an die pfSense. Die routet dann alles ab 10.31.0.0 in den Tunnel damit auch deine beiden 40er und 42er Netze.
Das könnte ich zwar machen aber dann erreiche ich den 10.10.1.0/24 Bereich ja nicht mehr.

Alternative ist ein dynamisches Routing Protokoll. Aktiviere einfach RIPv2 auf beiden Routern, das löst das problem auch sofort.
Puh, da muss ich erstmal schauen wie das funktioniert damit kenn ich mich überhaupt nicht aus...

KP
aqui
Lösung aqui 28.10.2015 aktualisiert um 11:41:15 Uhr
Goto Top
Das könnte ich zwar machen aber dann erreiche ich den 10.10.1.0/24 Bereich ja nicht mehr.
Stimmt...fehlerhaftes IP Adressdesin von dir. Konntrest du aber nicht wissen wenn der Draytek eben nur solch schwaches Featureset hat bei IPsec.
Alternative wäre den auch gegen einen pfSense zu tauschen...
Ansonsten mit dynamischen Routen schlau machen face-wink Mit RIPv2 ist das eigentlich kinderleicht und einfach zu verstehen.
X42Kampfpanzer
X42Kampfpanzer 28.10.2015 um 11:41:12 Uhr
Goto Top
Ok danke, dann schau ich mir RIP mal an und der Draytek muss sowieso mal ersetzt werden.

Danke!
KP
gelöstFrageNetzwerkeLAN, WAN, Wireless
Mehr von X42KampfpanzerX42KampfpanzerLinux CA im ADX42Kampfpanzer - 1 KommentarX42KampfpanzerKabeldeutschland VPN VerständnisproblemX42Kampfpanzer - 2 KommentareX42KampfpanzerWindows 10 in 2012R2 DomainX42Kampfpanzer - 9 KommentareX42KampfpanzerNetIO Performance ESXI SwitchX42Kampfpanzer - 12 Kommentare
Heiß diskutiert
MysticFoxDEWindows 11 - Unerträgliche Ressourcenverschwendung - grotesker RAM und CPU VerbrauchMysticFoxDE - 55 KommentareMondragorWindows Server 2025 friert komplett nach Reboot und Zugriff auf iSCSI-Target einMondragor - 30 KommentareCCHEK33Kein Remote Zugriff mit meiner IP AdresseCCHEK33 - 28 KommentareSchottenrockSchlankster Server für MS-DomäneSchottenrock - 28 KommentareAbstrackterSystemimperatorRealtek 2.5GbE LAN chip (2.5 Gbps-1 Gbps 100 Mbps) hängt bei 10mbitsAbstrackterSystemimperator - 25 KommentareitebobPagefile.sys und hiberfil.sys für die Verkleinerung der Partition löschenitebob - 25 KommentareHolgerLuchsEmpfehlung: Besserer WLAN-AC für VereinHolgerLuchs - 25 KommentarejohapauNameserver von selbst verwaltet auf kommerziellen Anbieter umstellen?johapau - 24 KommentareJudgelgOneDrive FreigabeJudgelg - 21 KommentarePMackeWindows - Automatische Passworteingabe in Anmeldebildschirm und UAC PromptPMacke - 20 KommentareMysticFoxDEWindows 11 24H2 - Der neue Defender HorrorMysticFoxDE - 20 KommentarecoltseaversExchange 2019 auf gekauftes Zertifikat umstellencoltseavers - 18 KommentaremarkaurelTP-Link Routerkonfigurationmarkaurel - 16 Kommentare