VPN: kein Zugriff auf LAN-Geräte, wenn eine statische Route aktiv
Hallo,
ich habe ein Netzproblem, bei dem ich nicht weiter komme.
Die VPN-Verbindung (ipsec) selber ist (scheinbar) gar nicht mal das Problem, denn der Verbindungsaufbau gelingt in beiden Profilen/Varianten.
Allerdings habe ich bei einer Variante dann keinen Zugriff auf die Geräte im VPN-Netz.
Allgemein: Der Router ist ein Draytek Vigor 2960
Die Konstellation ist so, dass das Zielnetz ein Netz in einem Gebäude mit eigener Netzstruktur darstellt. Das Quellnetz kann sowohl von außen ("extern") oder als Abkürzung von innerhalb des Gebäudenetzes ("UNI") auf das Zielnetz zugegriffen werden.
Im Router sind zwei VPN-Profile hinterlegt, die sich nur in der IP unterscheiden, mit der vom Client aus die Verbindung aufgebaut wird (siehe Skizze).
A. Bei dem Profil "extern" funktioniert alles. Hierbei erfolgt die Verbindung sowohl von Client 1 als auch von Client 2 über das WWW und die statische Route "UNI" ist deaktiviert.
B. Ist die statische Route "UNI" aktiv, geht die Verbindung über die externe IP für Client 2 nicht mehr. Dann muss das Profil "UNI" verwendet werden und es wird (erfolgreich) über die IP "INT.INT.INT.2" eine Verbindung aufgebaut. Bei diesem Profil erhalten die Clients aber nach erfolgreichem Verbindungsaufbau keinen Zugriff auf die lokalen Ressourcen.
Die Einstellungen sind wie gesagt in beiden Profilen bis auf die IP identisch (auch Client-seitig), ich muss zur Lösung ersteinmal vertshen, warum es mit der Route nicht geht. Dann kann ich im Router gezielt nach einer Lösung suchen. Ich habe an verschiedenen Stellen schon den Zugriff zwischen den LANs aktiviert.
Hintergrund: Ich würde gern die statische Route aktiviert lassen, weil diese Verbindung für alle ca. 4x schneller ist als über extern.
ich habe ein Netzproblem, bei dem ich nicht weiter komme.
Die VPN-Verbindung (ipsec) selber ist (scheinbar) gar nicht mal das Problem, denn der Verbindungsaufbau gelingt in beiden Profilen/Varianten.
Allerdings habe ich bei einer Variante dann keinen Zugriff auf die Geräte im VPN-Netz.
Allgemein: Der Router ist ein Draytek Vigor 2960
Die Konstellation ist so, dass das Zielnetz ein Netz in einem Gebäude mit eigener Netzstruktur darstellt. Das Quellnetz kann sowohl von außen ("extern") oder als Abkürzung von innerhalb des Gebäudenetzes ("UNI") auf das Zielnetz zugegriffen werden.
Im Router sind zwei VPN-Profile hinterlegt, die sich nur in der IP unterscheiden, mit der vom Client aus die Verbindung aufgebaut wird (siehe Skizze).
A. Bei dem Profil "extern" funktioniert alles. Hierbei erfolgt die Verbindung sowohl von Client 1 als auch von Client 2 über das WWW und die statische Route "UNI" ist deaktiviert.
B. Ist die statische Route "UNI" aktiv, geht die Verbindung über die externe IP für Client 2 nicht mehr. Dann muss das Profil "UNI" verwendet werden und es wird (erfolgreich) über die IP "INT.INT.INT.2" eine Verbindung aufgebaut. Bei diesem Profil erhalten die Clients aber nach erfolgreichem Verbindungsaufbau keinen Zugriff auf die lokalen Ressourcen.
Die Einstellungen sind wie gesagt in beiden Profilen bis auf die IP identisch (auch Client-seitig), ich muss zur Lösung ersteinmal vertshen, warum es mit der Route nicht geht. Dann kann ich im Router gezielt nach einer Lösung suchen. Ich habe an verschiedenen Stellen schon den Zugriff zwischen den LANs aktiviert.
Hintergrund: Ich würde gern die statische Route aktiviert lassen, weil diese Verbindung für alle ca. 4x schneller ist als über extern.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 390760
Url: https://administrator.de/contentid/390760
Ausgedruckt am: 07.11.2024 um 18:11 Uhr
3 Kommentare
Neuester Kommentar
Allerdings habe ich bei einer Variante dann keinen Zugriff auf die Geräte im VPN-Netz.
Dann hast du vermutlich bei den SA Credentials (Phase 2) vergessen eine IP Route, bzw. lokales Netz mitzugeben !!Deshalb muss man auch niemals eine statische Route mitgeben ! Im Gegenteil, das konterkariert die Route Distribution bei IPsec und ist vermutlich dein Problem.
dass das Zielnetz ein Netz in einem Gebäude mit eigener Netzstruktur darstellt
Millionenfacher Standard....Versteht man deine Zeichnung richtig, dann ist der Client B vermutlich der Knackpunkt, wenn der über eine Rückroute von "Firma" wieder auf das Netz "Uni" zugreifen kann. Vermutlich endet das dann mit aktiviertem VPN Client in einem asymetrischen Routing und damit Verbindungsabbruch.
Fraglich warum der Client B dann nicht die direkte Verbindung nutzt statt des eigentlich überflüssigen VPNs via "Firma" ?!
Traceroute (tracert (Winblows)) wäre hier dein Freund.
Da kann man aber jetzt nur frei raten....
Hilfreich wäre mal die Routing Tabelle der Clients (route print bei Winblows) bei aktivem VPN und das VPN Profil im Draytek.