zappbrannigen
Goto Top

VPN: kein Zugriff auf LAN-Geräte, wenn eine statische Route aktiv

Hallo,

ich habe ein Netzproblem, bei dem ich nicht weiter komme.
Die VPN-Verbindung (ipsec) selber ist (scheinbar) gar nicht mal das Problem, denn der Verbindungsaufbau gelingt in beiden Profilen/Varianten.
Allerdings habe ich bei einer Variante dann keinen Zugriff auf die Geräte im VPN-Netz.

Allgemein: Der Router ist ein Draytek Vigor 2960
Die Konstellation ist so, dass das Zielnetz ein Netz in einem Gebäude mit eigener Netzstruktur darstellt. Das Quellnetz kann sowohl von außen ("extern") oder als Abkürzung von innerhalb des Gebäudenetzes ("UNI") auf das Zielnetz zugegriffen werden.
Im Router sind zwei VPN-Profile hinterlegt, die sich nur in der IP unterscheiden, mit der vom Client aus die Verbindung aufgebaut wird (siehe Skizze).

A. Bei dem Profil "extern" funktioniert alles. Hierbei erfolgt die Verbindung sowohl von Client 1 als auch von Client 2 über das WWW und die statische Route "UNI" ist deaktiviert.
B. Ist die statische Route "UNI" aktiv, geht die Verbindung über die externe IP für Client 2 nicht mehr. Dann muss das Profil "UNI" verwendet werden und es wird (erfolgreich) über die IP "INT.INT.INT.2" eine Verbindung aufgebaut. Bei diesem Profil erhalten die Clients aber nach erfolgreichem Verbindungsaufbau keinen Zugriff auf die lokalen Ressourcen.

Die Einstellungen sind wie gesagt in beiden Profilen bis auf die IP identisch (auch Client-seitig), ich muss zur Lösung ersteinmal vertshen, warum es mit der Route nicht geht. Dann kann ich im Router gezielt nach einer Lösung suchen. Ich habe an verschiedenen Stellen schon den Zugriff zwischen den LANs aktiviert.

Hintergrund: Ich würde gern die statische Route aktiviert lassen, weil diese Verbindung für alle ca. 4x schneller ist als über extern.

vpn-varianten

Content-ID: 390760

Url: https://administrator.de/forum/vpn-kein-zugriff-auf-lan-geraete-wenn-eine-statische-route-aktiv-390760.html

Ausgedruckt am: 23.12.2024 um 06:12 Uhr

aqui
aqui 26.10.2018 um 11:44:48 Uhr
Goto Top
Allerdings habe ich bei einer Variante dann keinen Zugriff auf die Geräte im VPN-Netz.
Dann hast du vermutlich bei den SA Credentials (Phase 2) vergessen eine IP Route, bzw. lokales Netz mitzugeben !!
Deshalb muss man auch niemals eine statische Route mitgeben ! Im Gegenteil, das konterkariert die Route Distribution bei IPsec und ist vermutlich dein Problem.
dass das Zielnetz ein Netz in einem Gebäude mit eigener Netzstruktur darstellt
Millionenfacher Standard....
Versteht man deine Zeichnung richtig, dann ist der Client B vermutlich der Knackpunkt, wenn der über eine Rückroute von "Firma" wieder auf das Netz "Uni" zugreifen kann. Vermutlich endet das dann mit aktiviertem VPN Client in einem asymetrischen Routing und damit Verbindungsabbruch.
Fraglich warum der Client B dann nicht die direkte Verbindung nutzt statt des eigentlich überflüssigen VPNs via "Firma" ?!
Traceroute (tracert (Winblows)) wäre hier dein Freund.
Da kann man aber jetzt nur frei raten....
Hilfreich wäre mal die Routing Tabelle der Clients (route print bei Winblows) bei aktivem VPN und das VPN Profil im Draytek.
ZappBrannigen
ZappBrannigen 26.10.2018 um 12:38:28 Uhr
Goto Top
Ich habe Multiple SAs angegeben, also das beide LAN-Netze "verlinkt" sind in den VPN-Konfigurationen.


Die statische Route selber "muss" leider aktiv sein. Dazu gibt es noch ein Detail: Die Leute, welche in "Firma" sitzen, haben permanent ein VPN zur Uni aktiv. Dafür ist die statische Route, da sonst die Verbindung übers www erfolgt und nicht direkt. diese ausgehende VPN-Verbindung ist erstmal unabhängig von der eingehenden, wo das Problem auftritt.

Ich habe schon versucht, dieses Routing auf die konkrete IP des VPN-Servers der Uni zu begrenzen, das hat aber die selben auswirkungen, als würde ich die Route gleich komplett für Uni-Adressen definieren.

Also mit symmetrischem Routing meinst du, das Client B von der Uni auf einem Weg übers www gehen und auf dem anderen dann direkt?
Eigentlich müssten sie auch immer nur das direkte Netz nehmen, da ich sie ja mit der gebäudeinternen Adresse anspreche. Ich kann mich von Client B nicht übers WWW einwählen, wenn ich die Route aktiv habe. Also müsste das schon die Asymmetrie verhindern?!
ZappBrannigen
ZappBrannigen 26.10.2018 aktualisiert um 15:01:37 Uhr
Goto Top
Ich glaube ich bin dahintergekommen, erste Tests scheinen das zumindest zu belegen:
Das Problem war NAT. Das ist für die "schwarze Linie" über das Gebäude-Netz hinaus aktiviert.
Wenn die Route aktiv ist, wird auch in dieser Ebene NAT umgangen, daher musste ich es im VPN-Server-Profil "UNI" dekativieren.

EDIT...10 Minuten später nochmal probiert und das Problem ist wieder da -.-