joewied
Goto Top

VPN Netzwerk mit verschiedenen Subnetzen

Wäre nett, wenn mir da jemand helfen könnte, der sich etwas mit Routing auskennt.

Wir haben ein Netzwerk mit einer Hauptstelle und 3 Filialen.
Der Hauptsitz besitzt das Segment 192.168.2.1 / 255.255.255.0 und die Filiale-A 192.168.1.1 / 255.255.255.0 und die
Filiale-B 192.168.3.1 / 255.255.255.0 und Filiale-C 192.168.4.1 / 255.255.255.0.

Der Hauptsitz ist mit je einem VPN-Link zu den Filialen verbunden. Das funktioniert soweit gut, das heisst, jedes
Filial-Netz kann nun den Hauptsitz kontaktieren und der Hauptsitz jedes einzelne Subnetz.

Nun kommt jedoch der Wunsch auf, dass jedes Subnetz auch jeweils das andere Subnetz kontaktieren sollte
können. Wie macht man das und wie sollte die Konfiguration aussehen ohne dass man zwischen den
Subnetzen auch noch je ein VPN legt. Durch legen von VPNs zwischen den einzelnen Subnetzen könnte
es doch Verbindungen kommen die dann im Kreis laufen.

Besten Dank für jeden Tip
Joe

Content-ID: 120895

Url: https://administrator.de/forum/vpn-netzwerk-mit-verschiedenen-subnetzen-120895.html

Ausgedruckt am: 26.12.2024 um 17:12 Uhr

aqui
aqui 20.07.2009 um 22:19:09 Uhr
Goto Top
Das ist ganz einfach und im Handumdrehen gemacht.
Normalerweise wird ja nur das Hauptsitz Netz ins VPN geroutet und alles andere würde lokal in den Filialen ins Internet gehen, da der lokale Router das default Gateway ist.
Damit geht es dann ins Nirwana, da deine RFC_1918_Netze im Internet nicht geroutet werden und sofort in den Mülleimer beim Provider wandern !

Die Lösung ist ganz einfach:
Du trägst in den Filialnetzen einfach eine Route ein die die anderen Filialnetze auch in den VPN Tunnel zum Hauptsitz routet und von da in die anderen Filialnetze.
Hier mal als Beispiel für die Filiale A

Statische Routen in die Filialen
Zielnetz: 192.168.3.0, Maske: 255.255.255.0, Gateway: <VPN Router IP Adresse>
Zielnetz: 192.168.4.0, Maske: 255.255.255.0, Gateway: <VPN Router IP Adresse>

Fertig bist du und schon funktioniert die Any zu Any Kommunikation aller Filialen !

P.S.: Du hast oben statt der IP Netzadressen fälschlicherweise eine IP Hostadresse angegeben für deine Netze.
Die IP Netzadresse ist IMMER die Adresse in der alle Hostbits auf Null sind !
Richtig lautet also die Liste mit einer 24 Bit Subnetzmaske:
Hauptsitz: 192.168.2.0 /24
Filiale A: 192.168.1.0 /24
Filiale B: 192.168.3.0 /24
Filiale C: 192.168.4.0 /24

Siehe:
http://de.wikipedia.org/wiki/IP-Adresse
JoeWied
JoeWied 20.07.2009 um 22:43:21 Uhr
Goto Top
Hallo aqui

Vielen Dank, habs grad mal remote konfiguriert.

Darf ich zu deiner ausführlichen Beschreibung noch folgende Fragen stellen ?

<VPN Router IP Adresse> : ist das die lokale oder die WAN-Adresse des Filialrouters ?

Aber es ist schon richtig, dass der Router zB. die Adresse 192.168.1.1 hat und nicht 192.168.1.0 mit
der Maske 255.255.255.0 - du sprichst nur die Notation an. Ist das korrekt ?

Bei Metric habe ich 2 eingegeben und bei auch Private angekreuzt. Muss ich möglicherweise im
Hauptnetz auch etwas konfigurieren. zb. NAT-Traversal oder so ?

Komischerweise bekomme ich beim Ping auf den Router 192.168.4.1 vom (Subnetz 192.168.1.1) die Meldung:

Antwort von 212.55.xx.xx (wobei es sich dabei um eine WAN-Adresse handelt, die ich nicht kenne) : Zielhost nicht erreichbar
RoterFruchtZwerg
RoterFruchtZwerg 20.07.2009 um 23:54:31 Uhr
Goto Top
Das Ziel der Routen muss ein Router im Hauptnetz der Firma sein, welcher die anderen Netze kennt. Also der dortige VPN Router.
Mit <VPN Router IP Adresse> war also die VPN-IP des jeweiligen VPN Endpunktes am Hauptnetz gemeint, sofern dieser eine hat, oder auch die lokale LAN-IP des VPN Routers im Hauptnetz.
JoeWied
JoeWied 21.07.2009 um 00:05:24 Uhr
Goto Top
Das habe ich eigentlich so gemacht. Die lokale Adresse des Hauptsitz-Routers (der auch den Hauptsitz-Gateway darstellt) ist
192.168.2.1. An Firewall-Regeln kann es nicht liegen, da ich die FW vorübergehend deaktiviert habe.

Gemacht habe ich folgendes Filial-Netz 192.168.1.1 route von
Zielnetz 192.168.4.0 Maske 255.255.255.0 Gateway 192.168.2.1

Ping im Filial-Netz 192.168.1.0 /24 auf 192.168.4.1

Es kommt in der Filiale immer
Antwort von 212.55.xx.xx (wobei es sich dabei um eine WAN-Adresse handelt, die ich nicht kenne) : Zielhost nicht erreichbar

Nachdem ich das Private rausgenommen habe kommt:
Zeitüberschreitung der Anforderung


Ein Ping im Hauptsitz auf die Zielfiliale funktioniert natürlich.

Konfiguration:
Filial-Netz Router-Adresse 192.168.1.1 Maske 255.255.255.0
Ziel-Filial-Netz Router-Adresse 192.168.4.1 Maske 255.255.255.0
Hauptsitz Router-Adresse 192.168.2.1 Maske 255.255.255.0
RoterFruchtZwerg
RoterFruchtZwerg 21.07.2009 um 00:17:08 Uhr
Goto Top
Ping im Filial-Netz 192.168.1.0 /24 auf 192.168.4.1

Es kommt in der Filiale immer
Antwort von 212.55.xx.xx (wobei es sich dabei um eine WAN-Adresse
handelt, die ich nicht kenne) : Zielhost nicht erreichbar

Dürfte der erste Router deines ISPs auf Seite der Filiale sein. Sieht so aus, als würde der Router das Paket nicht durch den VPN Tunnel sondern aufs WAN geben.
JoeWied
JoeWied 21.07.2009 um 00:25:36 Uhr
Goto Top
Es kommt jetzt immer Zeitüberschreitung.

Was kann das sein ?

Die Hardware ist folgende:
Filialen firewall fvx538 mit Zyxel 870m Modem im Bridge-Mode
Hauptsitz (derzeit) Zyxel P660HWI - wird aber noch gewechselt auf Fvx538 und Zyxel 870.
aqui
aqui 21.07.2009 um 14:40:03 Uhr
Goto Top
@JoeWied
Mit "<VPN Router IP Adresse>" ist immer die lokale IP Adresse des Routers/Servers gemeint der den next Hop ins Zielnetz herstellt.

So sollte dein Netz beispielhaft mit Filiale A aussehen:

d438395409df27a83262e47cfec6083e-vpn3fil

Sofern das Hauptsitz Netzwerk in den VPN Tunnel übertragen wird muss im FVX bei den statischen Filial Routen die Tunnel IP des Hauptsitz Routers als next Hop Gateway angegeben werden !
Sofern der FVX das supportet kannst du die Routen auch ganz normal über den VPN Tunnel vom Hauptsitz propagieren über den VPN Tunnel. Die Filialrouter lernen es dann dynmaisch und du kannst die statischen Routen sparen. Bessere VPN Router supporten sowas problemlos.
NetGear ist nicht gerade bekannt für gute VPN Features (keine gute Wahl für ein Firmennetz face-sad ) so das es zweifelhaft ob die Komponenten das überhaupt supporten.
Mit statischen Routen sollte es aber auf Anhieb klappen !
JoeWied
JoeWied 01.09.2009 um 11:49:44 Uhr
Goto Top
@aqui

Vielen Dank für die Erklärung und das Detailbild !

Leider hat es nicht funktioniert. Vermutlich liegt es an den Routern (Netgear) und bin deshalb mit dem
Netgear-Support unterwegs.

Wenn ich etwas mehr weiss, werde ich nochmals hier posten.

Mit freundlichen Grüssen
Joe