takvorian
Dec 19, 2015, updated at Dec 20, 2015 (UTC)
view1784
view10
0
Goto Top

VPN Zugriff über Netgear FVS336Gv2 und Zugriff auf DMZ

GermanQuestionRouters, RoutingNetworks
Hallo zusammen,

einer unserer Kunden hat ein Netzwerk wie folgt aufgebaut:

HP Switch mit 3 VLAN

VLAN1: 192.168.1.0/24
VLAN2: 192.168.2.0/24
VLAN100: 10.1.1.0/24

Im VLAN100 hängt eine NAS mit der IP 10.1.1.100
Für das Internet gibt es jeweils einen Router Netgear FVS336Gv2 für jedes VLAN
DMZ VLAN1: 10.1.1.1 LAN IP: 192.168.1.254
DMZ VLAN2: 10.1.1.2 LAN IP: 192.168.2.254

Laut Dokumentation ist der Zugriff auf die NAS nur über die DMZ der Router möglich, was einwandfrei funktioniert.
Jetzt habe ich für einen der Router einen VPN Tunnel nach Dokumentation von Netgear eingerichtet. Funktioniert prima. Ich kann meine Geräte im 192.168.2.0/24 Netzwerk sehen, kann drucken usw.
Was mir nicht gelingt ist der Zugriff auf die NAS. Da hört bei mir das "verstehen" auf. Da ich ja meine Geräte im Netzwerk "bedienen" kann sollte es doch auch möglich sein auf meine NAS zuzugreifen.

Das Problem ist: Der Dienstleister der diesen Kunden aktuell betreut will für die VPN Einrichtung ca. 1800€. Ich hab jetzt gut 2 Stunden gebraucht um mich in das Netzwerk mal einzufinden, Dokumentation zu lesen und den VPN tunnel aufzubauen.
Kennt wer von Euch diese Netgear FirewallRouter und kann mir bei der Problemlösung behilflich sein?

Vielen Dank
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 291315

Url: https://administrator.de/contentid/291315

Printed on: April 25, 2024 at 15:04 o'clock

10 Comments
Latest comment
Goto Top
Member: aqui
aqui Dec 19, 2015 updated at 11:43:33 (UTC)
Goto Top
Laut Dokumentation ist der Zugriff auf die NAS nur über die DMZ der Router möglich,
Das ist natürlich wie immer technischer Blödsinn, denn wenn der Switch L3 fähig ist oder wenn das VLAN Segment eine einer der beiden NG Gurken angeflanscht ist könnte man es darüber auch problemlos routen.
Guckst du hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
und für die IP Routing Grundlagen auch hier:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Nebenbei: Gibt es einen Grund warum du für jedes VLAN einen separaten Router betreibst ? Ist das so gewollt ?
Was mir nicht gelingt ist der Zugriff auf die NAS.
Kein Wunder !
Vermutlich hast du wie immer die statischen Routen dafür in das 10er Netz vergessen. Warum prüfst du das nicht ganz einfach mal selber ?
Mit einem route print Kommando in der Eingabeaufforderung (Winblows) bei einem Client der aktiv im VPN ist kannst du sehen ob du in der Routing Tabelle des Clients einen Route Eintrag in dieses IP netz hast !
Als Ziel bzw. Next Hop Gateway muss logischerweise das virtuelle Tunnel Interface angegeben sein.
Fehlt diese Route in den VPN Tunnel hast du einen Fehler in der Konfig gemacht, denn dann wird das 10er netz ganz einfach an den Provider geroutet über das Default Gateway und verschwindet da im Nirwana.
Möglich ist es auch das die NG Billiggurke mit IPsec (denn das macht sie wohl geratenerweise als VPN Tunnelprotokoll) keine Propagierung von zusätzlichen Routen supportet.
NG glänzt leider nicht gerade mit Kompetenz und guten Produkten im VPN Bereich.... face-sad
Grundlagen dazu findest du auch hier:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
will für die VPN Einrichtung ca. 1800€.
Das ist die gerechte Strafe für NG.... Cool... 1800 Tacken Einrichtung auf einem Gerät was 50 Euro auf dem Blödmarkt Grabbeltisch kostet und nix kann.
Ich hab jetzt gut 2 Stunden gebraucht um mich in das Netzwerk mal einzufinden,
Mmmhhh...jemand der weiss was er tut braucht da im NG Klicki Bunti GUI 15 Minuten und 5 Mausklicks. Vermutlich der 1800er Dienstleister auch.
Wäre ja mal wirklich witzig wenn der auch an den technischen Unzulänglichkeiten bei NG scheitert aber bei 1800 Steinen scheint er sich ja ziemlich sicher zu sein das er das hinbekommt.
Fazit: Lies dir die Routing Tutorials durch, dann klappt das auch.
Member: takvorian
takvorian Dec 19, 2015 at 11:59:15 (UTC)
Goto Top
Hallo aqui,

vielen Dank für Deine Tipps....
Der Grund warum für jedes VLAN ein Router verwendet wurde ist ganz einfach damit zu erklären dass 2 hier 2 separate Firmen sich 1 NAS teilen. Das war vom Kunden damals so gewollt. Wir haben das Kunden Netzwerk gestern zum ersten mal gesehen. Ebenso dessen Doku.

Route Print ergibt das Du mit der fehlenden Route vermutlich recht hast .-)
192.168.178.0 ist mein Netzwerk hier
192.168.2.0 ist das Kunden Netzwerk
10.10.10.0 ist das Netzwerk welches der VPN Client ( scheinbar automaitsch ) bekommt

===========================================================================
Schnittstellenliste
 21...02 50 f2 b2 91 00 ......TheGreenBow Virtual Miniport Adapter
 13...e8 03 9a a4 f7 c3 ......Realtek PCIe GBE Family Controller
  1...........................Software Loopback Interface 1
 19...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter
 17...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
 20...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter #2
===========================================================================

IPv4-Routentabelle
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
          0.0.0.0          0.0.0.0  192.168.178.199   192.168.178.51     10
       10.10.10.0    255.255.255.0   Auf Verbindung       10.10.10.10    276
      10.10.10.10  255.255.255.255   Auf Verbindung       10.10.10.10    276
     10.10.10.255  255.255.255.255   Auf Verbindung       10.10.10.10    276
        127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1    306
        127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1    306
  127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
      192.168.2.0    255.255.255.0       10.10.10.1      10.10.10.10     21
    192.168.178.0    255.255.255.0   Auf Verbindung    192.168.178.51    266
   192.168.178.51  255.255.255.255   Auf Verbindung    192.168.178.51    266
  192.168.178.255  255.255.255.255   Auf Verbindung    192.168.178.51    266
        224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1    306
        224.0.0.0        240.0.0.0   Auf Verbindung    192.168.178.51    266
        224.0.0.0        240.0.0.0   Auf Verbindung       10.10.10.10    276
  255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
  255.255.255.255  255.255.255.255   Auf Verbindung    192.168.178.51    266
  255.255.255.255  255.255.255.255   Auf Verbindung       10.10.10.10    276
===========================================================================
St„ndige Routen:
  Keine

IPv6-Routentabelle
===========================================================================
Aktive Routen:
 If Metrik Netzwerkziel             Gateway
 17     58 ::/0                     Auf Verbindung
  1    306 ::1/128                  Auf Verbindung
 17     58 2001::/32                Auf Verbindung
 17    306 2001:0:509c:564e:20ee:701:3f57:4dcc/128
                                    Auf Verbindung
 13    266 fe80::/64                Auf Verbindung
 21    276 fe80::/64                Auf Verbindung
 17    306 fe80::/64                Auf Verbindung
 17    306 fe80::20ee:701:3f57:4dcc/128
                                    Auf Verbindung
 13    266 fe80::41b2:befa:75a4:d346/128
                                    Auf Verbindung
 21    276 fe80::9ce3:1b91:ce82:b1f0/128
                                    Auf Verbindung
  1    306 ff00::/8                 Auf Verbindung
 17    306 ff00::/8                 Auf Verbindung
 13    266 ff00::/8                 Auf Verbindung
 21    276 ff00::/8                 Auf Verbindung
===========================================================================
St„ndige Routen:
  Keine


Gruß Micha
Member: aqui
aqui Dec 19, 2015 updated at 12:14:25 (UTC)
Goto Top
Route Print ergibt das Du mit der fehlenden Route vermutlich recht hast .-)
Nicht nur vermutlich sondern ganz sicher... face-wink ist ja wie immer der Fehler Klassiker hier.
10.10.10.0 ist das Netzwerk welches der VPN Client ( scheinbar automaitsch ) bekommt
Sowas wie "scheinbar" gibt es in der IT nicht wie jeder weiss. Das hast DU dediziert irgendwo im NG VPN Setup so eingestellt !
Deine DMZ ist aber in einem ganz anderen IP Netzwerk nämlich 10.1.1.0 /24 und diese Route fehlt !!
Damit geht sie nicht in den Tunnel zum Ziel sondern via Default Gateway zum Provider und dort in den Datenmülleimer....
Fazit: Das kann logischerweise dann so nicht klappen. Grund ist die fehlende Route in die DMZ 10.1.1.0 via VPN Tunnel.

Zusatzfrage: Ist das so gewollt das beide VLANs ein und dasselbe DMZ IP Netz teilen, sprich sharen sie das NAS ?
Wenn ja: WIE ist das 10.1.1.0er Netz mit den VLANs verbunden ? Über die jeweilige NG Gurke ?
Eine kleine Netzwerk Topologie Skizze wäre hier ganz hilfreich.... !
Member: takvorian
takvorian Dec 19, 2015 at 15:59:20 (UTC)
Goto Top
Hi aqui,

die kleine Topologie kann ich dir am Montag gerne mal mitteilen.
Ja die beiden VLAN's teilen sich die NAS, greifen also gemeinsam auf das 3te VLAN zu

Ich melde mich...
Member: takvorian
takvorian Dec 20, 2015, updated at Dec 21, 2015 at 11:15:39 (UTC)
Goto Top
Guten Morgen,

hier die Skizze vom Netzwerk
4acbe8146a1e95fd68e27b4d12d929e0

Wenn ich im Netgear jetzt eine Route passend eintrage müsste das ja korrekt funktionieren..
c7aa6afbfb0abfc8f6a50481b8192d65

Allerdings kann ich in der Negear "Gurke" keien Einstellungen finden dass der VPN Client eine 10.10.10.x Adresse erhält. ( Ich kenn das jetzt nur von BINTEC Rouetrn für die ich im DHCP einen eigenen Pool verwende für die VPN Clients.
Gruß Michael
Member: aqui
aqui Dec 22, 2015 updated at 13:48:10 (UTC)
Goto Top
Einstellungen finden dass der VPN Client eine 10.10.10.x Adresse erhält.
Sie müsste aber dort sein !!
Sollte das hardgecodet sein in der Firmware, dann bist du chancenlos !
Sollte einen bei dem NG Kram nicht groß wundern. Im Bereich VPN glänzen die wie gesagt mit technischem Unvermögen oder meinen was DAU gerecht zu machen was dann größere Probleme nach sich zieht....
Normal musst du zwingend bei IPsec diese IP irgendwo definieren...
P.S.: Was sollte uns der leere Screenshot der externen Routen jetzt zeigen ???
Member: takvorian
takvorian Dec 23, 2015 updated at 11:20:48 (UTC)
Goto Top
P.S.: Was sollte uns der leere Screenshot der externen Routen jetzt zeigen ???

Der Leere Screenshot... kann ich darin eine Route definieren?

Ich hab alle Einstellungen des Routers ncohmal geprüft. Hier steht NICHTS von einem 10.10.10.0/24 Netzwerk.
Der IPSEC Client steht von der Einstellung vor dem öffnen des Tunnels auf 0.0.0.0

677a4b2508ae09ac5a710e27ee8a0af5


Ich habe jetzt vom Kundennetzwerk einenn RoutePrint mir erstellt. Da zeigt nichts auf das 10.1.1.0/24 Netzwerk

===========================================================================
Schnittstellenliste
  6...90 2b 34 9c ac 6e ......Realtek PCIe GBE Family Controller
  1...........................Software Loopback Interface 1
  4...00 00 00 00 00 00 00 e0 Microsoft Teredo Tunneling Adapter
  3...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #2
===========================================================================

IPv4-Routentabelle
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
          0.0.0.0          0.0.0.0    192.168.2.254    192.168.2.105     10
        127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1    306
        127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1    306
  127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
      192.168.2.0    255.255.255.0   Auf Verbindung     192.168.2.105    266
    192.168.2.105  255.255.255.255   Auf Verbindung     192.168.2.105    266
    192.168.2.255  255.255.255.255   Auf Verbindung     192.168.2.105    266
        224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1    306
        224.0.0.0        240.0.0.0   Auf Verbindung     192.168.2.105    266
  255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
  255.255.255.255  255.255.255.255   Auf Verbindung     192.168.2.105    266
===========================================================================
St„ndige Routen:
  Keine

IPv6-Routentabelle
===========================================================================
Aktive Routen:
 If Metrik Netzwerkziel             Gateway
  4    306 ::/0                     Auf Verbindung
  1    306 ::1/128                  Auf Verbindung
  4    306 2001::/32                Auf Verbindung
  4    306 2001:0:9d38:6abd:1c6a:204:2bed:e13a/128
                                    Auf Verbindung
  6    266 fe80::/64                Auf Verbindung
  4    306 fe80::/64                Auf Verbindung
  4    306 fe80::1c6a:204:2bed:e13a/128
                                    Auf Verbindung
  6    266 fe80::9877:2692:ce35:b2d5/128
                                    Auf Verbindung
  1    306 ff00::/8                 Auf Verbindung
  6    266 ff00::/8                 Auf Verbindung
  4    306 ff00::/8                 Auf Verbindung
===========================================================================
St„ndige Routen:
  Keine

Wenn das also Hardgecodet ist dann hab ich echt keine Chance, ausser ich bau dem Kunden was vernünftiges hin...

Gruß Michael
Member: aqui
aqui Dec 23, 2015 at 12:07:38 (UTC)
Goto Top
Der IPSEC Client steht von der Einstellung vor dem öffnen des Tunnels auf 0.0.0.0
Das ist vermutlich das Problem.... Dadurch ist die Client IP nicht fest definiert und NG kaspert sich dann vermutlich selber was aus im Bereich der 10er IP.
Eigentlich darf das nicht so sein, hat NG aber wohl vermutlich so gemacht damit auch DAUs damit umgehen können.
Hier könntest du dann eine Client IP vorgeben wie du sie benötigst.
Ich habe jetzt vom Kundennetzwerk einenn RoutePrint mir erstellt. Da zeigt nichts auf das 10.1.1.0/24 Netzwerk
Hast du das route print bei aktiviertem VPN Client eingegeben ??
Das VPN Tunnel Interface ist virtuell !!! (Software) und wird logischerweise nur dynmaisch angelegt wenn der VPN Client auch aktiv ist bzw. aktiv am VPN Server (NG) eingewählt ist !!!
War er aktiv und zeigt die Routing Tabelle das 10er Netz dennoch nicht an klappt dein gesamtes VPN nicht.
Dann hast du ein grundlegenderes Problem.
Member: takvorian
takvorian Dec 24, 2015 at 09:50:49 (UTC)
Goto Top
Hallo aqui,

im Kundennetzwerk benötigt es KEIN VPN um auf das 10.1.1.0 Netzwerk zugreifen zu können.
Leider weis ich nicht wie das die alte Firma dort gelöst hat dass der Zugriff funktioniert. Irgendwas werden die wohl an der NG Gurke eingestellt haben, nur sind dort keine festen Routen eingetragen, das habe ich bereits geprüft.

Ich denke wenn ich das NG Teil gegen einen Bintec austausche erspar ich mir den ganzen Ärger.

Schöne Weihnachtsfeiertage noch...
Member: aqui
aqui Dec 24, 2015 updated at 11:07:43 (UTC)
Goto Top
im Kundennetzwerk benötigt es KEIN VPN um auf das 10.1.1.0 Netzwerk zugreifen zu können.
Nee, das ist klar, denn das ist ja direkt angeschlossen aaaber...
Die Route auf das 10.1.1.0er Netz MUSS ja im Client sichtbar sein mit route print, denn wie soll der remote Client sonst wissen, das er Pakete für das 10.1.1.0er Netz in den VPN Tunnel routen muss zum NAS Ziel !
Der VPN Server muss diese Route genau wie die zum 192.168er Netz bei VPN Einwahl an den VPN Client pushen um diese Daten dann in den VPN Tunnel zu senden.
Macht er das nicht geht alles an den Provider ins Nirwana....
Deshalb muss diese Route im Client zu sehen sein. Ist sie das nicht ist die Konfig falsch...
GermanQuestionRouters, RoutingNetworks
Hotly discussed
gleixnerdCheck of ZFW Firewallgleixnerd - 5 CommentsjstrickerWireguard VPN on UDM Pro behind Fritzbox - Handshake did not completejstricker - 3 Comments