Routing mit Lancom

[Blutwurst]

Hallo,

ich habe hier einen Lancom Router(1781A) der mich ein wenig zur Verzweiflung treibt. Die Konstellation ist eigentlich recht einfach. Router stellt Internet für das lokale Subnetz (192.168.0.0/24). Ein kleiner Adressbereich soll über einen separaten VPN Router mit eigenem Internetanschluss abgewickelt werden, dieser hat die IP 192.168.1.3.

Ich habe nun also an Port ETH4 ein neues LAN (LAN2) eingerichtet mit der IP 192.168.1.1 und eine Route eingetragen das, dass entsprechende Subnetz über den Router 192.168.1.3 erreichbar ist. Das klappt aber nicht. Laut Lancom sollte der Router bei gleichem Routing Tag einfach zwischen den Subnetzen hin und her routen (beide als Intranet gekennzeichnet) aber auch das wird nicht gemacht. Vom Client aus komme ich maximal zur Adresse des Routers im anderen Netz (also 192.168.1.1) aber eben nicht weiter.

Gibt es da eine Besonderheit bei Lancom oder eine Funktion die mir da dazwischen funkt? Hat jemand schon einmal ähnliche Probleme gehabt?

mfg nic

 

[underclocker2k4]

Worauf willst du dich denn in 192.168.1.0 connecten? (ich nehme mal an aus 192.168.0.0?!)
Wie sind die Einstellungen des Gerätes in 192.168.1.0?
Das 2. Subnetz ist nicht über 192.168.1.3 erreichbar, sondern über 192.168.1.1, denn nur diese IP-Adresse ist auf dem Lancom terminiert. Von der anderen IP weiß Lancom nichts.

EDIT: Eigentlich brauchst du keine weiteren Routen einzutragen, der der Lancom eine Defaultroute drin haben sollte.
Routen brauchst du nur, wenn du Transfernetze hast. Ist aber nicht der Fall.

 

[fdsonne]

Du musst natürlich auf dem anderen Router (also dem, der die Client Einwahl terminiert und die 192.168.1.3?? hält) logischerweise auch eine Rückroute für das 192.168.0.0/24er Netz setzen -> nämlich mit dem Next Hop 192.168.1.1.
Hast du das gemacht? Wenn nein, dann KANN es nicht funktionieren, da der Einwahlrouter schlicht das Netz 192.168.0.0/24 nicht kennt und jegliche Anfragen aus diesem Netz bzw. die Rückpakete in Richtung seiner default Route (wohl public, wenn es um public VPN Einwahlen geht) schicken würde


Ansonsten, vom Aufbau her noch eine Verständnisfrage meinerseits, welches Netz nutzt du intern für die VPN Einwahl?
Ich würde dieses Netz vom Transfernetz zwischen den Routern trennen, einfach weil es sauberer ist.

Bspw. Router A) hat intern die 192.168.0.1 in einem 24er Netz. Spielt Router und default Gateway für die Clients aus diesem Netzbereich.
Router B) hat intern die 192.168.1.1 in einem 24er Netz und nutzt dieses Netz bspw. für die VPN Einwahlen der Clients
-> nun wird ein drittes Netz definiert, bspw. eine 10.186.0.0/30. Die .1 bekommt Router A) und die .2 bekommt Router B)...
Nun stellst du auf Router A) eine statische Router ein mit 192.168.1.0/24 liegt hinter 10.186.0.2
Und auf Router B) eine statische Router mit 192.168.0.0/24 liegt hinter 10.186.0.1

Fertig...

Wenn es dann immernoch nicht geht, dann ist etwas an deiner Client VPN Einwahl nicht richtig... Bspw. irgendwelche ACLs oder Firewall Rules, fehlendes/falsches NAT oder ähnlichem...

 

[Blutwurst]

Ja das steht immer überall. Eigentlich brauche ich keine Routen eintragen... geht halt nur nicht.

Aber der Rest stimmt so. Ich will aus dem 192.168.0.0 den Router mit der 192.168.1.3 erreichen (der hat leider diese Adresse und ich kann die auch nicht ändern) . Es geht um einen kleinen Adressbereich im Netz 10.x.x.x der eben über eine VPN Verbindung auf dem Router 192.168.1.3 erreichbar ist. für alles andere soll die Default Route benutzt werden aber eben für diesen Adressbereich der Router im anderen Subnetz.

@fdsonne
Der VPN Router kennt das Netz 192.168.0.0/24 nicht und das bleibt auch so. Der soll ja auch nur mit "LAN2" des Lancom kommunizieren.
Ich habe zum Test jetzt mal einen Rechner in das 192.168.1.0 Netz gehangen und von da aus komme ich auch auf den Router (hat ja eine Adresse in dem Netz) nur kann ich als statische Route eintragen was ich will, es scheint nichts zu ändern.

 

[underclocker2k4]

fdsonne schreibt es ja schon. Eigentlich funktioniert alles. Deine Geräte in 192.168.1.0 sehen sicherlich auch die Pakete, nur gehen deren Antworten auf 192.168.1.3 (wenn der als defaultgateway eingetragen ist) und der nimmt das und packt das in den Papierkorb, weil er nicht weiß, wo die 192.168.0.0 Pakete hinsollen. (bzw. gehen die ins Internet und da schmeißt es der Providerrouter weg)
Auf diesem Router also ne Route für 192.168.0.0 via 192.168.1.1 eintragen und gut ist.
Alternativ eine Route auf dem Client eintragen.

Zum Testen mal einen fest IP auf einem 192.168.1.0 Gerät vergeben und als defaultgateway 192.168.1.1 eintragen. Das sollte dann gehen mit der Erreichbarkeit.

 

[Blutwurst]

Ok manchmal halt Bäume und Wald.... Danke.

mfg nic

 

[fdsonne]

@fdsonne
Der VPN Router kennt das Netz 192.168.0.0/24 nicht und das bleibt auch so. Der soll ja auch nur mit "LAN2" des Lancom kommunizieren.

Es geht allerdings nicht anders... Und die Route besagt eigentlich genau das, nämlich das die Pakete über den LAN2 Port laufen, sofern es das Transfer Interface ist.
Wenn du ohne Routen arbeiten willst (warum auch immer), dann musst du NAT machen... Auf dem Router A bspw. er "NATtet" dann alle Pakete von den Clients aus 192.168.0.0/24 auf eine Adresse deiner Wahl, bspw. seine Interface IP 192.168.1.1 im 192.168.1.1/24er Netz -> dann gehen auch die Rückpakete, da Router B) diese IP erreichen kann.

Mir erschließt sich allerdings das Ganze nicht so recht. Denn primär dürften doch eher die VPN Einwahlclients auf Ressourcen im 192.168.0.0/24er Bereich zugreifen wollen!? Du müsstest also dann eher NAT auf dem Router B) machen auf eine IP, welche im 192.168.0.0/24er Netz ist, damit die Clients in diesem Netz damit kommunizieren können...


Ich würde es, wenn man es richtig machen will, aber eben gleich anständig machen. Siehe oben. Zwei getrennte Netze und ein drittes als Transfernetz dazwischen. Alles andere ist Sackgang...