Subnet-Routing via VPN

yumyum

yumyum

Enthusiast
Thread Starter
Mitglied seit
18.07.2007
Beiträge
959
Ort
hier! *wink*
Hallo zusammen,
folgende Situation:

Büro A
Watchguard M200 (192.168.10.1)
Subnetz: 192.168.10.0/24

Büro B
Watchguard M200 (192.168.11.251)
Subnetz: 192.168.11.0/24

Beide verbunden via VPN Tunnel.

Jetzt hat ein Mitarbeiter in Büro A ein Gerät stehen mit der IP 192.168.39.1 - auf dieses muss nun ein Mitarbeiter aus Büro B zugreifen.


Ich habe bereits versucht:

- dem Client PC eine zusätzliche IP Adresse gegeben (192.168.39.20)
- statische Router auf dem Client via "Route add 192.168.39.0 mask 255.255.255.0 192.168.10.1"
- statische Router auf dem Client via "Route add 192.168.39.0 mask 255.255.255.0 192.168.11.251"
- statische Routen auf Watchguard A und B
(Watchguard B: von 192.168.11.251 nach 192.168.39.0 mit 192.168.10.1 als Gateway)
(Watchguard A: von 192.168.10.1 nach 192.168.39.0 mit 192.168.39.21 als Gateway)
- Watchguard A eine weitere IP Adresse gegeben (192.168.39.21)

Ich habe es trotz aller Routing versuche usw. nicht hinbekommen. Kann jemand weiterhelfen?

Danke im voraus!

-- yumyum
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Grundlagen Routing bekannt?

Fertige bitte eine schematische Zeichnung an mit allen Netzwerkgeräten, deren Verbindung und den Angaben, wo du welche Einträge hinterlegt hast.
Aktuell würde ich sagen, dass du zwar munter das 192.168.39.0 (im Kreis) routest, es aber nirgends wirklich anliegt.
 
Grundlagen Routing sind bekannt - allerdings bin ich ehrlich wenn ich sage, dass ich manuelle Routing-Einstellungen bisher noch nicht oft vornehmen musste. Daher auch erstmal ordentlich selber probiert - nun brauche ich aber eben Hilfe :)
Magst du mir deinen letzten Satz noch einmal näher erläutern?:)
Danke!
 
Watchguard A: von 192.168.10.1 nach 192.168.39.0 mit 192.168.39.21 als Gateway)

Das schnall ich nicht.
Wie kann ein Netz geroutet werden, wenn die Zielroute auf das Netz (eine NetzIP) selber zeigt?

Wie gesagt, mal das bitte mal auf.

1. alles auf 0
2. 192.168.39.0/24 mit Interface IP 192.168.39.21 auf Watchgauda setzen.
3. von Router A das Zieldevice pingen
4. vom Client A das Zieldevice pingen (keine zusätzliche IP auf Clients konfigurieren)

PS: Der einzige, der Intersubnetzverkehr realisiert, ist der Router. Ein Client hängt nicht in 2 Netzen!
EDIT:
Dann hast du erstmal ein sauber funktionierendes Netz im Büro A. -> Basisvorraussetzung

2ndEDIT:
Zusätzlich muss das Zieldevice die 192.168.39.21 als Gateway bekommen.
 
Zuletzt bearbeitet:
Hallo,
danke für die Mühe und die ausführliche Aufarbeitung. Ich werde es morgen weiter probieren. Anbei schon einmal wie gewünscht eine Grafik, welche den regulären Netzwerkaufbau darstellt. Ich hoffe, das hilft! :) Untitled Document.jpg
 
Moin,


zunächst einmal braucht die Watchguard am Standort A eine IP aus dem Netz des Gerätes mit der IP 192.168.39.1. Sonst klappt das Routing garnicht.

Zweitens musst du die IPSec Konfiguration erweitern. Speziell Phase 2.

Vermutlich steht hier aktuell als Local Netz 192.168.10.0/24 und als Remote Netz 192.168.11.0/24 bzw vise versa auf dem anderen Gerät drin. Hier muss entsprechend um z.B. Local 192.168.39.0/24 und Remote 192.168.11.0/24 erweitert werden. Sofern das eingerichtet ist, müsste da am Routing nichts mehr eingerichtet werden, da die meisten Firewalls anhand der konfigurierten IPSec Phasen bereits das Routing selbst konfigurieren.


Abgesehen davon: Können Mitarbeiter am Standort A denn auf das Gerät zugreifen? Bzw ist das Teil überhaupt schon in irgendeiner Weise erreichbar? Und warum gibst du ihm nicht der Einfachheit halber eine IP aus 192.168.10.0/24?
 
Seratio schrieb:
Moin,


zunächst einmal braucht die Watchguard am Standort A eine IP aus dem Netz des Gerätes mit der IP 192.168.39.1. Sonst klappt das Routing garnicht.

Zweitens musst du die IPSec Konfiguration erweitern. Speziell Phase 2.

Vermutlich steht hier aktuell als Local Netz 192.168.10.0/24 und als Remote Netz 192.168.11.0/24 bzw vise versa auf dem anderen Gerät drin. Hier muss entsprechend um z.B. Local 192.168.39.0/24 und Remote 192.168.11.0/24 erweitert werden. Sofern das eingerichtet ist, müsste da am Routing nichts mehr eingerichtet werden, da die meisten Firewalls anhand der konfigurierten IPSec Phasen bereits das Routing selbst konfigurieren.


Abgesehen davon: Können Mitarbeiter am Standort A denn auf das Gerät zugreifen? Bzw ist das Teil überhaupt schon in irgendeiner Weise erreichbar? Und warum gibst du ihm nicht der Einfachheit halber eine IP aus 192.168.10.0/24?
Zum Vergrößern anklicken....

Danke, das ist ein interessanter Denkanstoß - das werde ich mir gleich anschauen. Mir ist auch aufgefallen das der Tunnel selber wohl das Problem ist da die Watchguard das Routing nicht automatisch durch den Tunnel leitet. Die passenden Optionen hierfür sind mir heute aber auch endlich mal über den Weg gelaufen. Das Gerät ist eine Steuerung und soll nur zum testen im .39er Netz verbleiben. Später steht das Ding eh ganz woanders und wird ins normale Netz überführt.
Die Watchguard A kann das Ding problemlos anpingen seitdem ich eine .39er IP als secondary IP vergeben habe. Watchguard B kriegt das nicht hin - kann aber interessanterweise nicht einmal die Watchguard A über dessen lokale IP (192.168.10.1) anpingen - trotz Tunnel. Und das, obwohl aller .11er Mitarbeiter permanent auf den Servern im .10er Netz arbeiten. Versteh das mal einer ¯\_(ツ)_/¯
 
Seratio schrieb:
Moin,


zunächst einmal braucht die Watchguard am Standort A eine IP aus dem Netz des Gerätes mit der IP 192.168.39.1. Sonst klappt das Routing garnicht.

Abgesehen davon: Können Mitarbeiter am Standort A denn auf das Gerät zugreifen? Bzw ist das Teil überhaupt schon in irgendeiner Weise erreichbar?
Zum Vergrößern anklicken....

Das ist genau das, was ich gestern als 1. Maßnahme vorgeschlagen habe.
Ohne dem braucht man sich über Routen über den Tunnel erstmal garkeine Gedanken machen.

Man macht vor dem 2. Schritt immer ersten den 1. Schritt, niemals den 2. direkt.

EDIT:
Der 2. Schritt wäre jetzt, dass man das .39.0/24 auf dem B Standort als Netz so ins Routing einfügt, dass der nächste Hop für das Netz der A Watchgauda ist. (ich vermisse irgendwie die TunnelIPs...)
Und viel mehr muss man auch nicht machen.
 
Zuletzt bearbeitet:
So, eine kurze Rückmeldung zum Ende: Es funktioniert.

Es war tatsächlich der richtige Weg beiden Watchguards eine IP aus dem .39er zu geben. Wichtig war jedoch, die Route nicht als "reguläre" Route einzurichten, sondern gezielt als Route die durch den VPN laufen soll - anderenfalls erkennt die Watchguard nicht dass der Traffic zwischen den Subnetzen durch diesen laufen soll.

Ich danke vielmals für die tolle Hilfe!

--yumyum
 
Anmelden, um zu antworten.

Ähnliche Themen

A
ExtremeNetworks Summit X450 - Hostroute wird ignoriert
Antworten
2
Aufrufe
339
underclocker2k4
U
J
OpenVPN Client auf Debian: Network is unreachable bei Verbindungsaufbau
Antworten
0
Aufrufe
408
justinh999
J
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh