Lan2Lan - Routing Problem ins Internet

Lan2Lan, VPN, SSL-VPN, Remote DialIn, statische Routen, Radius Setup

Moderatoren: TommyTC, alf, Petrus, andreastc, DSL-Hexe, nobody

Lan2Lan - Routing Problem ins Internet

Beitragvon iBlueDragon » Sa 04.09.2010 - 12:29

Hallo,

ich habe zwei Vigor Router mit folgender Konfiguration:

Vigor 2710
IP: 192.168.2.1
Internetanschluss: DSL (dynamische IP)

Vigor 2130
IP: 192.168.6.1
Internetanschluss: DSL (dynamische IP)

Mit etwas Gedult und Recherche im Internet habe ich es auch geschafft, einen IPSec VPN-Tunnel zwischen beiden aufzubauen. Internes Routing funktioniert. D.h. ich kann zum Beispiel von einem Rechner hinter dem Vigor 2130 den Vigor 2710 anpingen.

Nun moechte ich, dass Verkehr zu bestimmten IP-Adressen im Internet vom Vigor 2130 durch den VPN-Tunnel zum Vigor 2710 und von dort ins Internet geleitet wird (und natuerlich auch zurueck). Dazu habe ich beim Vigor 2130 unter LAN->Static Route eine neue Route angelegt und als Gateway IP-Adresse die interne Adresse des Vigor 2710 angegeben (die ich wie schon geschrieben auch durch den Tunnel anpingen kann). Nur die IP-Adresse im Internet kann ich nicht anpingen. Ein Trace Route zeigt, dass nach dem Vigor 2130 nichts mehr kommt.

Was laeuft da nicht???

Vielen Dank fuer eure Hilfe.

Gruesse
iBlueDragon
iBlueDragon
Grünschnabel
 
Beiträge: 3
Registriert: Sa 04.09.2010 - 12:20

Beitragvon nobody » Sa 04.09.2010 - 18:19

Du hast in der VPN verbindung (auf der 2130 Seite),
ganz unten einen button, der heist "more" (auf deutsch, vielleicht "mehr").
Da kannst Du die hosts/netzwerke eingeben, die über diese Verbindung geroutet werden sollen.
nobody
Hardcore-Poster
 
Beiträge: 1332
Registriert: So 19.09.2004 - 16:45

Beitragvon iBlueDragon » Mo 06.09.2010 - 02:18

Hallo nobody,

vielen Dank fuer die Antwort.
Leider gibt es diese Moeglichkeit beim 2130 nicht. Die Einstellmoeglichkeiten sind gegenueber dem 2710 recht spartanisch. Unter VPN and Remote Access / Lan-to-Lan kann ich nur einstellen:

General:
Enabled (yes)
Always On (yes)
Name
Remote IP
IKE pahse 1 mode (Aggressive Mode)

Authentication:
Pre-Shared Key
Confirm Pre-Shared Key
Local Identity
Remote Identity

Networks:
Local Network / Mask
Remote Network / Mask

Advanced Security Settings:
IKE phase 1 proposal (Automatic)
IKE phase 2 proposal (Automatic)
Perfect Forward Secrecy (no)

Drei Buttons: OK / Cancel / Delete Tunnel

Mehr geht da nicht...

Im Routing Table wird auch richtig eingetragen:

192.168.2.0 Gateway 0.0.0.0 Interface ipsec0

Fuer die von mir angelegten statischen Routen:
IP-Adresse Gateway 192.168.2.1 Interface ipsec0

Das Interface wird also richtig erkannt, aber das Gateway stimmt offenbar nicht.

Leider kann ich beim Anlegen der statischen Routen nur das Gateway vorgeben, nicht aber das Interface...

Wie weiter?

Besten Dank.
iBlueDragon
iBlueDragon
Grünschnabel
 
Beiträge: 3
Registriert: Sa 04.09.2010 - 12:20

Beitragvon nobody » Mo 06.09.2010 - 08:29

Keine Ahnung,
Ich habe mir gerade die live Demo angeschaut von diesem Gerät. Tatsächlich, das feature ist dort nicht vorhanden.

Dann mal den draytek support kontaktieren ?

Falls es doch mit dem statischen route eintrag funktionieren sollte, so müsste man eintragen, beispiel:

host, der über den VPN tunnel erreicht werden soll:
123.123.123.123
Dann sollte der Eintrag in die routing tabelle vielleicht so aussehen:
Destination IP Address: 123.123.123.123
Subnet Mask: 255.255.255.255
Gateway IP Adress: 192.168.2.1

Eine anderer Variante:
mach doch 2 Tunnel. Aber ich denke nicht, das das funktioniert.
Ausserdem wäre das recht aufwendig, einen tunnel pro host.
nobody
Hardcore-Poster
 
Beiträge: 1332
Registriert: So 19.09.2004 - 16:45

Beitragvon iBlueDragon » Do 09.09.2010 - 10:25

Habe leider keine positive Antwort vom Draytek Support erhalten.

Die Static Route-Funktion kann nicht auf das IPSec-Interface zugreifen. Daher funktioniert das nicht.

Da habe ich mit meinem 2130er wohl Pech gehabt...

Vielleicht bringt ein zukuenftiges Firmware-Update ja hier eine Verbesserung...
iBlueDragon
Grünschnabel
 
Beiträge: 3
Registriert: Sa 04.09.2010 - 12:20


Zurück zu Fernzugriff und Netzwerkkopplung

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste