vlan und ipsec vpn

Lan2Lan, VPN, SSL-VPN, Remote DialIn, statische Routen, Radius Setup

Moderatoren: TommyTC, alf, Petrus, andreastc, DSL-Hexe, nobody

vlan und ipsec vpn

Beitragvon elmexubi » Sa 08.10.2016 - 17:00

Hallo.

Ich bräuchte mal Hilfe, ich komme so nicht mehr weiter.
Wäre echt toll, wenn jemandem was dazu einfällt...
Grundsituation:

Wir haben 5 historisch gewachsene Standorte und eine Zentrale, diese sind momentan noch mit Fritz BOX VPN miteinender verbunden. Das tuts, wenn ich ehrlich bin eigentlich ganz gut.

192.168.1.0 -> Zentrale (hier stehen sie Server)
192.168.2.0 -> Standort 1
192.168.3.0 -> Standort 2
192.168.4.0 -> Standort 3
192.168.5.0 -> Standort 4

Nun fassen wir 3 unserer Standorte in einem Neubau zusammen.
Dieser Neubau hat natürlich einen Internetanschluss.

Da ich ja prinzipiell ne faule Sau bin und aus aus Sicherheitsgründen möchte ich die Trennung der Netze auch im Neubau beibehalten.
Deswegen habe ich für unseren Neubau den Vigor 2925 gekauft und die drei Netze als VLAN realisiert.
Der Router darf von jedem subNetz in jedes subNetz routen.
Da klappt auch super.

Auf den Draytec Seiten habe ich eine super Anleitung gefunden, wie ein Draytec Router per IPSEC Tunnel eine
Lan to Lan Verbindung mit einer Fritzbox (nämlich die Zentrale mit dem 192.168.1.0er Netz) aufbauen kann.

Auch das klappt (erstaunlicherweise) völlig problemlos.

Nun aber mein Problem:

Beim Einrichten der vpn Verbindung muss ich (logischerweise) das Zielnetz (192.168.1.0) und das Quellnetz (in meinem Beispiel die 192.168.2.0) angeben sowie die IP bzw den Hostname des Zielrouters angeben.

Wenn ich das tue, habe ich sofort und Problemlos ein funktionierendes VPN zwischen 192.168.1.0 und 192.168.2.0.
Leider komme ich damit noch nicht vom 192.168.3.0 und 192.168.4.0 ins VPN Netz 192.168.1.0
ich kann im Router leider das interne Routing eines VPN Netzes nicht wie das ein VLAN konfigurieren.

OK, dachte ich mir, musste halt für jedes Subnetz einen eigenen VPN Tunnel konfigurieren.
(sowohl an der Fritzbox als auch an dem Vigor)
Das geht aber leider nicht, da der Draytek beim erstellen des neuen Tunnels meckert, dass ja die ziel IP gleich sein wie das einer schon im Router vorhandenen VPN Verbindung. (was ja auch stimmt!)

Wenn man diese Warnung ignoriert, wird zwar tatsächlich ein VPN Tunnel aufgebaut, dieser funktioniert aber leider nicht.

ich meine das Problem kann man auch mit einer internen festen Route lösen, vom 192.168.3.0 ins 192.168.1.0 Netz mit 192.168.2.1 als Gateway.
Aber irgendwie klappt das nicht. Wahrscheinlich habe ich hier einen Denkfehler, oder?

Fällt dazu evt jemandem was ein?

Wäre echt dankbar für jede Hilfe!

Elmar
elmexubi
Grünschnabel
 
Beiträge: 1
Registriert: Sa 08.10.2016 - 16:58

Re: vlan und ipsec vpn

Beitragvon brian » Di 18.10.2016 - 12:03

Hallo Elmar,

schau mal ob es sich mit einer Route Policy im Vigor2925 lösen läßt.

D.h. die legst unter Load Blance / Route Policy eine Regel an die ungefähr wie folgt lautet:

Source IP: Any
Destination IP: Dest IP Subnet 192.168.1.0 / 255.255.255.0 / 24
Destination Port: Any

Interface: VPN (zur Fritzbox)

Alles andere braucht nicht angefasst werden.

Abschließend muss das gleiche auch in der Fritzbox gemacht werden.
Wie man jedoch der Fritzbox mitteilen kann, dass deine Subnetze 192.168.3.0 und 192.168.4.0 über Ihren VPN-Tunnel (zur 192.168.2.0) zu erreichen sind, kann ich dir leider nicht sagen.
Möglicherweise geht das nur, wenn der Tunnel mit Hilfe der VPN-Konfig-Datei erstellt wird.

MfG
brian
brian
Power-User
 
Beiträge: 194
Registriert: Do 14.10.2010 - 10:15


Zurück zu Fernzugriff und Netzwerkkopplung

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste

cron