Routingfrage / 3 Netze mit VPN

[rdc 10]

Hallo NG,

 

folgende Situation:

 

3 Netzwerke an drei verschiedenen Standorten:

 

Standort A: 192.168.5.0 / 32

Standort B: 192.168.100.0 / 32

Standort C: 192.168.178.0 /32

 

Standort A ist mit Standort B und Standort B mit Standort C per VPN verbunden, was auch problemfrei funktioniert. Router sind alles Fritz!Boxen.

 

A <---> B <---> C

 

Zwischen A und C gibt es kein VPN, da hier nur eine geringe Bandbreite anliegt und die eine Verbindung zwischen B und C schon manchmal instabil wird.

 

Nun möchte ich Netzwerk C dennoch aus A erreichen. So dachte ich mir, wenn man eine Route in der Fritz!Box A wie folgt festlegt, müsste es funktionieren:

 

Wenn Anfrage an 192.168.178.0 / 255.255.255.0, dann leite weiter an 192.168.100.1 (Router im Netz 192.168.100.0/32).

 

Mein Gedanke war hier dass Fritz!Box A ja die Fritz!Box B durch das VPN kennen und ansprechen müsste und Fritz!Box B ja wiederum durch VPN das Netzwerk C kennt.

 

Das funktioniert aber nicht! :mad:

 

Wo liegt hier mein Denkfehler? Könnt ihr mir einen Alternativvorschlag machen, wie ich den Zugriff realisieren kann?

 

Dank und Gruß, Danilo.

[IThome 10]

Ist das ein IPSEC-VPN ?

[rdc 10]

Ja, ist es.

[IThome 10]

Hast Du definiert, dass die Daten für das andere Netz auch durch den Tunnel geschickt werden ? In der Regel definiert man dort ja Adresspaare, um zu definieren, zu welchen Zieladressen der Tunnel benutzt wird, meinetwegen 192.168.5.0/24 <===> 192.168.100.0/24 (wie kommst du eigentlich aus /32 ?) ...

[rdc 10]

Sorry /24 natürlich ... war schon wieder wo ganz anders. ;)

 

Ich hab den automatischen Konfig-Assi genommen, muss ich mir mal anschauen ...

–

So sieht der Abschnitt an Standort A aus:

 

vpncfg {

connections {

enabled = yes;

conn_type = conntype_lan;

name = "standort_b.selfip.org";

always_renew = no;

reject_not_encrypted = no;

dont_filter_netbios = yes;

localip = 0.0.0.0;

local_virtualip = 0.0.0.0;

remoteip = 0.0.0.0;

remote_virtualip = 0.0.0.0;

remotehostname = "standort_b.selfip.org";

localid {

fqdn = "standort_a.selfip.org";

}

remoteid {

fqdn = "standort_b.selfip.org";

}

mode = phase1_mode_aggressive;

phase1ss = "all/all/all";

keytype = connkeytype_pre_shared;

key = "18Y85a1e6e1a6bceaTc28a4.U07aea9Yf5";

cert_do_server_auth = no;

use_nat_t = no;

use_xauth = no;

use_cfgmode = no;

phase2localid {

ipnet {

ipaddr = 192.168.5.0;

mask = 255.255.255.0;

}

}

phase2ss = "esp-all-all/ah-none/comp-all/pfs";

accesslist = "permit ip any 192.168.100.0 255.255.255.0";

}

 

Was müsste ich hier ergänzen?

[IThome 10]

In der Liste tauchen auf jeden Fall die Adressen der beiden Netze auf. Da ich aber dieses VPN-Gateway nicht kenne, kann ich Dir leider nicht sagen, wo Du das dritte Netz einfügen musst (auf beiden Seiten) ...

[rdc 10]

Hurra! Lösung gefunden. Hier der passende Auszug aus dem AVM-Portal:

 

Die accesslist (Zugriffsregeln) richtet sich nach den angegebenen IP-Netzen in FRITZ!Box Fernzugang einrichet. In diesem Fall hat die lokale Seite das 192.168.100.0/24 Netz und darf auf das komplette entfernte 192.168.200.0/24 Netz zugreifen.

 

Diese Liste kann mit einem Komma erweitert werden (in rot). Dabei kann man auch einzelne Hosts festlegen.

 

TIPP: Wichtig beim Anlegen weiterer Zugriffsregeln ist, dass die entfernten Netze bzw. Hosts die Rückrouten kennen.

 

Beispiel:

 

accesslist = "permit ip any 192.168.100.0 255.255.255.0";

"permit ip any 192.168.178.0 255.255.255.0";

 

PS: Wer aus kosmetischen Gründen den zweiten Eintrag in der cfg-Datei wie hier abgebildet einrücken möchte, der mache das nicht mit TAB sondern nur mit Leerzeichen, da es ansonsten nicht funktioniert. --> Gilt natürlich nur für den Windows-Editor!

[IThome 10]

Super ... :) Es ist also vorher nicht durch den Tunnel gelassen worden. Musstest Du auf beiden Seiten anpassen ?

[rdc 10]

Ja, genau, wurde nicht durchgelassen.

 

Ich musste Standort A und Standort C anpassen, da B ja logischerweise alles bekannt war.

 

Danke nochmal für den Tipp!