SpecialK 10 Geschrieben 17. August 2006 Melden Teilen Geschrieben 17. August 2006 Hallo, nun haben wir einen komplett neuen VPN Zugang auf unserem Server bekommen, so dass sich die Grundvoraussetzungen geändert haben. Daher noch mal dieser Thread: Folgende Situation: Server: 1 Netzwerkkarte ist gebridged mit tun0 Die Bridge hat die IP 192.168.3.99 Auf dem Server ist zusätzlich noch eine virtuelle Netzwerkkarte des VPN Tunnels der Firma Fortinet. Dieser bekommt bei Aufbau des Tunnels die IP 172.16.55.11 Wenn der Tunnel aufgebaut ist, kann ich vom Server auf sämtliche PCs im Arbeitsnetzwerk zugreifen. (141.42.44.*) Nun sitze ich zu Hause an meinem PC, der ganz normal über DSL angebunden ist. Von diesem kann ich eine OpenVPN Vebrindung zum Server aufbauen. Dann bekommt die virtuelle tun0 Netzwerkkarte auf meinem HeimPC die 192.168.3.100 Ich kann den Server mit der 192.168.3.99 anpingen und auch komplett erreichen. Der Server kann auch meinen HeimPC erreichen. Nur möchte ich nun gerne über das bestehende OpenVPN auch über den Server und dort über den Fortinet VPN Zugang auf meinen DienstPC. (141.42.44.*) Daran scheitert es offensichtlich. Ich habe bereits auf meinem Heim PC eine Route in der Form von: "route add 141.42.44.0 mask 255.255.255.0 192.168.3.99)" angelegt. Ein Trace auf die IP 141.42.44.13 von meinem Heim PC kann ich bis zu 192.168.3.99 verfolgen. Danach bricht er aber ab. Also leitet der Server die auf dem OpenVPN ankommenden Pakete nicht über den Fortinet VPN weiter. Bevor ich ganz aufgebe, wollte ich noch einmal anfragen, ob ich eventuell etwas übersehen habe oder ob dies tatsächlich gänzlich unmögich ist. Prinzipiell müsste der Server die über OpenVPN eingehenden Pakete ja "nur" als seine eigenen ausgeben und schon müsste es laufen. Und bevor Fragen aufkommen: Ich habe die Erlaubniss unserer DV für diese "Tests" ;) SpecialK Zitieren Link zu diesem Kommentar
weg5st0 10 Geschrieben 18. August 2006 Melden Teilen Geschrieben 18. August 2006 Prinzipiell müsste der Server die über OpenVPN eingehenden Pakete ja "nur" als seine eigenen ausgeben und schon müsste es laufen. Damit das passiert muss die Verbindung genattet sein (NAT). und zwar auf deinem Server. ich habe zwar schon von solchen Konstrukten gehört in denen zweimal genattet wird, kann mir aber nicht vorstellen, daß das mit VPN funkrioniert. Die entfernte Firewall muss das als Spoofing werten und die Pakete verwerfen. Gehen die Pakete denn überhaupt über den Server hinaus (versucht er es denn)? poste mal den route print des Servers. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 18. August 2006 Melden Teilen Geschrieben 18. August 2006 ich habe zwar schon von solchen Konstrukten gehört in denen zweimal genattet wird, kann mir aber nicht vorstellen, daß das mit VPN funkrioniert. Die entfernte Firewall muss das als Spoofing werten und die Pakete verwerfen. Grundsätzlich funktioniert das, mit dem Spoofing hast Du natürlich recht. Im Falle einer Watchguard als innerner VPN-Appliance muss das konfiguriert werden, sonst werden die Pakete der äusseren Firewall verworfen ... Zitieren Link zu diesem Kommentar
SpecialK 10 Geschrieben 18. August 2006 Autor Melden Teilen Geschrieben 18. August 2006 Moin, ob er der Server es versucht, vermag ich nicht genau zu sagen, da ich bisher noch nicht raus bekommen habe, wie ich das kontrollieren kann. Hier einmal der Route print Auszug vom Server: =========================================================================== Schnittstellenliste 0x1 ........................... MS TCP Loopback interface 0x2 ...02 ff 04 af b9 90 ...... MAC-Brückenminiport - Paketplaner-Miniport 0x3 ...00 09 0f fe 00 01 ...... Fortinet virtual adapter - Paketplaner-Miniport =========================================================================== =========================================================================== Aktive Routen: Netzwerkziel Netzwerkmaske Gateway Schnittstelle Anzahl 0.0.0.0 0.0.0.0 192.168.3.1 192.168.3.99 30 10.0.0.0 255.0.0.0 172.16.55.12 172.16.55.11 1 127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1 141.42.0.0 255.255.0.0 172.16.55.12 172.16.55.11 1 141.42.213.251 255.255.255.255 192.168.3.1 192.168.3.99 1 172.16.55.11 255.255.255.255 127.0.0.1 127.0.0.1 20 172.22.255.255 255.255.255.255 172.16.55.11 172.16.55.11 20 192.168.3.0 255.255.255.0 192.168.3.99 192.168.3.99 30 192.168.3.99 255.255.255.255 127.0.0.1 127.0.0.1 30 192.168.3.255 255.255.255.255 192.168.3.99 192.168.3.99 30 224.0.0.0 240.0.0.0 172.16.55.11 172.16.55.11 20 224.0.0.0 240.0.0.0 192.168.3.99 192.168.3.99 30 255.255.255.255 255.255.255.255 172.16.55.11 172.16.55.11 1 255.255.255.255 255.255.255.255 192.168.3.99 192.168.3.99 1 Standardgateway: 192.168.3.1 =========================================================================== St„ndige Routen: Keine SpecialK Zitieren Link zu diesem Kommentar
weg5st0 10 Geschrieben 18. August 2006 Melden Teilen Geschrieben 18. August 2006 Auf den ersten Blick würde ich sagen, da stimmt was nicht: 141.42.0.0 255.255.0.0 172.16.55.12 172.16.55.11 1 141.42.213.251 255.255.255.255 192.168.3.1 192.168.3.99 1 Die Netzroute geht über den Fortinet und die Hostroute auf die anere Schnittstelle? Zitieren Link zu diesem Kommentar
SpecialK 10 Geschrieben 18. August 2006 Autor Melden Teilen Geschrieben 18. August 2006 Die 141.42.213.251 ist das Gateway, welches in der Fortinet Konfiguration angegeben ist. Die Route wird automatisch beim Aufbau des VPN hinzugefügt. SpecialK Zitieren Link zu diesem Kommentar
weg5st0 10 Geschrieben 18. August 2006 Melden Teilen Geschrieben 18. August 2006 Dann verwendet der Fortinet doch dieselbe Verbindung wie der andere VPN und die 172er bleibt ungenutzt, oder hab ich das konstrukt nicht verstanden? Zitieren Link zu diesem Kommentar
SpecialK 10 Geschrieben 18. August 2006 Autor Melden Teilen Geschrieben 18. August 2006 Also, der Fortinet VPN ist dazu da, um von der 192.168.0.99 in den 141.42.X.X Bereich zu kommen. Dazu benutzt der Fortinet VPN für seine virtuelle Netzwerkkarte die 172.16.55.11 In der Konfiguration des VPN Clients ist für diese VPN Verbindung ein Gateway angegeben. Dieses ist die besagte 141.42.213.251. Dies alles gehört zum Fortinet VPN. SpecialK Zitieren Link zu diesem Kommentar
Overon 10 Geschrieben 21. August 2006 Melden Teilen Geschrieben 21. August 2006 Hi, hast Du auf der Fortigate ne Policy angelegt für beide Netze? Also für Dein Home Netz und das 141er? Gruss Zitieren Link zu diesem Kommentar
SpecialK 10 Geschrieben 21. August 2006 Autor Melden Teilen Geschrieben 21. August 2006 Ja, hatte ich gemacht. Aber es hat sich nun eh erledigt, da wir eine Möglichkeit gefunden haben, ganz ohne den Fortinet direkt nur über OpenVPN ins Firmennetz zu kommen. SpecialK Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.