Static Routing RV082

Unanswered Question
Oct 20th, 2009
User Badges:

Hallo Cisco Team,


Ich habe folgendes Problem:


Ich möchte gerne per VPN mit meinen Netzwerk A über das Netzwerk B auf das Netzwerk C zugreifen.


Punk A ist ein RV082 mit dem IP Bereich 192.168.12.0


Punk B ist ein RV082 mit dem IP Bereich 192.168.38.0


Punk C ist ein RV042 mit dem IP Bereich 192.168.36.0


nun, ich komme von Punkt B per VPN in A und C und umgekehrt


aber ich komme nicht von A über B nach C und umgekehrt, trotz Static Routing Einträge



Ich wäre echt froh wenn mir Ihr mir Helfen könntet.


MFG


Thunder

  • 1
  • 2
  • 3
  • 4
  • 5
Overall Rating: 0 (0 ratings)
Loading.
Gerald Vogt Wed, 10/21/2009 - 01:53
User Badges:
  • Bronze, 100 points or more

Das geht nicht. Du musst einen eigenen Tunnel zwischen A und C einrichten.


Mit den RV082/RV042 erstellt Du reine IPSec Tunnel, insbesondere ohne Tunnel-Interfaces. Deshalb ist es nicht möglich, IP-Pakete explizit durch den Tunnel zu routen. Die Entscheidung, ob ein Paket durch den IPSec Tunnel geht oder normal ins Internet, hängt einzig davon ab, ob die Local/Remote Security Groups der Quell-/Ziel-IP-Adresse entsprechen.


Das heißt, Dein IPSec Tunnel zwischen A und B verschlüsselt exakt den Verkehr mit Quell-IP-Adresse 192.168.12.0/255.255.255.0 (Local Security Group) und der Ziel-IP-Adresse 192.168.38.0/255.255.255.0 (Remote Security Group). Nichts sonst.


Wenn Du eine statische Route auf A für das Subnetz von C 192.168.36.0/255.255.255.0 über den Router B einrichten willst, dann ist das nicht möglich. Wenn nämlich ein Paket mit Quell-Adresse 192.168.12.10 an 192.168.36.10 geschickt werden soll, dann geht dieses nie durch den VPN Tunnel zu B, ganz einfach weil die Remote Security Group nicht 192.168.36.0/255.255.255.0 umfasst. Routing ändert ja nichts an den Quell-/Ziel-Adressen von Paketen.


Leider erlaubt Dir das Web Interface der RVs nicht, komplexere Security Groups zu definieren. Es geht nicht mehr als ein Subnetz. Wenn ich nicht irre, ist es leider auch nicht möglich, zwei getrennte Tunnel zwischen denselben Routern aufzusetzen, um einmal die Remote Security Group von B und einmal von C abzuwickeln. Du kannst zwischen zwei Routern immer nur exakt einen Tunnel aufbauen.


Es bleibt Dir nichts anderes übrig, als einen Tunnel direkt zwischen A und C einzurichten. Anders geht es meines Wissens mit diesen Geräten nicht.

Thunder-Zeta Wed, 10/21/2009 - 08:07
User Badges:

Erstmal vielen Dank, für die schnelle und umfassende Antwort.


Schade, sowas hatte ich mir schon gedacht...dass das so nicht funktioniert... naja..

und das die beiden "Aussenstellen" A und C im Gateway modus und nicht im Router modus laufen, stört da nicht??

Das bezieht sich ja nur auf das Dynamische Routen oder??

Gibt es denn andere Geräte die diese Möglichkeit erlauben ?? z.B. RV016?? oder andere Small Buissness Geräte von Linksys/Cisco??


MFG


Thunder

Gerald Vogt Wed, 10/21/2009 - 08:22
User Badges:
  • Bronze, 100 points or more

Nein. Gateway Mode heißt nur "NAT enabled" und Router Mode heißt "NAT disabled". NAT macht die Abbildung zwischen Deiner öffentlichen IP-Adresse und den private IP-Adressen in Deinem LAN. Wenn Du private IP-Adressen verwendest brauchst Du also Gateway Mode.


Router Mode kannst Du nur nutzen, wenn die IP-Adressen auf LAN Seite auch auf der Internet Seite Gültigkeit haben. Das ist entweder dann der Fall, wenn Du ein eigenes Subnetz öffentlicher IP-Adressen besitzt, oder wenn der Router innerhalb eines eigenen Netzes mit einem anderen Gateway Router läuft.


Gateway/Router Mode bzw. NAT hat nichts mit den VPN Tunneln zu tun. Die Tunnel funktionieren mit NAT und ohne NAT. Es hat auch nichts mit dynamischen Routen zu tun. Die beeinflußen nur das Routing, nicht aber NAT. Es ist etwas verwirrend, dass die Mode- bzw. NAT-Einstellung auf der Seite "Advanced Routing" steht, da sie ja gar nichts mit dem Routing direkt zu tun hat...


Ich würde auf jeden Fall den Tunnel zwischen A und C einrichten. Es spart Dir nebenbei noch Bandbreite. Wenn Du über B gehst, muss ja erst mal alles nach B gehen und dann wieder dort raus.


Routable Tunnel-Interfaces sollten, glaube ich, alle "echten" Cisco Router haben (800 Series und höher auf jeden Fall, bei dem SR520 bin ich nicht ganz sicher). Ich glaube, alle Router, die von Linksys gekommen sind, können es nicht.

Thunder-Zeta Wed, 10/21/2009 - 09:15
User Badges:

Oki danke nochmal für die ausführlichen und wissenswerten Antworten,

dann muss ich das wohl so machen , das ich A direkt mit C verbinde!!

Die möglichkeit mit dem echten Cisco Routern muss ich mir dann noch mal überlegen.


MFG


Thunder

Actions

This Discussion