L2TP-Client-Verbindung zu Site-2-Site-VPN-Subnetzen

Es gibt 2 Antworten in diesem Thema, welches 2.427 mal aufgerufen wurde. Der letzte Beitrag () ist von mw-bd.

    Hi!


    Wir haben seit kurzem eine UDM Pro als Gateway für ca. 10 Mitarbeiter.

    Bislang passt eigentlich alles, doch beim aktuellen Thema komme ich einfach nicht weiter.


    Wir haben einige Entwicklungsserver bei einem großen Hoster und benutzen dort einige VMs zum Testen usw..

    Nun habe ich die UDM Pro über ein Site-to-Site VPN angebunden, was auch problemlos klappt - sowohl mit mehreren lokalen, als auch mehreren remote netzen.

    Im Datacenter verwenden wir dafür eine Strongswan installation mit IKEv2 VPN.

    Lokal analoge Einstellungen, IP Adressen sind beide static, Dynamic Routing ist aus.



    Aus den Netzen der UDM gibt funktioniert dementsprechend auch alles, sprich z.b. von LAN oder WLAN aus können wir auf die Datacenter Netze zugreifen.


    Hier der entsprechende ipsec status auf der UDM


    Code
    d089_06a5_7bba_07d0{40}:  INSTALLED, TUNNEL, reqid 10, ESP in UDP SPIs: c7f2e5fa_i caccfc3e_o
d089_06a5_7bba_07d0{40}:   192.168.80.0/24 192.168.81.0/24 192.168.85.0/24 === 10.230.0.0/16 10.239.0.0/24


    Dabei sind 192.168.80.0/24 und 192.168.81.0/24 die entsprechenden lokalen Netze.



    Nun zum Problem:

    Damit wir auch von unterwegs auf die Subnetze im Datacenter zugreifen können, gibt es nun ein weiteres VPN an der UDM Pro. Die Einwahl erfolgt über L2TP, bzw. über das von UDM bereitgestellte Remote User VPN (L2TP).


    Gateway IP/Subnet ist hier 192.168.85.1/24. Ansonsten sind die Einstellung Standard, MS-CHAP v2 ist aktiv für Win 10 Clients.

    Der Verbindungsaufbau funktioniert hier ebenfalls ohne Probleme, die User können sich ins VPN auf die UDM einwählen und auf die LAN und WLAN Netze zugreifen.


    Was nun einfach nicht funktioniert ist, dass wir aus dem L2TP Netz auch auf die Netze im Datacenter zugreifen können.

    Ich finde diesbezüglich einfach keine Möglichkeit.


    Wie ihr oben sicher schon erkannt habt, habe ich dieses netz manuell über SSH in die <id>ipsec.conf als zusätzliches leftsubnet auf der UDM und als rightsubnet auf der Gegenseite eingetragen, damit grundsätzlich beide wissen, wohin mit den entsprechenden Packeten.


    Hier ein wenig zur Analyse:


    Eingehende Pakete landen vom Datacenter bereits auf der UDM


    SSH auf der UDM:

    tcpdump -ni ppp0 | grep 10.239


    Code
    12:07:12.624149 IP 10.239.0.104 > 192.168.85.1: ICMP echo request, id 98, seq 1, length 64
12:07:13.632529 IP 10.239.0.104 > 192.168.85.1: ICMP echo request, id 98, seq 2, length 64
12:07:14.656531 IP 10.239.0.104 > 192.168.85.1: ICMP echo request, id 98, seq 3, length 64
12:07:15.680558 IP 10.239.0.104 > 192.168.85.1: ICMP echo request, id 98, seq 4, length 64
12:07:16.704598 IP 10.239.0.104 > 192.168.85.1: ICMP echo request, id 98, seq 5, length 64
12:07:17.728530 IP 10.239.0.104 > 192.168.85.1: ICMP echo request, id 98, seq 6, length 64


    Eine Antwort vom L2TP Netz bleibt aber aus. ICMP ist hier im Windows freigegeben, Split Tunneling aus, sprich alles geht über das L2TP.



    Der Weg zurück, sprich aus dem Client VPN zum Datacenter:


    SSH auf der UDM:

    tcpdump -ni l2tp0 | grep -i icmp

    Code
    12:15:32.145658 IP 192.168.85.1 > 10.239.0.104: ICMP echo request, id 1, seq 511, length 40
12:15:37.146424 IP 192.168.85.1 > 10.239.0.104: ICMP echo request, id 1, seq 512, length 40
12:15:42.143529 IP 192.168.85.1 > 10.239.0.104: ICMP echo request, id 1, seq 513, length 40
12:15:47.143511 IP 192.168.85.1 > 10.239.0.104: ICMP echo request, id 1, seq 514, length 40


    Auf dem Datacenter Gateway kommen aber keine ICMP Pakete von der UDM an.

    Sollten noch Infos fehlen, reiche ich die gerne nach.


    Ansonsten freue ich mich auf jede Idee.


    Danke und viele Grüße

    Habe jetzt als Lösung die UDP Ports 500 und 4500 auf eine externe UNIX Installation weitergeleitet, dort Strongswan aufgesetzt und entsprechend konfiguriert.

    Schade, dass es mit der UDM Pro hier keinen Weg zu geben scheint, passende Support Tickets und Community Einträge sind unbeantwortet geblieben.


    So kann ich aber wenigstens die Win Clients auch mit IKEv2 statt mit L2TP anbinden, das Thema hat Unifi ja auch seit 4 Jahren offen.

    Hallo,


    ich habe ein verwandtes Problem. Hinter der UDM Pro soll ein StrongSwan Server aufgesetzt werden (VPN-Aufbau mit dem Atlas-Server vom Zoll). Auf der UDM sind aber selbst einige Site_to_Site VPNs eingerichtet. Somit kann ich leider die Ports 500 und 4500 nicht mehr weiterleiten, da als interne Regel benutzt.


    Die VPNs (sind einige) sollen eigentlich auf der UDM bleiben.


    Der StrongSwan ist eine von vielen VMs im VCenter, Subnetz der UDM, Traffic über virtuellen Switch des VCenters.


    Ich hatte bislang mit einer statischen Route und DMZ experimentiert, aber ohne Erfolg. DMZ lässt sich wohl leider nicht auf die VM begrenzen und die statische Route hatte keinen Effekt. Scheint so, als ob sich die UDM alle VPN-Pakete unter den Nagel reißt.


    Ich wäre für jede Idee dankbar.


    Danke im Voraus und viele Grüße!