VPN Site2Site Verbindungen mit 3 Standorten - Verbindungsproblem zu den 2 Außenstellen

Es gibt 9 Antworten in diesem Thema, welches 2.330 mal aufgerufen wurde. Der letzte Beitrag () ist von masmao.

    Hallo zusammen,


    ich habe 3 Standorte:

    • Standort A: (Hauptstandort) Feste WAN IP (Dreammachine)
      • 192.168.1.0/24
      • 10.1.11.0/24 (VLAN 11)
      • 10.1.21.0/24 (VLAN 21)
      • 10.1.31.0/24 (VLAN 31)
      • 192.168.123.0/24 (Remotebenutzer VPN L2TP)
    • Standort B: (Außenstelle 1) DYNDNS (Security Gateway Pro mit Cloudkey Gen2Plus)
      • 192.168.2.0/24
      • 10.1.12.0/24 (VLAN 12)
      • 10.1.22.0/24 (VLAN 22)
      • 10.1.32.0/24 (VLAN 32)
    • Standort C: (Außenstelle 2) DYNDNS (Security Gateway Pro mit Cloudkey Gen2Plus)
      • 192.168.3.0/24
      • 10.1.13.0/24 (VLAN 13)
      • 10.1.23.0/24 (VLAN 23)
      • 10.1.33.0/24 (VLAN 33)

    Standort "B" ist per Site2Site mit Standort "A" über OPENVPN verbunden.

    Standort "C" ist per Site2Site mit Standort "A" über OPENVPN verbunden.


    Ich kann von Standort "B" die Netze von "A" pingen und umgekehrt.

    Ich kann von Standort "C" die Netze von "A" pingen und umgekehrt.


    Jetzt zu meinem Problem:


    Wenn ich mich per VPN (L2TP) von meinem Laptop an Standort "A" einwähle, kann ich nur die Netze von Standort "A" per Ping erreichen.

    Wie schaffe ich es, das ich über die VPN (L2TP) Verbindung zu Standort "A" auch die Netze in Standort "B" und "C" erreiche?


    Statische Route? Irgendwie klappts noch nicht? Help


    Danke


    :face_blowing_a_kiss:

    Hi Ede,


    das l2tp RemotebenutzerVPN hab ich nach in der GUI angelegt:

    Im Routing hab ich noch nichts eingetragen.... was müsste da rein?

    Momentan noch alles Standard bzw. automatisch durch UniFi angelegt, beim Erstellen der Netze:

    Einmal editiert, zuletzt von razor () aus folgendem Grund: 2 Beiträge von masmao mit diesem Beitrag zusammengefügt.

    Du bei die Netzwerk Einstellungen bei Standort B & C anpassen


    Einstellungen das Netzwerk von openvpn auswählen und bei Remote-Subnetze

    die IP-Adresse von Standort A eintragen Remotebenutzer VPN L2TP eintragen (192.168.123.0/24)


    oder


    die IP Adresse bei Standort A Remotebenutzer VPN L2TP ändern.


    Danach gehts..

    :thumbs_up:

    Exakt: Du musst bei den jeweiligen OPENVPN-Verbindungen unter Remote Subnets die anderen Subnetze eintragen. - Hast Du wohl schon, denn:


    Zitat von masmao

    Ich kann von Standort "B" die Netze von "A" pingen und umgekehrt.

    Ich kann von Standort "C" die Netze von "A" pingen und umgekehrt.


    Wenn ich Dich oben richtig verstanden habe masmao , dann wissen B und C nix voneinander, nur A kennt B und C, richtig?


    Ich habe eben nach etwas anderem gesucht, bin dabei aber auf den Hinweis gestoßen, dass (bei UniFi?) via L2TP keine Routen gepusht werden. Wahrscheinlich wirst Du um eine manuelle Konfiguration am Client nicht umhinkommen. Hier musst Du dann mitteilen, dass die Netze an Standort B und C via VPN-Tunnel zu erreichen sind.


    Schau' Dir mal die Routen auf dem Client an, und zwar MIT und OHNE VPN-Verbindung. Dann weißt Du, wie die Route aussehen muss, um die Netze in / an B und C zu erreichen.


    ich bin gespannt, was Du uns berichtest.

    Zitat von razor

    Ich habe eben nach etwas anderem gesucht, bin dabei aber auf den Hinweis gestoßen, dass (bei UniFi?) via L2TP keine Routen gepusht werde

    Das dürfte nicht nur bei UniFi so sein, denn L2TP ist am Ende eine Point-to-Point Verbindung zwischen einem "Network Server" (LNS) und einem "Access Concentrator" (LAC) in dessen Tunnel nur PPP-Frames transportiert werden - und somit hat sich ein Routing. Erst die V.3 kann dann auch andere Protokolle. Ich verwende daher auch für Einwahlverbindungen IPsec - da hat man ja dann ein eigens (Sub)Netz.

    Hab das Netz 192.168.123.0/24 an beiden Standorten (B und C) bei den OPENVPN Verbindungen eingetragen.


    Komme per Ping aber noch nicht durch:


    Die 192.168.2.129 ist eine IP Adresse am Standort B, welche für den OPENVPN Site2Site Verbindungsaufbau zwischen Standort A und Standort B Verwendet wird.


    Trotzdem Danke mal an alle, die mir hier weiterhelfen möchten.


    Danke

    Jetzt bin ich leicht überfordert.


    Mit welchem Befehl müsst ich da was konfigurieren?

    Sorry das ich so dämlich frag, aber stehe das erste mal vor so einem Problem.

    Einmal editiert, zuletzt von razor () aus folgendem Grund: Ein Beitrag von masmao mit diesem Beitrag zusammengefügt.

    Zitat von masmao

    Jetzt bin ich leicht überfordert.


    Mit welchem Befehl müsst ich da was konfigurieren?

    Sorry das ich so dämlich frag, aber stehe das erste mal vor so einem Problem.

    Zeig' uns gern die VPN-Konfiguration zwischen allen Satndorten - gern als Screenshot / Hardcopy. Ich denke, dass wir dann fündig werden.

    Und auch die RoadWarrior-Config (L2TP) für die Client-Einwahl.

    Hallo zusammen,


    ich bin überglücklich!!!! Es funktioniert.


    Hab wie Gerleg das 192.168.123.0/24 Netz als Remotenetz in die OPENVPN Verbindungen bei Standort B und C mit aufgenommen, und jetzt funktionierts.


    Ich wähle mich mit dem Laptop nun per L2TP VPN in das Netz von Standort A ein, und kann alle Netze an Standort A erreichen. Zusätzlich gehen jetzt auch die Netze an Standort B und C. Alle bis auf eins. Es ist das 10.1.32.0/24 an Standort B. Mit diesem Netz hab ich immer getestet. Das löst immer auf 62.155.245.101 auf mit dem Hinweis, Zielnetz nicht erreichbar.


    Vielleicht hat mir hier auch noch jemand einen Tipp?


    Soll ich das Netzwerk am UNIFI Cloudkeygen2plus löschen und nochmals neu anlegen?


    Was mir noch gerade aufgefallen ist.


    An Standort B hat das Gateway UXG-Pro die LAN IP 10.1.23.1 (siehe Netze erster Post)

    An Standort C hat das Gateway UXG-Pro die LAN IP 10.1.33.1 (siehe Netze erster Post)

    Müsste das nicht 192.168.2.1 bzw. 192.168.3.1 sein?

    Kann ich die auch fest einstellen? Es sieht so aus, als ob er von irgeneinem angelegten Netz eine IP Adresse zieht.


    Oder muss ich am Switch, an dem das UXG hängt explizit das Netz angeben? Ich glaub da steht bei Profil noch all drin...??


    Der Switch hat eine aus dem richtigen Netz erhalten. 192.168.2.20

    (Das Netz ohne VLAN-ID)

    Hab den Fehler zwischenzeitlich selbst gefunden.


    Hatte einen Zahlendreher im Netz 10.1.32.0/24 an Standort B


    Hatte 10.1.23.0/24 statt 10.1.32.0/24 eingetragen gehabt.


    Hab jetzt festgestellt das die UXG-Pro immer das Gateway mit dem höchsten Netz als LAN IP annimmt. Ist das normal?


    Also wenn ich ein neues Netz erstelle z.B. 10.1.99.1/24 nimmt die UXG-Pro als LAN IP sofort die 10.1.99.1 an.


    Sonst Fehlfunktion kann ich bisher nichts feststellen..