Eingeschränktes Routing nach VPN-Einwahl

Es gibt 15 Antworten in diesem Thema, welches 3.094 mal aufgerufen wurde. Der letzte Beitrag () ist von DoPe.

    Guten Morgen zusammen!

    Ich habe hier jetzt eine ganze Weile rumprobiert und komme irgendwie nicht weiter. Auf meinem USG4 habe ich eine VPN-Einwahl mit Radius-Auth über einen Server2016 in meiner Domäne eingerichtet, was soweit auch gut funktioniert, dafür habe ich ein Netz 10.114.16.0/24 angelegt. Zusätzlich sind im USG (10.114.1.1) statische Routen hinterlegt, um u.A. über eine MPLS-Leitung auf unsere Warenwirtschaft zuzugreifen, die in einem Hosting liegt. Bin ich nun per VPN verbunden, erreiche ich per Ping alle möglichen Adressen in unserem Netz 10.114.0.0/20 nur nicht den Eingang zur MPLS 10.114.1.20 und kann damit nicht aufs Hosting zugreifen.

    Vorher hatte ich die VPN Einwahl komplett über den Server2016 geregelt, da ging das problemlos.


    Hat da vielleicht jemand ein Idee zu? Wenn ihr noch weitere Infos braucht, einfach fragen. Ich bin froh über jeden Tipp...

    Einmal editiert, zuletzt von Maxx5577 ()

    Hast du denn die Netze irgendwie getrennt in der Firewall? Wenn ja entsprechende Regeln eingerichtet das du aus dem VPN Netz dahin darfst?

    Die 10.114.1.20 ist ein Router? Hast Du da die Rückroute für dein VPN Netz mit Gateway auf deinen VPN Server drin? Wenn die fehlt, dann kommt die Antwort nicht mehr ins VPN Netz also zum Client und wird vermutlich irgendwo an einen Standardgateway ins Internet geblasen.

    Ist denn die USG der Standardgateway des MPLS Routers? Ich denke nicht. Da der Router die USG nicht als Standardgateway nutzt und auch sonst keine Route für das Netz 10.114.16.0/24 hat, schickt er sowohl Ping Replies von Pings auf 10.114.1.20 und alles was da aus dem MPLS Netz als Antwortpakete kommt auf seinen Default Router.


    Du müsstest also eine Router für Ziel 10.114.16/24 in den MPLS Router eintragen und als GW für diese Route dann die Adresse des VPN Servers aus eurem 10.114.0.0/20 Netz eintragen. Die USG würde auch gehen, wäre aber ein sinnloser Hop mehr. Danach solltest Du zumindest schonmal den MPLS Router vom VPN Client anpingen (so der Router Pings nicht dropt). Wenn auf der anderen Seite im MPLS Netz alles korrekt ist, dann sollte auch die WaWi erreichbar sein.


    Allerdings kann es auch sein, dass auf der anderen Seite noch eine Route fehlt ... da müsste man jetzt wissen wie das Netzwerk da ausschaut.

    Also irgendwie steht da bei mir einer auf der Leitung. Wenn der MPLS-Router problemlos aus meinem Netz erreichbar ist, sollte dort doch auch das USG als Gateway eingetragen sein? Und wenn eben dieses USG auch die VPN-Einwahl und das Netz dazu stellt, sollte doch auch dort das USG als Gateway geführt werden? Dann sollten sich die Netze doch auch untereinander unterhalten können, was ja auch soweit funktioniert - per VPN eingewählt erreiche ich ja zum Beispiel die 10.114.1.99 problemlos, nur die 10.114.1.20 eben nicht. Damit sollte doch der MPLS-Router eigentlich den Rückweg kennen?


    Sorry, aber da denk ich scheinbar irgendwo grad nicht weit genug aber danke schonmal für deine Hilfe-Versuche :zany_face:

    Worüber geht der MPLS Router Online? Doch bestimmt nicht über die USG?


    Bei der Kommunikation aus eurem normalen Netz und dem MPLS hat der MPLS Router ein Bein in beiden Netzen und dementsprechend für diese beiden Netze auch eine Route. Jeder Router oder eigentlich jedes IP Gerät hat für jedes Interface auf dem eine IP schlummert eine Route für genau diese Netze. Alles was dann hinter einam anderen Router liegt ist unbekannt ausser man trägt eine Route ein.


    Wenn der MPLS einen eigenen Zugang zum Internet hat, dann kennt er das VPN Client Netz nicht und desshalb musst Du ihm sagen wo er die Pakete für das Ziel hinschicken soll sonst gehts ans Standardgateway.

    Zitat von Maxx5577

    mal schauen ob ich da dran komme, das Ding ist ja in Obhut der Telebum...

    Und da wird schlussendlich der Hase im Pfeffer liegen. Die Route wie ich sie Dir genannt hatte, konntest Du vermutlich auch nicht in den MPLS Router konfigurieren oder? Ich kann mir auch nicht vorstellen, dass dein VPN IP Bereich im Rechenzentrum/MPLS bekannt ist und mit einer Route zu Euch versehen ist.


    Ich denke mal da muss Du sicher bei der Telekom nachfragen ob die so gnädig sind und das entsprechend anpassen. Mit solchen Anschlüssen hatte ich bisher nur einmal zu tun. Das war sinnigerweise nur ein Anschluss (also gab es keine Standortvernetzung) und da hatten wir hier im Zoo zu tun überhaupt Online zu kommen, weil die Doku der Einrichtung und teilweise auch die Daten schlichtweg nicht den Telekomeinstellungen entsprachen :smiling_face:

    Ja, das wird bestimmt interessant... :tired_face:


    Dummerweise funktioniert das ja alles, wenn ich die VPN-Verbindung nicht vom USG sondern vom Windows-Server bereitstellen lasse. Dann muss ich aber die entsprechenden Ports auf den Server weiterleiten, was wiederum mit der geplanten Site-To-Site-Kopplung des USG mit einem weiteren USG kollidiert.


    Irgendwas ist ja immer...ich danke dir auf alle Fälle die Denkarbeit! Ich melde mich nochmal mit Resultaten :winking_face:

    Wie versprochen melde ich noch Vollzug! :grinning_face_with_smiling_eyes:

    Wider Erwarten war das bei den magenta-farbenen MPLS-Betreibern überhaupt keine Problem - Ticket aufmachen, Wünsche formulieren und schon ging das los!

    Im Nachgang musst dann noch das VPN-Netz im Hosting hinter der MPLS-Leitung bekanntgemacht werden und schon läuft das!


    Vielen Dank nochmal für die entscheidenden Hinweise! :thumbs_up: :thumbs_up: :thumbs_up: :thumbs_up: