LAN-to-LAN VPN mit Gateway

Jump to last post
H

Howard

NGBler
Registriert
30 Juli 2013
Beiträge
561
Ort
Hessisch Sibirien
Moin,

ich brauch Hilfe. Ich möchte ein VPN zwischen 2 lokalen Netzen aufbauen. Auf der einen Seite eine Fritzbox, auf der anderen ein Speedport. Ich habe 2 Netgear FVS336G, die als VPN-Gateway im jeweiligen LAN hängen. Diese Router direkt ans WAN zu hängen, ist ausgeschlossen.

Problem: Wenn ich an den Clients im LAN den Netgear als Gateway eintrage, geht die DNS-Auflösung (bspw. zu Google). Pakete kommen aber keine durch, die bleiben am Neatgear hängen. Wie bekomme ich das zum laufen?

Danke
H
 
Logisch, deine Konfiguration arbeitet so wie sie es jetzt tut korrekt. Wenn du in Netz A mit einem Rechner in das Internet willst, aber als Gateway den Router von Netz B angegeben hast, geht die Anfrage über den VPN Tunnel und bleibt bei Router B hängen. Das Gateway muss der Router aus Netz A bleiben, wenn der VPN-Tunnel nicht funktioniert stimmt irgendwas mit dem Routing nicht.
 
Stimmt das Routing?
Welche der beiden Netzwerkkonfigurationen trifft zu?

Typ A
ta.JPG

Typ B
tb.JPG


Falls Typ A:

Folgende Routen müssen eingetragen sein:

FritzBox/Speedport
[table="align: left"]
[tr]
[td]Netzadresse[/td]
[td]Subnetzmaske[/td]
[td]Gateway[/td]
[/tr]
[tr]
[td]<VPN remote subnet>[/td]
[td]<netmask>[/td]
[td]<VPN remote peer>[/td]
[/tr]
[tr]
[td]192.168.20.0[/td]
[td]255.255.255.0[/td]
[td]192.168.10.2[/td]
[/tr]
[tr]
[td]0.0.0.0[/td]
[td]0.0.0.0[/td]
[td]<Gateway ISP>[/td]
[/tr]
[/table]

NetGear
[table="align: left"]
[tr]
[td]Netzadresse[/td]
[td]Subnetzmaske[/td]
[td]Gateway[/td]
[/tr]
[tr]
[td]0.0.0.0[/td]
[td]0.0.0.0[/td]
[td]192.168.10.1[/td]
[/tr]
[/table]

Client
Gateway: 192.168.20.1


Falls Typ B:

Mit Vorsicht zu geniessen. Hier kann es passieren, dass du dir ein asynchrones Routing baust.

Vom Routing her müsste es so aussehen:

FritzBox/Speedport
[table="align: left"]
[tr]
[td]Netzadresse[/td]
[td]Subnetzmaske[/td]
[td]Gateway[/td]
[/tr]
[tr]
[td]<VPN remote subnet>[/td]
[td]<netmask>[/td]
[td]<VPN remote peer>[/td]
[/tr]
[tr]
[td]192.168.10.0[/td]
[td]255.255.255.0[/td]
[td]192.168.10.2[/td]
[/tr]
[tr]
[td]0.0.0.0[/td]
[td]0.0.0.0[/td]
[td]<Gateway ISP>[/td]
[/tr]
[/table]
Hier kann es schon scheitern, da ich mir vorstellen kann, dass du dies bei den popeligen Privatkundenrouter eventuell nicht konfigurieren können wirst.


NetGear
[table="align: left"]
[tr]
[td]Netzadresse[/td]
[td]Subnetzmaske[/td]
[td]Gateway[/td]
[/tr]
[tr]
[td]0.0.0.0[/td]
[td]0.0.0.0[/td]
[td]192.168.10.1[/td]
[/tr]
[/table]

Client
Gateway: 192.168.10.2

Ich empfehle dir Typ A.

PS: Die FritzBox bietet dir die Möglichkeit Pakete mitzuschneiden, falls du damit rumexperimentieren möchtest.
You do not have permission to view link please Anmelden or Registrieren
 
Zuletzt bearbeitet:
  • Thread Starter Thread Starter
  • #4
Ist eher Typ B. Der Router hängt im Rackschrank. Ich muss als Gateway der Clients den Netgear im selben LAN wählen, damit ich den Traffic auch übers VPN bringe. Allerdings kommen keine Pakete vom Netgear an der Fritzbox an. Das ist das Problem. Sobald das geht, Ports in der Fritzbox durchreichen und DnyDNS erstellen, dann sollte es das gewesen sein.
 
Hast du auf dem NetGear die entsprechende Route definiert? Klingt danach als wäre die nicht vorhanden. Somit dropped der NetGear die Pakete, da er nicht weiss über welche Stelle er die entfernte Adresse erreicht.
Achte auch auf das was ich zu der Konfiguration geschrieben hab.
Asynchrones Routing könnte bedeuten, dass deine Pakete vom Client ausgehend zwar über den NetGear an z.B. die FritzBox und darüber hinaus geschickt werden, die Rückantworten allerdings von der FritzBox direkt und nicht über den NetGear an den Client zugestellt werden. Das wäre zu vermeiden.
 
  • Thread Starter Thread Starter
  • #6
netgearrgsx1.jpg


Also quasi so. Was muss wohin und was mache mit dem Metric?

€dit:

Sollte so aussehen:

Destination IP Adress: 0.0.0.0
Subnet Mask: 0.0.0.0
Interface: WAN1 (hier geht das Signal in den Router/kommt das Kabel vom Router an)
Gateway IP Adress: 192.168.179.1 (Fritzbox)
Metric: Wtf?

Statische IP des Netgear ist 192.168.179.2, DNS für alle Geräte 192.168.179.1.
 
Zuletzt bearbeitet:
Deine Angaben zur Route auf dem NetGear sind korrekt. Allerdings würde ich prüfen, ob WAN1 das richtige Interface ist, da du mit diesem Interface keine WAN Verbindung aufbaust, sondern du dich immer noch im LAN befindest.

Mit der Metrik kann definiert werden, ob eine Route über einer anderen bevorzugt werden soll. Schlichtweg setzt du hiermit Prioritäten. Eine niedrigere Zahl bedeutet eine höhere Priorität. Da du nur eine statische Route konfigurieren möchtest ist der Wert, den du angibst erst mal irrelevant.

Geht es aber z.B. um die Routen deiner FritzBox, ist die Metrik entscheident.

Nochmal die Tabelle:

FritzBox/Speedport
[table="align: left"]
[tr]
[td]Netzadresse[/td]
[td]Subnetzmaske[/td]
[td]Gateway[/td]
[/tr]
[tr]
[td]<VPN remote subnet>[/td]
[td]<netmask>[/td]
[td]<VPN remote peer>[/td]
[/tr]
[tr]
[td]192.168.10.0[/td]
[td]255.255.255.0[/td]
[td]192.168.10.2[/td]
[/tr]
[tr]
[td]0.0.0.0[/td]
[td]0.0.0.0[/td]
[td]<Gateway ISP>[/td]
[/tr]
[/table]

Ich habe bewusst die Routen in dieser Reihenfolge geschrieben aus folgendem Grund:
Wenn du ein Datenpaket von einem Client zu einem anderen auf der anderen Seite des VPN-Tunnels senden möchtest, wird ja u.a. die erste Route benötigt, um über den Tunnel zu gelangen. Deine FritzBox oder dein Speedport erhält nun vom Client besagtes Paket. Nun aber stehen zwei Möglichkeiten zur Auswahl, wie dein Router mit dem Paket umgehen könnte, da es zwei Routen gibt, die auf dieses Paket angewendet werden können. Entweder er nimmt die korrekte Route, welche über den VPN-Tunnel zeigt, da das Ziel innerhalb des in der Route definierten Subnetzes liegt oder dein Router wendet sich an seinen Default Gateway (letzte Route der Tabelle), welcher offensichtlich dein ISP ist, wo dein Paket aber nichts zu suchen hat.

Um letzteres zu vermeiden, muss z.B. die Route für die VPN-Verbindung mit einer niedrigeren Metrik definiert werden als der Default Gateway. Manche Router machen die Konfiguration der Routen bei der Konfiguration eines VPN-Tunnels automatisch. Das musst du prüfen.

Im Prinzip müsste deine Routing Tabelle dann in etwa so aussehen:

FritzBox/Speedport
[table="align: left"]
[tr]
[td]Netzadresse[/td]
[td]Subnetzmaske[/td]
[td]Gateway[/td]
[td]Metrik[/td]
[/tr]
[tr]
[td]<VPN remote subnet>[/td]
[td]<netmask>[/td]
[td]<VPN remote peer>[/td]
[td]10[/td]
[/tr]
[tr]
[td]192.168.10.0[/td]
[td]255.255.255.0[/td]
[td]192.168.10.2[/td]
[td]20[/td]
[/tr]
[tr]
[td]0.0.0.0[/td]
[td]0.0.0.0[/td]
[td]<Gateway ISP>[/td]
[td]30[/td]
[/tr]
[/table]

You do not have permission to view link please Anmelden or Registrieren
 
  • Thread Starter Thread Starter
  • #8
So, alles neu:

Nach einem Gespräch mit Netgear muss das folgend konfiguruert werden:

Fritzbox LAN-Port <->Netgear WAN Port | Netgear LAN Port<-> Switch LAN

Die DynDNS müssen im Router hinterlegt werden, nicht im Netgear. Dort muss ich die Route von oben hinterlegen und die VPN-Richtlinien entsprechend erstellen. Gateway für alle Geräte ist der Netgear. Richtig?
 
Das gleicht Typ A.

Richtig. DynDNS musst du auf deinem entsprechenden Router (SpeedPort/FritzBox) konfigurieren, da diese über die Internetverbindung verfügen und ihre öffentliche IP Adresse kennen.

Ansonsten sind die Routen wie in meinem Beispiel zu beachten. Dein(e) SpeedPort/FritzBox benötigt eine Route für das sich hinter dem NetGear befindenen Client-Netz. Dein NetGear benötigt eine Route, die in Richtung SpeedPort/Fritzbox zeigt für alles was sich nicht innerhalb seiner angeschlossenen Subnetze befindet. Wie du schon sagtest, vergibst du den Clients die entsprechende IP des Netgears als Default Gateway.
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben