Routering / NAT / Aufbau VPN-Tunnel

[Haarberggeist]

Ich nutze 3 Router von CISCO und versuche untereinander VPN-Tunnel aufzubauen.

Es gibt Router für:

- KundeA (Router 2801)
- KundeB (Router 2801)
- Firma (Router 2801)

Problemstellung ist das die beiden Kundenrouter zwar zum Internet eine andere IP haben allerdings im Firmennetz den selben IP-Adressbereich nutzen.

Somit hat
- KundeA 10.0.1.0 / 24 (Internet fiktiv 192.168.1.1 /24)
o Kundentest-PC 10.0.1.2 / 24
-----------------------------------------------------------------------------------------------------------------------
- KundeB 10.0.1.0 / 24 (Internet fiktiv 192.168.1.2 /24)
o Kundentest-PC 10.0.1.2 /24
-----------------------------------------------------------------------------------------------------------------------

- Firma 172.16.1.0 / 24 (Internet fiktiv 192.168.1.3 /24)
o Server 172.16.1.2 /24
-----------------------------------------------------------------------------------------------------------------------


Die Router sind programmiert und ein Ping von Firma zum „Kundennetz – KundeA“ ist ohne Probleme möglich.

Dabei wird ein Tunnel aufgebaut. Dies lässt sich auch ohne Probleme auslesen. (Das der Tunnel erfolgreich aufgebaut wird. Ebenso ist ein Transport der Daten durch den Tunnel zu beobachten)

Versucht man nun allerdings einen zweiten Tunnel zum Zielnetz KundeB aufzubauen schlägt dieses fehl. Der Schlüssel wird zwar noch ausgetauscht allerdings kommt die Verbindung nicht zu stande.

Kennt jemand eine Idee wie ich das ändern kann bzw. lösen? Leider ist es eine Vorgabe den Test mit gleichen Kundennetzen durchzuführen. Da es ja für den späteren Betrieb möglich ist.


Gruss

 

[Augen1337]

Ist das ne Stern- oder Ringtopologie?

Somit hat
- KundeA 10.0.1.0 / 24 (Internet fiktiv 192.168.1.1 /24)
o Kundentest-PC 10.0.1.2 / 24

Hier meinst du wohl:
o Kundentest-PC 10.0.1.1 / 24
oder?


Gib doch mal den Netzaufbau ganz genau wider.
Mit IP jedes Interfaces zu den jeweiligen Netzen.

 

[Sumatrabarbe]

Warum machst du es dir so schwer? Einen der beiden Kundenstandorte einfach nen anderes Netz geben und du hast die Probleme nicht mehr.
Wenn es allerdings so bleiben soll, musst du hier source-NAT einsetzen... und dazu sage ich nur viel Spaß beim konfigurieren, gerade bei Cisco...

Für dein Beispiel:

KundeA (10.0.1.0 /24) int0/0 | NAT | int0/1 192.168.1.1/24 (extern) ------------------ int0/1 192.168.2.1/24 (extern) | NAT | int0/0 (10.0.1.0 /24) Kunde B

Source-Adressen von KundeA werden nach 192.168.1.x übersetzt, die Source-Adressen von KundeB werden nach 192.168.2.x übersetzt.

Das dann der grobe aufbau...

 

[CHaos.Gentle]

Ist das ne Stern- oder Ringtopologie?

Ja nee is klar, deswegen schreibt er ja untereinander -.-
Man könnte sich natürlich denken, die machen etwas ziemlich weltfremdes und bauen ein eigenes nicht auf öffentlichen Netzen beruhendes Netz zwischen Kunden und Firma auf -.-

Hier meinst du wohl:
o Kundentest-PC 10.0.1.1 / 24
oder?

Nein meint er wohl nicht, sonst hätte er es wohl nicht 3 Mal geschrieben... Die Router haben mit Sicherheit die .1

Warum machst du es dir so schwer? Einen der beiden Kundenstandorte einfach nen anderes Netz geben und du hast die Probleme nicht mehr.

Weil es Teil der Aufgabe ist, wie er schrieb. Vielleicht einfach mal den ganzen Post lesen.

Sollen die VPNs tatsächlich vom Firmennetz gestartet werden? Sinnvoller wäre es andersherum.
NAT hast du ja schon eingerichtet, sonst könnten die beiden ja gar nicht kommunizieren.
Hast du den Tunnelaufbau an allen drei Routern geprüft? Auch mal einzelnd? Also kannst du von Firma zu KundeB das VPN aufbauen, wenn kein VPN zu A besteht?

Ich würde es alles erstmal einzelnd testen und dann Fehlersuche betreiben. Möglicherweise nur ein Tippfehler beim Passwort o.ä.

 

[engine]

Ich nutze 3 Router von CISCO und versuche untereinander VPN-Tunnel aufzubauen.

Somit hat
- KundeA 10.0.1.0 / 24 (Internet fiktiv 192.168.1.1 /24)
...

Wie? das sind alles private Adressen auch wenn fiktiv.

Versucht man nun allerdings einen zweiten Tunnel zum Zielnetz KundeB aufzubauen schlägt dieses fehl. Der Schlüssel wird zwar noch ausgetauscht allerdings kommt die Verbindung nicht zu stande.

Von einen Rechner aus? Versuche es von einem anderen aus. Jeweils für die Kunden ein PC.

Kennt jemand eine Idee wie ich das ändern kann bzw. lösen? Leider ist es eine Vorgabe den Test mit gleichen Kundennetzen durchzuführen. Da es ja für den späteren Betrieb möglich ist.

Gruss

Ich beschäftige mich auch damit und habe das gefunden:

"Angreifbarkeit/ Split Tunnel
Wenn es bei der Installation der Client-Software nicht explizit gewünscht/ konfiguriert wird (das sog. Split Tunneling erlaubt wird), ist ein Rechner nach dem Aufbau des IPsec Tunnels vom Internet aus nicht mehr sichtbar. Man spricht dann auch von einem gehärteten Protokoll-Stack."
aus http://www.tcp-ip-info.de/tcp_ip_und_internet/vpn.htm

Ich verstehe das so, das wenn ein IPsec Tunnel aufgebaut ist, kein weiterer mehr geht, außer man sieht es bei der Client-Software vor.

 

[Sumatrabarbe]

Stell hier mal die Config von den 3 Cisco's rein, aber bitte die Passwörter und PSK's löschen ;-)

 

[Haarberggeist]

Die prüfung nach machbarkeit soll mit gleich IP's im Kundennetz durchgeführt werden.

Erst wenn das sicher nicht möglich ist dann wird geprüft ob man an einem die IP's ändern kann.

Konfigs besorge ich im Laufe des Tages.


Wegen dem Tunnelaufbau kann ich sicherlich nochmal prüfen vom Kundennetz.

Danke soweit schonmal


EDIT: Was könnt ihr mir über MPLS-VPN sagen ???

Danke²