Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 38 subscribers
  • Views 1799 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Routing Problem im VPN

deringo
Hallo!

Das Thema wurde schonmal behandelt aber ich komme mit dem Routing irgendwie nicht zurecht.

Auf einer ASG 220 (192.168.10.0/24) laufen 3 VPN auf

VPN A 192.168.0.0/24
VPN B 192.168.3.0/24
VPN C 192.168.20.0/24
alle 3 jeweils AG120 (Firmware 7.104)

Die VPN´s laufen auch alle prima. Die Tunnel sind sternförmig immer zur ASG220 in das 192.168.10.0 Netz aufgebaut.
Nun möchte ich aus dem 192.168.3.0 Netz auf das 192.168.20.0 Netz zugreifen.
Habe hier die den Thread im Forum zu dieser Problematik gelesen.
Ich bin mir bei den statischen Routen nicht ganz sicher.
Wie muss ich die Routen eintragen?
Muss ich SNAT nutzen? Was trage ich ein?
Muss ich im Packet Filter noch etwas freischalten?

Bin für jeden Tip dankbar.

Gruss
Ingo


This thread was automatically locked due to age.
  • 0
    Auf den ASG120er einfach unter dem Punkt "Remote Networks" des jeweiligen /Site-to-Site VPN/IPSEC/Remote Gateways/ , wenn ich mich jetzt nicht ganz irre..
  • 0 in reply to ClausP
    Ich habe auf der 192.168.3.1 das Netz 192.168.20.0.
    Im Site2Site VPN Monitor erscheint dann diese Meldung:

    SA: 192.168.3.0/24=***.***.***.***  ***.***.***.***=192.168.20.0/24 
     
    VPN ID: ***.***.***.*** 
     
    Error: No connection 
     
    Die verbindung in das 192.168.10.0 Netz, die ja direkt miteinander verbunden sind, steht aber.
    Muss ich den da noch eine statische Route eintragen? Oder merkt die Astaro das von alleine?
    Ist es eine Interface oder Gateway Route?
    Muss ich auf der ASG220 192.168.10.1 auch Routen eintragen?
  • 0 in reply to deringo
    Sind die Netze (Local Networks) auf der ASG220 für die VPN Connections zu den 120er eingetragen ?
  • 0 in reply to ClausP
    So, hab´s geschafft. Danke für die Tipps.

    Hier mal ein kleines Howto:

    Voraussetzung VPN ist sternförmig aufgebaut.

    VPN A 192.168.0.0/24
    VPN B 192.168.3.0/24
    VPN C 192.168.20.0/24

    laufen alle auf 192.168.10.0/24


    In der "zentralen" Astaro (192.168.10.1) in den jeweiligen IPSEC Connections unter Local Networks die Netze hinzufügen.
    Dann auf die entfernten Astaros in den Remote Gateways die entsprechenden Netze gegenseitig in den Ausstensellen eintragen.
    Dann sollten unter dem Site-to-Site VPN die Verbindungen grün auftauchen.

    Nur ein Frage habe ich noch:
    Wenn ich einen tracert aus dem 192.168.20.0 Netz auf das 192.168.3.0 mache, erscheint als erstes die Astaro 192.168.20.1 danach 3 Sterne und dann direkt die Astaro 192.168.3.1. Die 192.168.10.1 erscheint erst gar nicht.
    Ist das richtig so?

    Gruss
  • 0 in reply to deringo
    Vielleicht eine dumme Frage, aber auf der zentralen Astaro ist unter dem Reiter ICMP "Firewall is Traceroute visible" angeklickt ?

    Ansonsten einfach mal ins Livelog der ASG220 schaun, denn dort müssten ansonsten Drops zu sehen sein.
Unfiltered HTML