VPN von Router A über Router B zu Router C nach Netzwerk C

Diskutiere VPN von Router A über Router B zu Router C nach Netzwerk C im Netzwerke Forum Forum im Bereich Hardware & Software Forum; Der Beitrag "Ecki’s Place Tunnels are cheap" ist mir bekannt, versuche diesen umzusetzen (mittels eroute). Folgende Konstellation: Ich sitze an...
  • VPN von Router A über Router B zu Router C nach Netzwerk C Beitrag #1
Kalle-Klump

Kalle-Klump

Verdienter Ex-Admin
Dabei seit
21.05.2001
Beiträge
26.069
Reaktionspunkte
17
Der Beitrag "Ecki’s Place Tunnels are cheap" ist mir bekannt, versuche diesen umzusetzen (mittels eroute). Folgende Konstellation:



Ich sitze an Client A und will auf einem Client in Netzwerk C zugreifen. Zwischen Firewall A und B gibt es einen IPsec Tunnel. Clients vom Netzwerk B können auf Ressourcen von Netzwerk C zugreifen. Der Zugriff von B nach C funktioniert nur wenn Firewall B die Daten masqiert (iptables -t nat -A CUSTOMPOSTROUTING -o eth2 -d 169.25.0.125 -j MASQUERADE und ich in der Oberfläche der Firewall B in DMZ-Schlupflöcher [GREEN/RED/ORANGE] die jeweiligen Ports freigebe). Die Kommunikation von B nach C funzt einwandfrei. Mein begehr ist von Netzwerk A auch auf Netzwerk C zuzugreifen (identische Ports, die von Netzwerk B erreichbar sind). Ich hab dazu auf Client A eine Default Route für Netzwerk C mit Ziel Router A gesetzt. Auf Firewall A setzte ich eine eroute (ipsec eroute --add --eraf inet --src 192.168.0.0/24 --dst 169.25.0.0/24 --af inet --edst 196.29.29.29 --spi 0x135 --proto tun ).

PING ist auf Firewall C nicht freigegeben, Tests sind deswegen schon eingeschränkt. Traceroute auf Firewall A gibt Anfragen auf Netzwerk C zur roten Schnittstelle, nächster Hop ist das Default Gateway zum roten Interface von Firewall A. Danach kommen noch ein paar öffentliche Router, aber nicht wirklich das was ich will. Wo ist mein Denkfehler?!?!
 
  • VPN von Router A über Router B zu Router C nach Netzwerk C Beitrag #2
cmddegi

cmddegi

Bekanntes Mitglied
Dabei seit
12.07.2001
Beiträge
4.740
Reaktionspunkte
0
Ort
Austria
Hab zwar nicht viel Ahnung von Linux, aber mich in das Thema aus Interesse ein Wenig eingelesen; dabei ist mir was aufgefallen.
Der iptables-Befehl kennt eine nat-Chain
manpage schrieb:
OUTPUT (for altering locally-generated packets before routing)
. Man könnte vermuten, dass die POSTROUTING-Chain nur eingehende Pakete nat'et (cooles Wort ;) ), aber keine vom Tunnel (weil die viell. als lokal generiert angesehen werden.) Wie gesagt, hab damit keine Erfahrung, aber viell. ist es ja ein Ansatz.
Dafür würde die Sache mit dem Default-Gateway sprechen; wenn ich das richtig verstanden habe, greift die Route für die getunnelten Pakete nicht, wodurch die die Default-Route nehmen.

Machst du das Masquerading und die DMZ-Schlupflöcher beide auf Firewall B, oder ist das ein Tippfehler?
 
  • VPN von Router A über Router B zu Router C nach Netzwerk C Beitrag #3
Kalle-Klump

Kalle-Klump

Verdienter Ex-Admin
Dabei seit
21.05.2001
Beiträge
26.069
Reaktionspunkte
17
Masqueradingläuft auf Firewall B, ebenso die Einträge DMZ Schlupföcher. Bei A ist es nicht nötig (C ist eine fremde Firewall, A und B hingegen unter meiner Administration und Hoheit).
 
  • VPN von Router A über Router B zu Router C nach Netzwerk C Beitrag #4
Kalle-Klump

Kalle-Klump

Verdienter Ex-Admin
Dabei seit
21.05.2001
Beiträge
26.069
Reaktionspunkte
17
Tja, ich hätte beim "Supernetz" von Eckis Lösungsansatz mal weiterlesen sollen. Ich hab jetzt zwei Tunnels (der zweite mit den Parameter für Netzwerk C) aufgebaut, womit die Sache nun lüppt. Ach, die Welt ist manchmal einfacher als gedacht. :rolleyes:
 
Thema:

VPN von Router A über Router B zu Router C nach Netzwerk C

ANGEBOTE & SPONSOREN

https://www.mofapower.de/

Statistik des Forums

Themen
213.177
Beiträge
1.579.167
Mitglieder
55.871
Neuestes Mitglied
Mein-Helmut
Oben