C1841 VPN Routingproblem?

[mwoelky]

Hallo!
Wir haben ein Problem mit unserem Cisco VPN Routing. Der Tunnel verbindet die Remote Offices (dynamischen IPs)
mit dem Mail Office (statische IP) und IPSec VPN. Die Internet Verbindung
wird in den Remote Offices mittels NAT etabliert, Der Provider ist die Telekom (T-DSL).
Der Tunnel ist hoch und läuft: Wir können via VPN die Remote Router und die direkt verbunden Geräte,
jedoch können wir nicht - und das ist unser Problem - die Hosts hinter dem Remote Routern pingen. Routing Problem?

Unsere Umgebung: VPN and Internet Verbindung mittels Cisco 1841 and die Switche sind meist cisco 3550

Vielen Dank für eure hilfe!
Malte Woelky


P.S.: configs als Anhang

[Wordo]

Ohne die Konfiguration zu sehen frag ich mal ob die Hosts dahinter in einem anderen VLAN sind?

[Wurstbläser]

zwei kleine Nachfrage -
1) Was sind "direkt verbundene Geräte"?
2) Ich sehe die öffentliche IP nicht auf Deinem Mailoffice -> die x.y.127.106 ?? wo ist die?
Welche IP-Subnetze müssen im Mailoffice erreichbar sein? Nur die 172.16.18.128 /28?
Sie grob nach einer fehlenden Rückroute im Remote-Office aus - versuchs doch mal mit dem extended Ping im Remot-Office indem du das source interface änderst.

Auf deinem Router im Remote-Office weißt eine Route auf den Next Hop
"ip route 172.16.29.0 255.255.255.0 172.16.29.128"
Wie findet dieser Router diesen Hop??

Der Ort deiner 172.x.x.x Netze ist mir etwas rätselhaft ..

Gruss
Robert

[mwoelky]

Zitat von Wordo Ohne die Konfiguration zu sehen frag ich mal ob die Hosts dahinter in einem anderen VLAN sind?

Ja, sind die und "ip routing" ist auf dem Cisco 3550 aktiviert

[mwoelky]

Zitat von Wurstbläser zwei kleine Nachfrage - 1) Was sind "direkt verbundene Geräte"?

Geräte/Segmente die "directly connected" bei sh ip router angezeigt werden, also ohne
Gateway direkt erreichbar sind (Routing einträge werden auch als Interfacerouten bezeichnet)

Zitat von Wurstbläser 2) Ich sehe die öffentliche IP nicht auf Deinem Mailoffice -> die x.y.127.106 ?? wo ist die?

das main-vpn-gw ist in der DMZ der Firewall, die per portforwarding von der externen ip an die dmz ip des main-vpn-gw weiterletet, der tunnel steht ja auch.

das main-vpn-gw hat quasi nur ein Bein nach außen, nämlich in die DMZ 172.16.28.128/28 und kommt über die fw in Main-office LAN 172.16.29.0/24

Zitat von Wurstbläser Welche IP-Subnetze müssen im Mailoffice erreichbar sein? Nur die 172.16.18.128 /28? Sie grob nach einer fehlenden Rückroute im Remote-Office aus - versuchs doch mal mit dem extended Ping im Remot-Office indem du das source interface änderst.

vom Main-office (172.16.29.0/24 LAN,172.16.28.128/28 DMZ) sollen die 10.x.x.x. der Remote-Offices erreichbar sein.

Zitat von Wurstbläser Auf deinem Router im Remote-Office weißt eine Route auf den Next Hop "ip route 172.16.29.0 255.255.255.0 172.16.29.128" Wie findet dieser Router diesen Hop??

Diese Route war/ist überflüssig: hatte die nur zum Testen (einfach alles mal ausprobieren) eingefügt, mit und ohne
diese Route klappte es nicht, die IP 172.16.29.128 war noch aus dem experimental-aufbau
und ist jetzt die 172.16.28.130. Hatte damals aber auch nicht damit funktioniert.

Also denk dir das "ip route 172.16.29.0 255.255.255.0 172.16.29.128" einfach weg.

Zitat von Wurstbläser Der Ort deiner 172.x.x.x Netze ist mir etwas rätselhaft .. Gruss Robert

Ja, die 172.x.x.x-Netze sind alle im Main-Offie, die 10.x.x.x-Netze sind im Remote-Office

Danke

Malte