Jump to content

Über zwei VPNs hinweg Routen, die zweite


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

nun haben wir einen komplett neuen VPN Zugang auf unserem Server bekommen, so dass sich die Grundvoraussetzungen geändert haben. Daher noch mal dieser Thread:

 

Folgende Situation:

 

Server:

1 Netzwerkkarte ist gebridged mit tun0

Die Bridge hat die IP 192.168.3.99

 

Auf dem Server ist zusätzlich noch eine virtuelle Netzwerkkarte des VPN Tunnels der Firma Fortinet. Dieser bekommt bei Aufbau des Tunnels die IP 172.16.55.11

 

Wenn der Tunnel aufgebaut ist, kann ich vom Server auf sämtliche PCs im Arbeitsnetzwerk zugreifen. (141.42.44.*)

 

Nun sitze ich zu Hause an meinem PC, der ganz normal über DSL angebunden ist. Von diesem kann ich eine OpenVPN Vebrindung zum Server aufbauen. Dann bekommt die virtuelle tun0 Netzwerkkarte auf meinem HeimPC die 192.168.3.100

Ich kann den Server mit der 192.168.3.99 anpingen und auch komplett erreichen. Der Server kann auch meinen HeimPC erreichen.

Nur möchte ich nun gerne über das bestehende OpenVPN auch über den Server und dort über den Fortinet VPN Zugang auf meinen DienstPC. (141.42.44.*)

 

Daran scheitert es offensichtlich.

Ich habe bereits auf meinem Heim PC eine Route in der Form von:

"route add 141.42.44.0 mask 255.255.255.0 192.168.3.99)"

angelegt. Ein Trace auf die IP 141.42.44.13 von meinem Heim PC kann ich bis zu 192.168.3.99 verfolgen. Danach bricht er aber ab.

Also leitet der Server die auf dem OpenVPN ankommenden Pakete nicht über den Fortinet VPN weiter.

 

Bevor ich ganz aufgebe, wollte ich noch einmal anfragen, ob ich eventuell etwas übersehen habe oder ob dies tatsächlich gänzlich unmögich ist.

Prinzipiell müsste der Server die über OpenVPN eingehenden Pakete ja "nur" als seine eigenen ausgeben und schon müsste es laufen.

Und bevor Fragen aufkommen: Ich habe die Erlaubniss unserer DV für diese "Tests" ;)

 

SpecialK

Link zu diesem Kommentar

Prinzipiell müsste der Server die über OpenVPN eingehenden Pakete ja "nur" als seine eigenen ausgeben und schon müsste es laufen.

 

Damit das passiert muss die Verbindung genattet sein (NAT). und zwar auf deinem Server. ich habe zwar schon von solchen Konstrukten gehört in denen zweimal genattet wird, kann mir aber nicht vorstellen, daß das mit VPN funkrioniert. Die entfernte Firewall muss das als Spoofing werten und die Pakete verwerfen.

 

Gehen die Pakete denn überhaupt über den Server hinaus (versucht er es denn)?

 

poste mal den route print des Servers.

Link zu diesem Kommentar
ich habe zwar schon von solchen Konstrukten gehört in denen zweimal genattet wird, kann mir aber nicht vorstellen, daß das mit VPN funkrioniert. Die entfernte Firewall muss das als Spoofing werten und die Pakete verwerfen.

Grundsätzlich funktioniert das, mit dem Spoofing hast Du natürlich recht. Im Falle einer Watchguard als innerner VPN-Appliance muss das konfiguriert werden, sonst werden die Pakete der äusseren Firewall verworfen ...

Link zu diesem Kommentar

Moin,

 

ob er der Server es versucht, vermag ich nicht genau zu sagen, da ich bisher noch nicht raus bekommen habe, wie ich das kontrollieren kann.

Hier einmal der Route print Auszug vom Server:

===========================================================================
Schnittstellenliste
0x1 ........................... MS TCP Loopback interface
0x2 ...02 ff 04 af b9 90 ...... MAC-Brückenminiport - Paketplaner-Miniport
0x3 ...00 09 0f fe 00 01 ...... Fortinet virtual adapter - Paketplaner-Miniport
===========================================================================
===========================================================================
Aktive Routen:
    Netzwerkziel    Netzwerkmaske          Gateway   Schnittstelle  Anzahl
         0.0.0.0          0.0.0.0      192.168.3.1    192.168.3.99	  30
        10.0.0.0        255.0.0.0     172.16.55.12    172.16.55.11	  1
       127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1	  1
      141.42.0.0      255.255.0.0     172.16.55.12    172.16.55.11	  1
  141.42.213.251  255.255.255.255      192.168.3.1    192.168.3.99	  1
   172.16.55.11  255.255.255.255        127.0.0.1       127.0.0.1	  20
  172.22.255.255  255.255.255.255     172.16.55.11    172.16.55.11	  20
     192.168.3.0    255.255.255.0     192.168.3.99    192.168.3.99	  30
    192.168.3.99  255.255.255.255        127.0.0.1       127.0.0.1	  30
   192.168.3.255  255.255.255.255     192.168.3.99    192.168.3.99	  30
       224.0.0.0        240.0.0.0     172.16.55.11    172.16.55.11	  20
       224.0.0.0        240.0.0.0     192.168.3.99    192.168.3.99	  30
 255.255.255.255  255.255.255.255     172.16.55.11    172.16.55.11	  1
 255.255.255.255  255.255.255.255     192.168.3.99    192.168.3.99	  1
Standardgateway:       192.168.3.1
===========================================================================
St„ndige Routen:
 Keine

 

SpecialK

Link zu diesem Kommentar

Also, der Fortinet VPN ist dazu da, um von der 192.168.0.99 in den 141.42.X.X Bereich zu kommen. Dazu benutzt der Fortinet VPN für seine virtuelle Netzwerkkarte die 172.16.55.11

In der Konfiguration des VPN Clients ist für diese VPN Verbindung ein Gateway angegeben. Dieses ist die besagte 141.42.213.251.

Dies alles gehört zum Fortinet VPN.

 

SpecialK

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...