IPsec Endian to Endian? Traceroute ja, alles andere nein

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • IPsec Endian to Endian? Traceroute ja, alles andere nein

    Hallo,

    ich stecke gedanklich gerade fest.

    Ich habe 2 Endian 2.5.1, welche untereinander einen IPsec-Tunnel aufbauen. Dieser wird als offen gekennzeichnet. Vorgegangen wurde wie im entsprechenden Endian-to-Endian Tutorial beschrieben. Aber ich kann keine Rechner in den jweiligen Netzen erreichen (Netz A 192.168.81, Netz B 192.168.85).

    Ausnahme, ein traceroute aus dem Netz A zeigt mir den Weg zum entsprechenden PC in B. Ein nicht vorhandener PC wird als "Zielhost nicht erreichbar" ausgegeben. Aus Netz B nach A funktioniert das genauso.
    Das ist aber auch schon alles was geht. Kein Ping auf die jeweiligen Gateways oder Rechner (Zeitüberschreitung) oder irgendeinen anderen Dienst.

    In der Firewall für den VPN-Datenverkehr habe ich jeweils von Grün in das andere Netz alles erlaubt. Deaktivier ich diese Regel, dann funktioniert das Traceroute auch nicht mehr.

    Die Firewall-Protokolle zeigen mir Einträge mit VPNFW:ALLOW und keine entsprechenden DROPs.

    Ich vermute eine Kleinigkeit die ich übersehen habe, aber welche?

    PS: Auf der ersten Firewall läuft bereits ein weiterer IPsec-Tunnel. Hier hat die Regel im VPN-Datenverkehr ausgereicht.

    Grüße
    Karsten
  • Re: IPsec Endian to Endian? Traceroute ja, alles andere nein

    Ich habe die zweite Endian neu aufgesetzt und mit dieser unkonfigurierten den Tunnel eingerichtet. Ergebnis wie zuvor. Der Tunnel ist sofort wieder "offen". Aber es gehen keine Daten rüber :nerv: Auf der ersten habe ich alle Firewalls (VPN, ausgehende Daten deaktiviert). Keine Wirkung.

    Kann bitte mal jemand berichtet, wie er seine IPsec Net-to-Net eingerichtet hat. Danke.
  • Re: IPsec Endian to Endian? Traceroute ja, alles andere nein

    Auf der Seite elektronik-kompendium.de/sites/net/0906191.htm habe ich eine Beschreibung zu IPsec gefunden. Interessant ist der Aspekt mit der NAT-Thematik.

    Wenn ich mir meine Konstellation anschaue

    LAN A --> Endian A <------Internet -------> Endian B <-- LAN B

    Dann habe ich zwei lokale Netzwerke mit privaten IPs und zwei Firewall nach Rot mit öffentlichen IPs, es wird also geNatet. Aber wie bringt man das der Endian bei?
  • Re: IPsec Endian to Endian? Traceroute ja, alles andere nein

    "Karsten" schrieb:

    Hallo,

    hat denn niemand Ipsec auf der Endian am Laufen?

    Müssen noch irgendwelche Firewall-Regel oder Routen angelegt werden, damit irgendein Datenfluss zustande kommt?

    Gruß
    Karsten


    Also ich habe drei permanente VPN-Tunnel über IPSec und noch OpenVPN-Zugänge für Homeuser am Laufen. Das funktioniert alles out-of-the-box , ohne zusätzliche Regeln. Auch mit Nicht-Endian-Routern.

    Gruß
    Joachim
  • Re: IPsec Endian to Endian? Traceroute ja, alles andere nein

    "Meisen" schrieb:

    Also ich habe drei permanente VPN-Tunnel über IPSec und noch OpenVPN-Zugänge für Homeuser am Laufen. Das funktioniert alles out-of-the-box , ohne zusätzliche Regeln. Auch mit Nicht-Endian-Routern.


    Hallo Joachim,

    ich bin eigentlich auch davon ausgegangen das so etwas unproblematisch funktionieren sollte. Aber irgendwie mag die Endian nicht.

    Gruß
    Karsten
  • Re: IPsec Endian to Endian? Traceroute ja, alles andere nein

    "Meisen" schrieb:

    Ohne eine konkreten Hinweis, woran es scheitert, z.B. in Form von Log-Auszügen, ist es schwierig, Dir zu helfen.


    Da fangen sie an die Probleme. Die Logs über die Web-Oberfläche weisen keine Probleme auf, anhand deren man sich da ran hangeln könnte. Aber vielleicht bin ich betriebsblind.
    Welche Logs wären denn interessant?