Forum Ljud, bild och kommunikation Nätverk och uppkoppling Tråd

Site-to-site IPSec VPN med ett privat B-nät

1
Skriv svar
Permalänk
Medlem

Site-to-site IPSec VPN med ett privat B-nät

Hej,

Jag sitter här och försöker sätta upp en Site-to-Site IPSec-tunnel mellan två virtuella kontor som ska dela samma privata B-nät (172.16.0.0 /16) men får inte mer än kontakt mellan ändpunkterna.

Site A:
WAN: 192.168.0.111
LAN: 172.16.0.1

Site B
WAN: 192.168.0.112
LAN: 172.16.10.1

Ändpunkterna får som sagt kontakt med varandra och börjar autentisera, men i loggen ser jag följande:
No suitable connection for peer '172.16.10.1'

Nu vet jag inte om min hjärna börjar ge upp, men inte ska en site-to-site VPN misslyckas bara för att varje site kör på samma nät?

Visa signatur

{|XSX|PS3|PS4|}

Redigera
Citera flera Citera
Permalänk
Medlem

Vad är det för brandväggar? Vad har du för nätmask på lan?
Site A:
WAN: 192.168.0.111
LAN: 172.16.0.1/?

Site B
WAN: 192.168.0.112
LAN: 172.16.10.1/?

Visa signatur

Car pc (bygglogg) | Fishtank server (galleri) | HTPC (galleri)

Redigera
Citera flera Citera
Permalänk
Medlem

Sophos UTM 9 Essentials

Varje site sitter konfigurerad mot samma /16-nät - eller det är i alla fall vad jag vill ...

Visa signatur

{|XSX|PS3|PS4|}

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Wixner:

Sophos UTM 9 Essentials

Varje site sitter konfigurerad mot samma /16-nät - eller det är i alla fall vad jag vill ...

Gå till inlägget

Är ganska säker på ett det är omöjligt. Har du koll på subnetting? Hur många hosts har du på vardera lan? En /23 mask borde räcka och bli över i många fall.

Visa signatur

Car pc (bygglogg) | Fishtank server (galleri) | HTPC (galleri)

Redigera
Citera flera Citera
Permalänk
Medlem

Testade precis att byta från konfigurationen ovan till den nedan men får fortfarande
No suitable connection for peer '10.0.0.1'

Site A
WAN: 192.168.0.111
LAN: 172.16.0.1 /24

Site B
WAN: 192.168.0.112
LAN: 10.0.0.1 /8

Jag kommer inte att ha många hosts per site, men om allt går som det ska kommer jag att få en hel hög med siter istället...

Visa signatur

{|XSX|PS3|PS4|}

Redigera
Citera flera Citera
Permalänk
Medlem

Kan inte sophos brandvägg, men det brukar inte vara några problem om man följer instruktionerna från tillverkaren. Det som krånglar är när man ska få prylar från olika tillverkare att lira ihop.

Se så att krypteringar och handskakningar stämmer på båda sidorna. Sedan ska du även säga till A att på andra sidan tunneln mot peer 192.168.0.112 ska site B-lan finnas och tvärt om på B.

Med så få hosts kan du tex. köra så här på Lan utan problem och krånglig subnetting.
10.0.0.0/24
10.0.1.0/24
10.0.2.0/24
osv.

Senast redigerat
Visa signatur

Car pc (bygglogg) | Fishtank server (galleri) | HTPC (galleri)

Redigera
Citera flera Citera
Permalänk
Medlem

1) Som jocke92 skriver, du måste ha olika LAN subnät bakom resp IPSEC-gw. Har du samma, så hur skall routern förstå att den behöver bygga en tunnel?
2) Kör du i ngt labb - med GW kopplade direkt mot varandra? Med tanke på 192.168.0.x på WANet? En hel del routrar/FW blir ledsna om de inte har ngn def GW specad. Har du det?

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Tanis:

1) Som jocke92 skriver, du måste ha olika LAN subnät bakom resp IPSEC-gw. Har du samma, så hur skall routern förstå att den behöver bygga en tunnel?
2) Kör du i ngt labb - med GW kopplade direkt mot varandra? Med tanke på 192.168.0.x på WANet? En hel del routrar/FW blir ledsna om de inte har ngn def GW specad. Har du det?

Gå till inlägget

Jag har precis testat att köra på olika C-nät, men får samma fel ändå. Hela situationen körs virtuellt på mitt privata C-nät och tunneln går via min default-gateway på 192.168.0.1

Visa signatur

{|XSX|PS3|PS4|}

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Wixner:

Jag har precis testat att köra på olika C-nät, men får samma fel ändå. Hela situationen körs virtuellt på mitt privata C-nät och tunneln går via min default-gateway på 192.168.0.1

Gå till inlägget

Du har:

Citat:

Site A
WAN: 192.168.0.111
Site B
WAN: 192.168.0.112

med vardera sin GW pekande mot 192.168.0.1?

Det blir en litet skum setup då två router/FW aldrig förväntar sig sitta på samma WAN-subnät. Skulle kunna tänkta mig att de kanske gillar bättre om du pekar defGW mot varandra.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Tanis:

Du har:

med vardera sin GW pekande mot 192.168.0.1?

Det blir en litet skum setup då två router/FW aldrig förväntar sig sitta på samma WAN-subnät. Skulle kunna tänkta mig att de kanske gillar bättre om du pekar defGW mot varandra.

Gå till inlägget

Testade att peka GW mot varandra men det funkade inte heller. Kan ha missat nån annan inställning dock - var ganska grötig i går.

Men vi är överens att det inte går att sätta upp en site-to-site inom samma subnät?

Skickades från m.sweclockers.com

Visa signatur

{|XSX|PS3|PS4|}

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Wixner:

Testade att peka GW mot varandra men det funkade inte heller. Kan ha missat nån annan inställning dock - var ganska grötig i går.

Men vi är överens att det inte går att sätta upp en site-to-site inom samma subnät?

Skickades från m.sweclockers.com

Gå till inlägget

Inte under samma subnät.

Du får ha två nät, ex.

172.16.0.0/24
och 172.16.1.0/24
och få brandväggen att routa mellan dessa, och fatta att en av dem går över en tunnel. Jag kör själv så, fast med pfSense som router.

Visa signatur

Jag är en optimist; det är aldrig så dåligt så att det inte kan bli sämre.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Wixner:

Testade att peka GW mot varandra men det funkade inte heller. Kan ha missat nån annan inställning dock - var ganska grötig i går.

Men vi är överens att det inte går att sätta upp en site-to-site inom samma subnät?

Skickades från m.sweclockers.com

Gå till inlägget

Normalt bygger man tunnlar på Layer3 - då skall det vara separata subnät på resp sida av tunneln. Grundläggande routing-funktionalitet kväver detta.
Sen kan man även (under mycket spec omständigheter) bygga tunnel på L2 - men det är troligen inte dit du skall gå.

Regelverken vid L3-IPSEC är normalt "speglar" av varandra. Tex:
GW1: Subnät1 tunnlar till Subnät2. Remote-tunnelGW: GW2
GW2: Subnät2 tunnlar till Subnät1. Remote-tunnelGW: GW1
o sedan samma settings för ISAKMP, omförhandling, cipher, osv, osv.

Redigera
Citera flera Citera
Permalänk
Medlem

Tack för alla hjälpsamma tips, nu har jag löst problemet. Långt upp i loggarna fick jag en varning om dubbel-NAT och när jag åtgärdade detta så rullade tunneln i gång.

Visa signatur

{|XSX|PS3|PS4|}

Redigera
Citera flera Citera
1
Skriv svar
Senaste nyheterna
Hårdvara
Mjukvara
Övrigt
Nytt i forumet
Datorkomponenter
System
Ljud, bild och kommunikation
Spel och mjukvara