ZyWALL VPN - Problem mit Routing

CHL · 02.12.2004, 08:55

Eventuell kennt sich von Euch jemand besser aus als ich. Zumindest hab ich anscheinend irgendwo einen Denkfehler. Die Situation:

LAN 1: 192.168.1.0/24 (auf 192.168.1.1 steht eine ZyWALL 100)
LAN 2: 192.168.2.0/24 (auf 192.168.2.1 steht eine ZyWALL 2)

Beide LAN's haben über die ZyWALL eine Anbindung an das Internet. Nun hab ich einen VPN Tunnel gebaut und kann mich zwischen den LAN's unterhalten. Soweit so gut. Aber:

im LAN 1 gibts auf 192.168.1.2 einen Router, welcher als Gateway für ein LAN 3 192.168.3.0/24 dient. Wie komme ich nun von LAN 2 ins LAN 3? Wenn ich auf der ZyWALL2 eine statische Route in der Form:

192.168.3.0/24 GW 192.168.1.2

eintragen will, wird dieser Eintrag nicht zugelassen da die ZyWALL nur Gateways im eigenen LAN zuläßt...

Any Ideas?

LouCypher · 02.12.2004, 11:07

würd mit noch eine zywall fürs 3. lan besorgen, was du willst glaub ich kann die zywall afaik nicht, habs auch schon probiert.

Wenn dann müsstest du imho im lan2 (zywall2):
192.168.3.0/24 GW 192.168.1.1

und im lan 1 (zywall100):
192.168.3.0/24 GW 192.168.1.2

und im lan 3 (gw lan3):
192.168.2.0/24 GW 192.168.1.1

eingeben, was die zywall aber eben nicht erlaubt.

CHL · 02.12.2004, 12:54

so sehe ich das auch. das problem ist nur: auf LAN3 habe ich bzw. mein kunde keinnen zugriff. wir müssen den part so nehmen wie er ist. shit. ich meine aber zu glauben dass die ZyWALL10 solche routen akzeptiert - könnte das jemand bestätigen?

LouCypher · 02.12.2004, 15:04

ich hatte die selben probs mit einer zywall10

CHL · 02.12.2004, 19:14

spitze - wie kann ich mein Problem dann lösen? Hast Du Erfahrungen mit anderen Geräten?

LouCypher · 02.12.2004, 19:21

jeder router hat halt seine schwächen, würd zu allererst mal bei zyxel support nachfragen vielleicht gehts ja doch, wenn ja sag mir bitte wie. Die billigste lösung wär wahrscheinlich noch eine zywall im lan3 die ein vpn in die beiden anderen netze aufbaut.

Wennst topgeräte willst nimm dir eine fortigate die sollten spitze sein, und haben auch ein gutes p/l verhältnis, hab aber noch keine persönlichen erfahrungen damit. DA kannst dir anschauen was die so können.

hans friedmann · 02.12.2004, 19:31

Zitat:

Original geschrieben von LouCypher

Wennst topgeräte willst nimm dir eine fortigate die sollten spitze sein, und haben auch ein gutes p/l verhältnis, hab aber noch keine persönlichen erfahrungen damit. DA kannst dir anschauen was die so können.

hab auch schon von denen einiges positives gehört...

RedRaz · 19.12.2004, 22:21

Hello!

das geht, wenn man eine 2.vpn rule zwischen dem 1er und dem 2er netz anlegt, die aber im gegensatz zum "echten" vpn dieser beiden standorte für die IPs des zielnetzes des routers 192.168.1.2 (also für das subnetz 192.168.3.0) anzugeben ist.

also
am 2er netz zywall: lokal wie bisher remote das 3er netz
am 1er netz zywall_ lokal das 3er netz remote das 2er netz

zusatzlich ist an zywall im 1er netz noch eine stat. route nötig, 192.168.3.0 mit Gateway 192.168.1.2

habe das mit so einer konstellation mit zwei zywall 100 am laufen. geht ok!

LouCypher · 06.01.2005, 14:44

Hab jetzt auch eine lösung gefunden und zwar im zyxel knowledgebase:

Zitat:

Q: How can I have VPN routing between 14 branch offices?

A: Our solution for this is based on a well defined network topology.
if we can allocate all of the internal network like this,

Network A: 192.168.1.0/24
Network B: 192.168.2.0/24
......
Network E: 192.168.14.0/24

Then on ZyWALL-A we configure VPN like this,
MyIP=0.0.0.0
Secure Gateway= < IP of Central Office >
Local Network: 192.168.1.0/24
Remote Network: 192.168.0.0/16

On ZyWALL-B we configure VPN like this,
MyIP=0.0.0.0
Secure Gateway= < IP of Central Office >
Local Network: 192.168.2.0/24
Remote Network: 192.168.0.0/16
...etc...

On Central side, we need to have 14 corresponding VPN rules.

Since the addresses of the networks are continuous.
we can include them together in 192.168.0.0.
After saving the rules, we need to issue a CI command on each
of P652, "ipsec swSkipOverlapIp on"
So that local PC can access local P652, otherwise the local
management traffic would be tunneled into VPN. However the cost of
doing this would be reduced performance.

funzt einwandfrei.

CHL · 07.01.2005, 10:05

besten dank für eure tips - ich werd mich nächste woche mal hinsetzen und die möglichkeiten durchspielen!

02.12.2004, 08:55	#1
CHL Senior Member Registriert seit: 09.11.2002 Alter: 47 Beiträge: 108	ZyWALL VPN - Problem mit Routing Eventuell kennt sich von Euch jemand besser aus als ich. Zumindest hab ich anscheinend irgendwo einen Denkfehler. Die Situation: LAN 1: 192.168.1.0/24 (auf 192.168.1.1 steht eine ZyWALL 100) LAN 2: 192.168.2.0/24 (auf 192.168.2.1 steht eine ZyWALL 2) Beide LAN's haben über die ZyWALL eine Anbindung an das Internet. Nun hab ich einen VPN Tunnel gebaut und kann mich zwischen den LAN's unterhalten. Soweit so gut. Aber: im LAN 1 gibts auf 192.168.1.2 einen Router, welcher als Gateway für ein LAN 3 192.168.3.0/24 dient. Wie komme ich nun von LAN 2 ins LAN 3? Wenn ich auf der ZyWALL2 eine statische Route in der Form: 192.168.3.0/24 GW 192.168.1.2 eintragen will, wird dieser Eintrag nicht zugelassen da die ZyWALL nur Gateways im eigenen LAN zuläßt... Any Ideas?

02.12.2004, 11:07	#2
LouCypher der da unten wohnt Registriert seit: 15.07.2000 Alter: 52 Beiträge: 11.502	würd mit noch eine zywall fürs 3. lan besorgen, was du willst glaub ich kann die zywall afaik nicht, habs auch schon probiert. Wenn dann müsstest du imho im lan2 (zywall2): 192.168.3.0/24 GW 192.168.1.1 und im lan 1 (zywall100): 192.168.3.0/24 GW 192.168.1.2 und im lan 3 (gw lan3): 192.168.2.0/24 GW 192.168.1.1 eingeben, was die zywall aber eben nicht erlaubt. ____________________________________ Greetings LouCypher

02.12.2004, 15:04	#4
LouCypher der da unten wohnt Registriert seit: 15.07.2000 Alter: 52 Beiträge: 11.502	ich hatte die selben probs mit einer zywall10 ____________________________________ Greetings LouCypher

02.12.2004, 19:21	#6
LouCypher der da unten wohnt Registriert seit: 15.07.2000 Alter: 52 Beiträge: 11.502	jeder router hat halt seine schwächen, würd zu allererst mal bei zyxel support nachfragen vielleicht gehts ja doch, wenn ja sag mir bitte wie. Die billigste lösung wär wahrscheinlich noch eine zywall im lan3 die ein vpn in die beiden anderen netze aufbaut. Wennst topgeräte willst nimm dir eine fortigate die sollten spitze sein, und haben auch ein gutes p/l verhältnis, hab aber noch keine persönlichen erfahrungen damit. DA kannst dir anschauen was die so können. ____________________________________ Greetings LouCypher

19.12.2004, 22:21	#8
RedRaz Newbie Registriert seit: 19.12.2004 Beiträge: 1	VPN zu anderem Gateway Hello! das geht, wenn man eine 2.vpn rule zwischen dem 1er und dem 2er netz anlegt, die aber im gegensatz zum "echten" vpn dieser beiden standorte für die IPs des zielnetzes des routers 192.168.1.2 (also für das subnetz 192.168.3.0) anzugeben ist. also am 2er netz zywall: lokal wie bisher remote das 3er netz am 1er netz zywall_ lokal das 3er netz remote das 2er netz zusatzlich ist an zywall im 1er netz noch eine stat. route nötig, 192.168.3.0 mit Gateway 192.168.1.2 habe das mit so einer konstellation mit zwei zywall 100 am laufen. geht ok!

02.12.2004, 12:54	#3
CHL Senior Member Registriert seit: 09.11.2002 Alter: 47 Beiträge: 108	so sehe ich das auch. das problem ist nur: auf LAN3 habe ich bzw. mein kunde keinnen zugriff. wir müssen den part so nehmen wie er ist. shit. ich meine aber zu glauben dass die ZyWALL10 solche routen akzeptiert - könnte das jemand bestätigen?

02.12.2004, 19:14	#5
CHL Senior Member Registriert seit: 09.11.2002 Alter: 47 Beiträge: 108	spitze - wie kann ich mein Problem dann lösen? Hast Du Erfahrungen mit anderen Geräten?

07.01.2005, 10:05	#10
CHL Senior Member Registriert seit: 09.11.2002 Alter: 47 Beiträge: 108	besten dank für eure tips - ich werd mich nächste woche mal hinsetzen und die möglichkeiten durchspielen!

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)