Securepoint Support Forum

Securepoint Security Solutions Support Forum
https://support.securepoint.de/

Problem mit Routen bei 2x WAN und VPN

https://support.securepoint.de/viewtopic.php?t=11450

Seite 1 von 1

Problem mit Routen bei 2x WAN und VPN

Verfasst: Sa 10.02.2024, 01:46
von pl85
Guten Abend,

ich stehe gerade mächtig auf dem Schlauch und komme nicht weiter.

Szenario site2site SSLVPN (SSLVPN Server - 12.6.0.1, SSLVPN Client - 12.5.5)

Auf der Server-UTM gibt es ein VLAN 54, in dem gibts 2 Hosts.

Für beide Hosts gibt es eine Route in der UTM über jeweils einen anderen wan-Anschluss:

Code: Alles auswählen

id|src            |dst            |router|device|via_device|device_state|weight|flags
--+----------------+---------------+------+------+----------+------------+------+-----
4 |10.10.54.244/32 |0.0.0.0/0      |wan1  |      |wan1      |UP          |0    |    
5 |10.10.54.245/32 |0.0.0.0/0      |wan0  |      |wan0      |UP          |0    |   

Das VPN-Client-Netz ist 192.168.29.0/24

Mache ich nun einen traceroute von einen der beiden 54er Host in das VPN-Client-Netz, landet die
Anfrage immer beim zugewiesenen Router des jeweiligen wan-Anschlusses:

von 10.10.54.245 aus:

Code: Alles auswählen

traceroute to 192.168.29.71 (192.168.29.71), 30 hops max, 60 byte packets
 1  gateway (10.10.54.254)  2.654 ms  2.844 ms  2.788 ms
 2  62.156.yyy.xx (62.156.yyy.xx)  18.297 ms  18.287 ms  18.251 ms
 3  * * *

von 10.10.54.244 aus:

Code: Alles auswählen

tracert 192.168.29.71

Routenverfolgung zu 192.168.29.71 über maximal 30 Hops

  1    2 ms    2 ms    2 ms  10.10.54.254
  2    21 ms    22 ms    21 ms  62.156.qqq.r
  3    *        *        *    Zeitüberschreitung der Anforderung.
  4

Ändere ich die IP von .244 auf .243 und die default-Route greift, funktioniert es und der 2te Hop ist der Tunnel


Ich verstehe das Verhalten nicht? Wie kommt das zustande? Wo ist mein Fehler? Wie kann ich das beheben?


Ich habe mir jetzt erst mal mit 2 weiteren Routen beholfen:

Code: Alles auswählen

id|src            |dst            |router|device|via_device|device_state|weight|flags
--+----------------+---------------+------+------+----------+------------+------+-----
4 |10.10.54.244/32 |0.0.0.0/0      |wan1  |      |wan1      |UP          |0    |    
10|10.10.54.244/32 |192.168.29.0/24|tun4  |      |tun4      |UP          |0    |    
5 |10.10.54.245/32 |0.0.0.0/0      |wan0  |      |wan0      |UP          |0    |    
11|10.10.54.245/32 |192.168.29.0/24|tun4  |      |tun4      |UP          |0    |   


Besten Dank & Gruß

Re: Problem mit Routen bei 2x WAN und VPN

Verfasst: Sa 10.02.2024, 22:51
von kennethj
Moin,

die Ursache haben Sie quasi schon selber entdeckt und auch gelöst.
Die Source Routen für die Server haben dafür gesorgt, dass sämtlicher Datenverkehr über wanX gesendet wird.

Das Ziel ist ja schließlich 0.0.0.0/0.
Die Lösung ist weitere Source Routen hinzuzufügen für das VPN Netz (wie bereits von Ihnen getan)

Gruß
Kenneth

Re: Problem mit Routen bei 2x WAN und VPN

Verfasst: Mo 12.02.2024, 09:49
von pl85
Ok, vielen Dank, wenn das Verhalten so zu erwarten ist, dann passts ja :D
Ich dachte der Weg in das 192.168.29er VPN-Netz wird durch die Route, die beim Tunnelaufbau angelegt wird, abgedeckt.

Re: Problem mit Routen bei 2x WAN und VPN

Verfasst: Mo 12.02.2024, 20:58
von kennethj
Moin,

die angelegte Route durch den VPN Tunnel wird durch die Sourceroute "geschlagen".

Das Routing arbeitet eine gewisse Reihenfolge ab
Rule Routing -> Source Routing -> Gateway Route (also eine "normale" Route) -> Default Route

Und wie immer gilt auch da: First Match wins

Gruß

Re: Problem mit Routen bei 2x WAN und VPN

Verfasst: Di 13.02.2024, 14:21
von pl85
Ah, alles klar, vielen Dank!
Alle Zeiten sind UTC+02:00
Seite 1 von 1

Powered by phpBB® Forum Software © phpBB Limited

Deutsche Übersetzung durch phpBB.de