Routing Problem Win 10 über VPN

[Baustelle]

Ich habe ein kleines Routing Problem mit Windows 10 über VPN:

Standort A
IP: 192.168.1.0/24
Gateway 192.168.1.1
2. Router 192.168.1.5 Route für Netzwerk 90.250.250.0/24

Standort B
IP: 192.168.2.0/24
Gateway 192.168.2.1

Standort B ist über VPN mit dem Standort A verbunden, der Zugriff auf die Server am Standort A funktioniert ohne Probleme.

Am Standort A habe ich auf allen PCs ein statische Route für das Netz 90.250.250.0/24 gesetzt.

route ADD 90.250.250.0 MASK 255.255.255.0  192.168.1.5 METRIC 1 -p

Das funktioniert am Standort A super.

Das gleiche habe ich jetzt auch auf den PCs am Standort B gemacht. Hier funktioniert es nicht. Ein tracert ergibt, dass alle Paket über das Default-Gateway des Standort B statt über VPN nach 192.168.1.5 geschickt werden.

Wie kann ich erreichen das am Standort B für den IP-Bereich 90.250.250.0/24 der Router 192.168.1.5 benutzt wird.

[rantwolf]

Also so richtig kann das nicht funzen.
90... is doch kein privates Netz.

Wenn beide Standorte über nen VPN-Tunnel verbunden sind, haben die automatisch ne Route drin.
Da brauchste den Clients nix mehr mitteilen.
Bei mir is das jedenfalls so.

[Baustelle]

Ja das stimmt, dass 90er Netz ist kein Privates Netz. Trotzdem muss ich es auch über den Tunnel erreichen. Ich verstehe nicht ganz warum Windows die statisch gesetzte Route auf das Gateway 192.168.1.5 ignoriert und stattdesses aufs Default-Gateway wechselt.

[JeGr]

> Am Standort A habe ich auf allen PCs ein statische Route für das Netz 90.250.250.0/24 gesetzt.

Warum? Weshalb nicht auf dem Default Gateway (der .1) eine Route dafür erstellen damit nicht jeder Client angefasst werden muss?

> Wie kann ich erreichen das am Standort B für den IP-Bereich 90.250.250.0/24 der Router 192.168.1.5 benutzt wird.

So wie auf A gar nicht. Du kannst kein Netzfremdes Gateway einwerfen und erwarten, dass dort Traffic hinfließt. Korrekt wäre eher den Bereich 90... als Netz auf der A Seite im VPN zu vermerken und das via VPN nach B zu pushen, sprich: B bekommt nicht nur 192.168.1.0/24 sondern auch das 90er/24 Netz als "lokales" Netz, denn aus Sicht von B liegt der ganze Kram einfach auf Seite A. Wo da, ist für B unerheblich. Der Router von A muss dann die Zustellung übernehmen.

Dann gibts noch die Seite 90... - die wird aber sehr wahrscheinlich auch nur das Netz 192.168.1.0/24 kennen -> selbst wenn Pakete dann von B nach A und an den extra Router geschickt werden, werden die evtl. nicht zurückgeschickt. Also muss auch der Router .5 und ggf. sein Gegenstück auf der anderen Seite noch verklickert bekommen, dass .2.0/24 doch bitte auch wieder zurück geroutet werden sollen.

Gruß

[Baustelle]

vielen Dank erst einmal. Mein Vermutungen hast du voll und ganz bestätigt, aber die Hoffnung stirbt bekanntlich zu letzt.

> Warum? Weshalb nicht auf dem Default Gateway (der .1) eine Route dafür erstellen damit nicht jeder Client angefasst werden muss?

Hatten wir auch gemacht. Allerdings konnten wir mit dem Citrix-Clients dann keine stabile Verbindung hinbekommen, der Client reconnected in regelmäßigen Abständen, sodass keine flüssige Arbeit möglich war. Offenbar kommuniziert der Server direkt mit dem Citrix-Client, der Citrix-Client mit dem Server jedoch übers Default-Gateway - muss ich ebenfalls lösen, fürs erste gehts es jedoch auch so, da nur sehr wenige Clients diese Verbindung benötigen.

> So wie auf A gar nicht. Du kannst kein Netzfremdes Gateway einwerfen und erwarten,

Naja in A gehts, da das Gateway die 192.168.1.5 ja netzintern ist.

> als Netz auf der A Seite im VPN zu vermerken und das via VPN nach B zu pushen, sprich: B bekommt nicht nur 192.168.1.0/24 sondern auch das 90er/24 Netz als "lokales" Netz, denn aus Sicht von B liegt der ganze Kram einfach auf Seite A. Wo da, ist für B unerheblich. Der Router von A muss dann die Zustellung übernehmen.

genau das würde ich viel lieber machen! Mir ist nur unklar, wie ich das 2. Netz (90er) in die VPN-Konfiguration bekommen soll?

[JeGr]

Da du nichts über das VPN zwischen A und B schreibst, kann ich auch schlecht die Glaskugel befragen, wie du das 90er Netz in die VPN Konfiguration bekommst

Wenn es IPSEC ist, muss eine zusätzliche Phase 2 her. Wenn es OpenVPN ist, muss es als zusätzliches Remote Netz eingetragen werden (bzw. zusätzliches lokales auf der anderen Seite).

Gruß Jens

[Baustelle]

Sorry, hatte ich vergessen: IPSec

Irgendwann ging mir selbst ein Licht auf. Habe in den opnsense die 2. Phase 2 schon drin. Spannend wird jetzt die Gegenstelle, da es sich um eine Fritz!box handelt.

Gruß Dirk

[Baustelle]

Danke Jens! Die Tunnel funktionieren!