- Beitrag abonnieren
- Beitrag stummschalten
- Beitrag als ungelesen kennzeichnen
- Beitrag als gelesen kennzeichnen
VPN LAN-2LAN, Digibox , Firmennetzwerk
04.11.2016 08:59 Zuletzt bearbeitet: 04.11.2016 09:00 durch den Autor
Hallo Community & @Kalle2014
Ich habe eine Frage zur VPN-Verbindung zwischen einer Digitalisierungsbox Premium und einer Smart.
Szenario: Herstellen eines VPN-Tunnels (Hauptstelle – Außenstelle) und der Einbindung eines PC (Außenstelle) in das Firmennetz (Hauptstelle)
Bisheriger Stand: Auf beide Boxen wurde der Assistent zur Einrichtung der LAN-2-LAN Verbindung genutzt. Das klappt auch soweit, die VPN-Verbindungen sind auf beiden Boxen aktiv und ich komme auch auf die Web-Oberfläche der Digibox der Außenstelle.
Meine Frage nun ist: Was muss ich auf den Boxen noch Einstellen (Firewall, Routen, etc.) um mit einem PC in der Außenstelle auch den Zugriff auf das Firmennetz (mit Domain) zu bekommen. Wir betreiben auch ein Notebook mit dem „bintec Secure IPSec Client“, der über den Assistenten erstellt wurde und dort ist der Zugriff möglich.
Folgenden Einrichtungsstand der Digiboxen:
Digibox Premium:
Lokale IPSec ID: Hauptstelle
Entfernte IPSec ID: Außenstelle
Lokale IP-Adresse: 192.168.2.1
IPSec-Peer-Adresse: externe IP-Adresse von Box Smart
IP-Adresse des Remote-Netzwerkes: 192.168.3.0
Netzmaske: 255.255.255.0
-----------------------------------------------
Digibox Smart:
Lokale IPSec ID: Außenstelle
Entfernte IPSec ID: Hauptstelle
Lokale IP-Adresse: 192.168.3.1
IPSec-Peer-Adresse: externe IP-Adresse von Box Premium
IP-Adresse des Remote-Netzwerkes: 192.168.2.0
Netzmaske: 255.255.255.0
Mutmaßungen meiner Seite möchte ich erstmal außen vorlassen.
Gelöst! Gehe zu Lösung.
Hallo an alle, jetzt hatte ich ganz vergessen ein Update zu schreiben:
Es klappt, es lag nicht am Router. Die VPV-Verbindung hat prima funktioniert, ich bin echt begeistert wie gut das rückblickend funktioniert hat.
Im "entfernten" Netzwerk war das Standardgateway vorher die x.x.x.1, der Router hat die x.x.x.2 erhalten, damit es keinen Konflikt gibt. In den Endgeräten waren aber statische Adressen und somit auch das alte Standardgateway eingetragen; die Pings haben also die Rückroute nicht gefunden!
Ich habe dann den alten Router entfernt und die x.x.x.1 als IP beim neuen Router hinterlegt. Nach einem Neustart der Endgeräte hat es sofort funktioniert. Danke an Herrn Schmidthaus für diesen Tipp!
Peter
07.11.2016 12:50 Zuletzt bearbeitet: 07.11.2016 13:18 durch den Autor
Hallo @GDJ2016,
mir ist etwas bei Ihren Angaben aufgefallen, warum der Ping nicht durchgeht.
Geben Sie bitte einmal die bei "entferntes IPv4-Netzwerk" die Adresse der zu erreichenden Digitalisierungsbox ein.
Also zum Beispiel die 192.168.3.1 und nicht die IP des Remote-Netzwerkes 192.168.3.0
Testen Sie dies bitte einmal.
Gruß Jörg D.
04.11.2016 09:05 Zuletzt bearbeitet: 04.11.2016 09:10 durch den Autor
Für den Zugriff auf die Hauptstelle über die Domain ist zumindestens schon mal in der DigiBox der Außenstelle ein DNS - Eintrag notwendig, denn nur damit kann die Zieladresse gefunden werden.
Desweiteren muss das System in der Hauptstelle den Zugriff aus dem anderen LAN auch zulassen.
Der Unterschied zum bintec Secure IPSec Client ist ja, das der Arbeitsplatzrechner bei der LAN zu LAN - Verbindung keine IP-Adresse aus dem Netz der Hauptstelle bekommt.
04.11.2016 10:20
Vielen Dank für die Rückmeldung,
für mein Verständnis müssten das ja jeweils ein Eintrag in Netzwerk > Routen sein, dort wird ja zumindest für die LAN-2-LAN Verbindung unter den Digiboxen Automatisch beim Erstellen mit dem Assistenten ein Eintrag geschrieben.
Ich möchte mein Umständliches Nachfragen entschuldigen, ich muss mich erst seit kurzem mit der Digibox auseinandersetzen und würde mich ehr als Laie darstellen.
04.11.2016 10:38
Die Routen in der DigiBox sind automatisch vorhanden, aber das System auf das zugegriffen werden soll, muss den Zugriff aus einem anderen Netzwerk auch zulassen.
05.11.2016 00:22
Den Zugriff richtet man so ein:
Systemverwaltung - administativer Zugriff
dann auf hinzufügen - die VPN Schnittstelle auswählen
dann Haken bei HTTPS, HTTP und Ping setzen.
dann sollte es laufen.......
07.11.2016 09:35
Der von Ihnen beschriebene Zugriff ist doch nur der um auf die Web-Oberfläche der Digibox, von fern, zuzugreifen und das ist ja schon möglich (zumindest in eine Richtung) ,wie ich schon erwähnt hatte.
Nochmal ein Bsp:
PC (IP:192.168.2.100) hinter der Digibox Hauptstelle (IP: 192.168.2.1) --> Ping auf Digibox Nebenstelle(IP: 192.168.3.1) = JA
PC (IP: 192.168.3.100) hinter der Digibox NS (IP: 192.168.3.1) --> Netzwerk mit Hauptstelle = NEIN
Digibox NS (IP 192.168.3.1) --> Ping auf Digibox HS (192.168.2.1) = NEIN
Netzwerk ja dementsprechend auch nicht.
07.11.2016 09:43 Zuletzt bearbeitet: 07.11.2016 09:48 durch den Autor
Dann richten Sie bitte mal den Administrativen Zugriff für das VPN in der HS nur mit PING - Erlaubnis (falls Sie den Zugriff auf das Webinterface verständlicherweise nicht haben wollen) ein. Damit es mit dem ping auch in der anderen Richtung funktioniert.
Mit welchen Angaben (IP-Adresse / Netzmaske) ist en1-4 sowohl in der HS als auch Nebenstelle eingerichtet?
07.11.2016 11:06
Wenn mit den Angaben der Menüpunkt
LAN -> IP-Konfiguration - SCHNITTSTELLEN gemeint ist?
In der HS gibt es keinen solchen Eintrag und der NS war dieser auf 192.168.0.254 /255.255.255.0 gesetzt.
Wie ich im Hilfemenü der Oberfläche sehe ist dort genau das Beschrieben was ja eigentlich die Kommunikation zw. zwei Teilnetzen ermöglichen soll.
Sehe ich es richtig, dass dann dort entsprechend eine neue Schnittstelle eingerichtet werden müsste um die beider unterschiedlichen LAN-Netze miteinander zu verbinden?
An dieser Stelle möchte ich nochmal festhalten das die Einrichtung der Boxen nicht von meiner Person vorgenommen wurde.
07.11.2016 11:08
Natürlich müssen dann, wie ich mir denke , die en1-4 Schnittstellen noch richtig bearbeitet sein.
07.11.2016 11:10
Nein, bitte keine neue Schnittstelle anlegen.
Es ging bei meiner Frage nur darum zu verhindern, das die in der Grundkonfiguration vorhandene Schnittstelle ein verwendetes Netzsegment belegt und somit das Routing beeinflusst.
07.11.2016 11:36
Nein, soweit ich das sehen kann wird von keiner Schnittstelle dort die (IP-Adresse / Netzmaske) verwendet.
07.11.2016 11:38
Haben Sie eingerichtet, das die DigiBox an der HS auf einen ping über VPN antwortet?
07.11.2016 11:53 Zuletzt bearbeitet: 07.11.2016 13:00 durch den Autor
Ja, das hab ich. Habe auch soeben versucht von dem PC hinter NS die HS zu pingen - ping geht nicht durch.
Ping geht jetzt auch von dem PC hinter der NS auf die HS durch.
Sprich, beide Boxen lassen sich von beiden Seiten aus anpingen.
07.11.2016 12:50 Zuletzt bearbeitet: 07.11.2016 13:18 durch den Autor
Hallo @GDJ2016,
mir ist etwas bei Ihren Angaben aufgefallen, warum der Ping nicht durchgeht.
Geben Sie bitte einmal die bei "entferntes IPv4-Netzwerk" die Adresse der zu erreichenden Digitalisierungsbox ein.
Also zum Beispiel die 192.168.3.1 und nicht die IP des Remote-Netzwerkes 192.168.3.0
Testen Sie dies bitte einmal.
Gruß Jörg D.
07.11.2016 14:10
OK , zumindest lässt sich jetzt von dem PC der Nebenstelle das gesammte Netzwerk der Hauptstelle pingen.
Wieso das funktioniert hat ist mir aber nicht ganz klar, sobald ich unter VPN-Verbindung (über den Assistenten) die Einstellungen in Entferntes IPv4-Netzwerk von 192.168.3.0 zur 192.168.3.1 ändere, das bestätige und die Einstellung danach wieder aufrufe steht der Wert wieder auf 192.168.3.0 . Dies scheint die Digibox ja automatisch zu machen.
07.11.2016 14:13
ich habe gesehen, dass Sie Ihren letzten Beitrag ergänzt haben und der Ping nun möglich ist.
Konnten Sie den VPN-Tunnel in Betrieb nehmen?
Wenn Sie noch Unterstützung benötigen, melden Sie sich bitte.
Gruß Jörg D.
07.11.2016 14:39 Zuletzt bearbeitet: 07.11.2016 14:50 durch den Autor
Zum Zeitpunkt meiner Ergänzung ging erst nur der Ping zur Digibox der HS durch.
Mit den Änderungen Ihres Lösungsvorschlages konnte ich dann das gesamte Netz pingen.
Und nun ist auch der Austausch von Dateien möglich.
Es haben noch am PC(Nebenstelle) entsprechend die DNS-Einträge in der Netzwerkkarte gefehlt.
Hiermit bedanke ich mich für die Lösungsverschläge und Hilfe.
ps: Anzumerken wäre noch das man dieses Protal um einen Teil-Lösung /Teil zur Lösung Button erweitern könnte.
17.01.2017 21:18
Hi,
ich versuche mich auch gerade daran eine Digitalisierungsbox Smart an eine bestehende mit VLANs anzubinden. in der Filiale wird nur 1 Netzwerk benötigt.
Der Erste Versuch schlug fehlt, vermutlich weil ich 192.168.2.0 bei der Nebenstelle angegeben habe, was auch bei der Hauptstelle vorhanden war(ungenutzt).
Zum testen würde ich ein neues Netzwerk auf einer Schnittstelle der Hauptstelle einrichten, ist das sinnvoll?
Bei der Einrichtung der Verbindung wird ja aus 192.168.X.1 automatisch 192.168.X.0 was soll denn nun angegeben werden?
Zum anpingen muss die Schnittstelle noch hinzugefügt und pingen freigegeben werden?
21.01.2017 15:54
Hallo, ich habe exakt das in diesem Forum beschriebene Problem. Zwei Digiboxen Premium mit fester IP sollen über ein VPN verbunden werden. Tunnel steht, Ping auf die Boxen untereinander klappt aber nicht auf die Endgeräte in den Netzwerken. Woran kann das liegen?
Viele Grüße,
Peter Kurz
21.01.2017 16:02
Sind die Endgeräte denn so eingestellt, das sie auf einen Ping antworten? (Sie haben übrigens eine Antwort von mir.)
24.01.2017 13:53
Hi,
also "Ping im LAN" also im jeweiligen Netz funktioniert, aber nicht durch die VPN, da lässt sich nur der Router anpingen.
@Kalle2014auf die Mail vom 18.Jan?
Hallo an alle, jetzt hatte ich ganz vergessen ein Update zu schreiben:
Es klappt, es lag nicht am Router. Die VPV-Verbindung hat prima funktioniert, ich bin echt begeistert wie gut das rückblickend funktioniert hat.
Im "entfernten" Netzwerk war das Standardgateway vorher die x.x.x.1, der Router hat die x.x.x.2 erhalten, damit es keinen Konflikt gibt. In den Endgeräten waren aber statische Adressen und somit auch das alte Standardgateway eingetragen; die Pings haben also die Rückroute nicht gefunden!
Ich habe dann den alten Router entfernt und die x.x.x.1 als IP beim neuen Router hinterlegt. Nach einem Neustart der Endgeräte hat es sofort funktioniert. Danke an Herrn Schmidthaus für diesen Tipp!
Peter
24.01.2017 19:59
Also ich hab den Fehler doch noch entdeckt, ich hatte NAT nicht auf der Schnittstelle aktiviert.
08.01.2018 12:41
Hallo danke für dieses Forum hier!!! Es gibt Videos sowohl hier als auch auf Youtube bei dem Genau diese Problematik erzeugt wird, und zwar wird bei dem Assisten unter VPN Lan zu Lan gezeigt, dass die NetzwerkIP (in dem Fall, 192.168.3.0 ) eingegeben werden soll und nicht die IP des entfernten Routers! Das Video ist zwar recht gut aber mit Fehler behaftet die ein einfaches Vorhaben echt erschweren.