[Problem] 6590 (OS 7.10): VPN in ein 100er-Netzwerk herstellen

[MyKey0815]

Ich betreue das Netzwerk eines Kunden über VPN. Das Netzwerk hat das Subnetz 192.168.100.0/24.

Bisher hatte ich ein Kabelmodem und die 7390 um eine VPN Verbindung herzustellen.

Jetzt hab ich mir die 6590 gekauft und als ich die eingerichtet habe, war noch das 7.02 drauf. Mit diesem habe ich dann eine VPN zum Kunden herstellen können.

Letzt Woche kam dann die 7.10 und seit dem kann ich kein VPN vom der 6590 zum LANCOM R884 aufbauen.

Ein "umbau" des Subnetzes ist definitiv nicht möglich (zumindest nicht kurzfristig). Deshalb brauch ich eine Lösung.

Die "reservierten" Adressen der 6590 (192.168.100.1 und 192.168.100.2) werden im entfernten Netz definitiv nicht verwendet. Wüschenswert ist natürlich der Zugriff auf das gesamte Subnetz. Aber für die tägliche Arbeit würde schon reichen, wenn einzelne Rechner erreichbar sind

a) Downgrade von 7.10 auf 7.02
b) Löschen der statischen Routings/Einstellungen in der cfg, die das verhindern (geht das überhaupt)
c) eine VPN Konfiguration (vpn.cfg) die mir den Zugang auf ein 100er Netz / einzelne Rechner im 100er Netz erlaubt
d) VPN Konfiguration, die nicht das 100er Subnetz benutzt, aber dann trotzdem das 100er Netz erreichbar macht
e) ????

Gibt es da evtl. eine Lösung für das (ich denke sehr gebräuchliche) Problem?

 

[PeterPawn]

Ich hätte da ja eine Idee ... wenn man ein Kabelmodem und eine (nicht DOCSIS-)FRITZ!Box verwendet, sollte das funktionieren. Oder man nimmt einfach die bisher verwendete 07.02 weiterhin - das soll ja sicherlich der Punkt a) oben aussagen? Nur ... ist der jetzt "Frage" (Wenn ja, warum? Gibt es nicht genug Fundstellen zum Thema, wie man eine bestimmte Firmware auf den DOCSIS-Boxen installiert?) oder "Vorschlag" oder etwas vollkommen anderes? Was ist diese Liste, die mit vier Fragezeichen endet (waren das nicht bisher immer drei und Du hast das nur mit den vier Freunden (oder gar fünf) durcheinandergeworfen?), eigentlich genau?

Ansonsten ist die Verwendung der Adresse 192.168.100.1 durch das eCM keine optionale Sache, die man sich aussuchen oder irgendwo auf eine andere Adresse konfigurieren kann - das ist kein Wunschkonzert.

Die DOCSIS-Spezifikation (OSSI, Punkt 9.1 - SNMP Access via CMCI) ist da absolut eindeutig und knallhart - unter dieser IP-Adresse antwortet (von der LAN-Seite aus angesprochen) das eCM und wenn AVM diesen Punkt der Spezifikation nicht dadurch gefährden will, daß LAN-seitige Zugriffe auf diese Adresse durch das eDOCSIS-Device (als Ganzes betrachtet, dann ist der eRouter Bestandteil des Geräts) über eine VPN-Verbindung irgendwo anders landen, dann wird eine VPN-Verbindung, die einen Selektor für 192.168.100.1 einschließt, von einer DOCSIS-Box ("endlich" muß man fast schreiben, denn bis das mit der Diagnose-Adresse reibungslos lief, dauerte ja auch ein paar Versionen nach dem Umzug auf den ATOM-Core) wohl nicht mehr akzeptiert.

Wenn der Peer tatsächlich die 192.168.100.1 verwenden würde, führt wohl (ich sag's nochmal: richtigerweise) kein Weg zu einer AVM-VPN-Konfiguration mit diesem Peer. Wenn AVM hier wirklich nur die lt. Spezifikation reservierten Adressen prüft (das ist nämlich nur die 192.168.100.1/32 und nichts mit einer 24er-Maske), KÖNNTE - immer noch unter Vorbehalt und bei vollkommener Unkenntnis, WIE AVM diesen Test für eine VPN-Verbindung realisiert - eine zusätzliche Regel in "accesslist", die diese Adresse ausklammert für den Tunnel, vielleicht doch noch helfen (das wäre dann wohl Punkt c). Nur erreicht man dann eben das Gerät mit der 100.1 nicht über den Tunnel. Testen mußt Du das aber ohnehin selbst ... ist also Punkt c) auch wieder eine "Frage" (Wenn ja, warum? Gibt es nicht genug Fundstellen zum Thema, wie man den Traffic für einen VPN-Tunnel "auswählt" mit der "accesslist"?) oder ein "Vorschlag" oder etwas vollkommen anderes?

Wenn AVM das ganz schnöde am "ipnet" in der "phase2remoteid" fest macht, bringt eine geänderte "accesslist" aber auch nichts. Ob das so ist, kann man ja leicht testen, wenn man seine Konfigurationsdatei etwas variiert. Wenn man "ipnet" für P2 ändert und "accesslist" läßt wie bisher, funktioniert zwar die Verbindung mit ziemlicher Sicherheit nicht, aber man kann wenigstens sehen, ob sie vom Import akzeptiert wird und wann das der Fall ist.

Wobei ich mir das in der 07.10 noch nicht angesehen habe, was AVM hier geändert hat ... denkbar wäre es ja tatsächlich, daß man eine statische Route zu 192.168.100.1 über "dev dsl" gelegt hat (das wäre dann Punkt b) - aber wenn die existiert, steht sie (mit hoher Wahrscheinlichkeit, aber nicht mit absoluter Sicherheit) nicht in einer Konfigurationsdatei und kann daher wohl auch nicht über eine solche geändert werden. Allerdings könnte man das (bei Shell-Zugriff) dann zumindest mal untersuchen bzw. probieren. Wobei beim AVM-VPN die Selektion der Pakete für den Tunnel ohnehin am "dev dsl" erfolgt ... insofern würde eine statische Route gar keinen Unterschied machen, solange sie nicht auf das Device für die Kommunikation zwischen dem ATOM- und dem ARM-System verweist. Diese 192.168.100.1 ist nämlich auf dem ARM-Core konfiguriert, denn hier läuft auch der SNMP-Server, für den diese Adresse lt. Spec verwendet wird.

Je nachdem, wie (smart) AVM das testet, käme u.U. auch noch eine "ipsec bridge" in Frage ... also das Reservieren eines LAN-Ports für eine VPN-Verbindung zu einem anderen Standort, wobei dieser Port dann aus dem eigenen LAN nicht mehr erreichbar ist.

Aber wer sich mit solchen Problemen herumschlagen will, der sollte eigentlich auch in der Lage sein, die Support-Daten zu finden und auf diese (oder andere) Möglichkeiten, wie AVM das umgesetzt hat, zu untersuchen. Das macht sicherlich mehr Sinn, als wenn andere jetzt raten sollen. [ Die Möglichkeit, daß ich (persönlich) für eine solche "Diagnose" die 07.10 installiere, kann ich auch definitiv ausschließen. ] Wenn man also die verschiedenen Theorien aus der Liste in #1 überprüfen will, muß man sich ja nur die passenden Stellen in den Support-Daten ansehen ... u.a. die Routing-Table sollte da drin stehen.

 

[MyKey0815]

Vielen Dank für die ausführliche und auch technische Rückantwort.

Von meiner Seite aus möchte ich nur klar stellen: Die Adressen 192.168.100.1 und .2 sind im Remote-Subnetz nicht vergeben. Daher würde es auch keinen Konflikt mit der DOCSIS als solches geben. Außerdem hat es ja ein paar Wochen mit der 7.02 funktioniert.

Ich werde mir jetzt deine Ausführungen nach und nach anschauen und ausprobieren, was zu einer Lösung führen kann. Wenn alles nichts bringt, muss ich dann wohl auf die 7.02 zurück - was für mich aber kein Problem darstellt bezüglich der Features.