7270 und VPN mit dem LANCOM AVC

[DonDoedel0815]

Hallo!

Ich habe eine VPN-Kopplung mit meinem LANCOM Advanced VPN Client 2.10 zu meiner FB 7270 erfolgreich hinbekommen.

Leider habe ich bisher nicht geschafft, auf das zweite Netz hinter der FB zuzugreifen. Klar, weil die FB mir kein SA für das zweite Netz gewährt.

Aufbau: FB ist im Netz 192.168.11.0/24. VPN läuft, alle Rechner im Netz 192.168.11.0/24 sind per Tunnel erreichbat. Es gibt aber im Netz einen Rechner, der eine zweite Netzwerkkarte zum Netz 192.168.10.0/24 hat.

Meines erachtens ist das hier der Übertäter:

accesslist =
            "permit ip 192.168.11.0 255.255.255.0 192.168.11.201 255.255.255.255";

Ein Versuch mit folgender Änderung schlug fehl:

accesslist = 
            "permit ip any 192.168.11.0 255.255.255.0",
            "permit ip any 192.168.10.0 255.255.255.0";

Wo liegt jetzt mein Denkfehler?

 

[frank_m24]

Hallo,

Die Anleitung hier kennst du?
http://www.avm.de/de/Service/FAQs/FAQ_Sammlung/15136.php3

Und du hast die Änderungen auch auf Seiten des Client vorgenommen?

Es gibt aber im Netz einen Rechner, der eine zweite Netzwerkkarte zum Netz 192.168.10.0/24 hat.

Und der routet auch? Und er ist Gateway für den VPN Client?

 

[DonDoedel0815]

Hallo,

Die Anleitung hier kennst du?
http://www.avm.de/de/Service/FAQs/FAQ_Sammlung/15136.php3

Ja. Aber gut, daß ich noch mal reingesehen habe, denn ich hatte die Accesslist-Einstellungen für den Client eingetragen. Fixed.

Und du hast die Änderungen auch auf Seiten des Client vorgenommen?

Aber sicher.

Und der routet auch? Und er ist Gateway für den VPN Client?

Der routet alles von 192.168.10.0 nach 192.168.11.0 und umgekehrt. Aber warum sollte er Gateway sein? Wenn ich das Notebook direkt an einen Port von der Fritzbox hänge, komme ich ja auch problemlos ins 192.168.10.0-Netz.

Mmn liegt es an der fehlenden SA für das zweite Netz. Ich bekomme im Logfile vom AVC auch eine Meldung, daß der SA für das Netz 192.168.11.0/24 erfolgreich aufgebaut wird, beim SA für 192.168.10.0/24 bricht er aber ab.

 

[frank_m24]

Hallo,

Der routet alles von 192.168.10.0 nach 192.168.11.0 und umgekehrt. Aber warum sollte er Gateway sein? Wenn ich das Notebook direkt an einen Port von der Fritzbox hänge, komme ich ja auch problemlos ins 192.168.10.0-Netz.

Dann gibt es aber entweder eine statische Route in der Fritzbox oder im Client an der Fritzbox. Wenn es nicht irgend einen Hinweis darauf gibt, dass sich das 10er Netz hinter dem Gateway versteckt, dann wird niemand auf die Idee kommen, es dort zu suchen.

Mmn liegt es an der fehlenden SA für das zweite Netz. Ich bekomme im Logfile vom AVC auch eine Meldung, daß der SA für das Netz 192.168.11.0/24 erfolgreich aufgebaut wird, beim SA für 192.168.10.0/24 bricht er aber ab.

brauchst du zwangsläufig einen direkten Zugriff ins 10er Netz? Was passiert, wenn du auf dem Client eine statische Route mit der 11er Adresse des Gateways einrichtest?

 

[DonDoedel0815]

Dann gibt es aber entweder eine statische Route in der Fritzbox oder im Client an der Fritzbox. Wenn es nicht irgend einen Hinweis darauf gibt, dass sich das 10er Netz hinter dem Gateway versteckt, dann wird niemand auf die Idee kommen, es dort zu suchen.

Jep, die FB hat eine statische Route ins 10'er Netz. Deshalb will ich ja auch alles ins 10'er Netz bei der FB abkippen, damit sie es weiter schickt.

brauchst du zwangsläufig einen direkten Zugriff ins 10er Netz? Was passiert, wenn du auf dem Client eine statische Route mit der 11er Adresse des Gateways einrichtest?

Ja, ich muß des öfteren auf die Rechner im 10'er Netz zugreifen. Das mit der Route probiere ich morgen aus.