Hallo zusammen,
ich bin mittlerweile etwas verzweifelt, was mein Netzwerkverständnis angeht.
Folgende Ausgangslösung:
Fritzbox 7390 (NETZ A):
Firmware: FRITZ!OS 05.22
IP: 172.20.21.22
MASK: 255.255.0.0
DHCP: 172.20.21.200-230
statische Clients: 172.20.23.1-10
Fritzbox 3270v3 (NETZ B):
Firmware: FRITZ!OS 05.21
IP: 172.20.22.22
MASK: 255.255.255.0
DHCP: 172.20.22.200-230
keine statischen Clients in anderen Teilnetzen
Fortigate (NETZ C):
IP: 10.50.255.254
MASK: 255.255.255.0
hier wird intern auf mehrere Netze geroutet
Jetzt zu meinem Problem:
Bis vor kurzen hatte ich NETZ A noch als 255.255.255.0 Netz, da kein NETZ C vorhanden war. VPN S2S zwischen Netz A und B funktionierte reibungslos. Als NETZ C dazu kam, wollte ich NICHT das alle Netze sich mit einander unterhalten können. Aus Netz A sollte nur der Bereich 172.20.23.0 auf die Netze von NETZ C kommen. Da die Fritzbox keine interne Firewall besitzt, die das übernehmen kann, habe ich in der Fortigate (NETZ C) nur IPs aus 172.20.23.0 zugelassen. Das funktoniert bis hier hin auch noch einwandfrei.
Also musste ich in der Fritzbox NETZ A die Maske ändern auf 255.255.0.0 damit sich die Netze 172.20.21.0/24 und 172.20.23.0/24 aus NETZ A aber noch untereinander verständigen konnten. Seitdem funktioniert aber die Verbindung zu NETZ B nicht mehr.
Sobald ich die MASKE von 255.255.255.0 auf 255.255.0.0 geändert habe, wurde keine VPN Verbindung zw. NETZ A und NETZ B mehr aufgebaut. Ich dachte als erstes, es liegt an den VPN Configs, also habe ich diese angepasst:
Auschnitt NETZ A:
Auschnitt NETZ B:
So kommt leider keine Verbindung zu stande. Wenn ich mit dieser Konfiguration jetzt aber wieder bei der Fritzbox NETZ A die Maske auf 255.255.255.0 ändere, klappt die VPN Verbindung wieder problemlos.
Dann habe ich aber natürlich das Problem, dass die Netze in NETZ A sich nicht mehr miteinander unterhalten können.
Vorab deshalb meine Frage: Hat jemand schon VPN Site-to-Site Verbindungen mit einer anderen Fritzbox aufgebaut wenn die MASKE einer Fritzbox 255.255.0.0 ist? Ich habe nämlich so langsam das Gefühl, dass hier nen BUG in der Firmware ist.
Danke und Grüße
ich bin mittlerweile etwas verzweifelt, was mein Netzwerkverständnis angeht.
Folgende Ausgangslösung:
Fritzbox 7390 (NETZ A):
Firmware: FRITZ!OS 05.22
IP: 172.20.21.22
MASK: 255.255.0.0
DHCP: 172.20.21.200-230
statische Clients: 172.20.23.1-10
Fritzbox 3270v3 (NETZ B):
Firmware: FRITZ!OS 05.21
IP: 172.20.22.22
MASK: 255.255.255.0
DHCP: 172.20.22.200-230
keine statischen Clients in anderen Teilnetzen
Fortigate (NETZ C):
IP: 10.50.255.254
MASK: 255.255.255.0
hier wird intern auf mehrere Netze geroutet
Jetzt zu meinem Problem:
Bis vor kurzen hatte ich NETZ A noch als 255.255.255.0 Netz, da kein NETZ C vorhanden war. VPN S2S zwischen Netz A und B funktionierte reibungslos. Als NETZ C dazu kam, wollte ich NICHT das alle Netze sich mit einander unterhalten können. Aus Netz A sollte nur der Bereich 172.20.23.0 auf die Netze von NETZ C kommen. Da die Fritzbox keine interne Firewall besitzt, die das übernehmen kann, habe ich in der Fortigate (NETZ C) nur IPs aus 172.20.23.0 zugelassen. Das funktoniert bis hier hin auch noch einwandfrei.
Also musste ich in der Fritzbox NETZ A die Maske ändern auf 255.255.0.0 damit sich die Netze 172.20.21.0/24 und 172.20.23.0/24 aus NETZ A aber noch untereinander verständigen konnten. Seitdem funktioniert aber die Verbindung zu NETZ B nicht mehr.
Sobald ich die MASKE von 255.255.255.0 auf 255.255.0.0 geändert habe, wurde keine VPN Verbindung zw. NETZ A und NETZ B mehr aufgebaut. Ich dachte als erstes, es liegt an den VPN Configs, also habe ich diese angepasst:
Auschnitt NETZ A:
Code:
phase2localid {
ipnet {
ipaddr = 172.20.0.0;
mask = 255.255.0.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 172.20.22.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 172.20.22.0 255.255.255.0";Auschnitt NETZ B:
Code:
phase2localid {
ipnet {
ipaddr = 172.20.22.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 172.20.0.0;
mask = 255.255.0.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 172.20.0.0 255.255.0.0";So kommt leider keine Verbindung zu stande. Wenn ich mit dieser Konfiguration jetzt aber wieder bei der Fritzbox NETZ A die Maske auf 255.255.255.0 ändere, klappt die VPN Verbindung wieder problemlos.
Dann habe ich aber natürlich das Problem, dass die Netze in NETZ A sich nicht mehr miteinander unterhalten können.
Vorab deshalb meine Frage: Hat jemand schon VPN Site-to-Site Verbindungen mit einer anderen Fritzbox aufgebaut wenn die MASKE einer Fritzbox 255.255.0.0 ist? Ich habe nämlich so langsam das Gefühl, dass hier nen BUG in der Firmware ist.
Danke und Grüße
