Routeringsprobleem over Site 2 Site VPN - Netwerken

woensdag 24 december 2014 00:07

Acties:

0 Henk 'm!

Topicstarter

Ik zal eerst hier het netwerk even schetsen alvorens ik met mijn vraag kom.

Ik heb 2 keer een FritzBox! al modem router voor de glas verbinding.
Daarnaast heb ik 2 MikroTik RB951G-HnD's die zowel Acces Point zijn en voor Site 2 Site VPN dienen
Dus ze hebben ook beiden de gateway van de FritzBox! meegekregen.

code:

|               Internet
FritzBox!                      FritzBox!
192.168.2.0                 192.168.5.0
     |                             |
     |                             |
     |                             |
MikroTik ----------VPN---------MikroTik
     |                             |
     |                             |
     |                             |
Clients                         Clients

Nu heb ik een route ingesteld op beide Fritz!Box-en dat het verkeer voor het andere netwerk naar de MikroTik moet.
dan hoef ik dus niet op iedere machine een route te leggen.
Dit werkt allemaal prima nu.

Maar dan nu de vraag
Ik wil er voor zorgen dat 1 website ten alle tijden over de VPN gaat
Hoe krijg ik dit voor elkaar op de mikrotik, de route hiervoor kan ik wel maken op de fritzbox.
Maar dan komt hij logischerwijs in een loop terecht.

Check dit en help mee!

woensdag 24 december 2014 00:15

Acties:

0 Henk 'm!

Osiris

Begrijp ik het goed dat je wil dat de clients van de linkerkant (FB ~.2.0) voor een/enkele specifiek(e) IP-adres(sen) die bereiken via de VPN en FB ~.5.0 én dat de clients van de rechterkant dat via de VPN en de FB ~.2.0 diezelfde IP's benaderen? Dus een soort 'cross over'?

woensdag 24 december 2014 00:17

Acties:

0 Henk 'm!

Fish

How much is the fish

- Dns naar intern ip van de website laten wijzen ?
- of dmv nat

Logischerwijs in een loop ? ik snap niet dat het in een loop raakt. hoe kom je to die conclusie en hoe doe je het nu

Iperf

woensdag 24 december 2014 00:25

Acties:

0 Henk 'm!

DaMoUsYs

Topicstarter

nee had er niet goed bijgezet dat het om een externe website gaat, excuses
intern zijn alle adressen te benaderen
zowel links als rechts

[ Voor 9% gewijzigd door DaMoUsYs op 24-12-2014 00:26 ]

Check dit en help mee!

woensdag 24 december 2014 00:26

Acties:

0 Henk 'm!

CyBeR

💩

Als je 1 website, twee kanten op altijd via je VPN wilt hebben moet je policy-based routing toepassen. Anders krijg je inderdaad loopjes. Als 't vanaf 1 kant altijd over de vpn moet, gewoon een route naar het ip van die website zetten via de vpn.

Fritzboxen kunnen dat afaik overigens niet. Die dingen zijn nogal beperkt.

[ Voor 13% gewijzigd door CyBeR op 24-12-2014 00:26 ]

All my posts are provided as-is. They come with NO WARRANTY at all.

woensdag 24 december 2014 00:29

Acties:

0 Henk 'm!

DaMoUsYs

Topicstarter

Ja dat moet ik dan in de MikroTik doen, alleen ik kan daar geen gateway kiezen.
Bij een Juniper netscreen weet ik toevallig dat je dan de VPN als interface kan kiezen

Check dit en help mee!

woensdag 24 december 2014 00:33

Acties:

0 Henk 'm!

CyBeR

💩

DaMoUsYs schreef op woensdag 24 december 2014 @ 00:29:
Ja dat moet ik dan in de MikroTik doen, alleen ik kan daar geen gateway kiezen.

Als je 't twee kanten op wilt, kun je die fritzbox niet gebruiken want die kan dus niet PBR'en.

All my posts are provided as-is. They come with NO WARRANTY at all.

woensdag 24 december 2014 00:34

Acties:

0 Henk 'm!

Fish

How much is the fish

Als die website een vast ip heeft kun je daar toch een extra route voor aanmaken ?

Iperf

woensdag 24 december 2014 00:34

Acties:

0 Henk 'm!

Osiris

Fish schreef op woensdag 24 december 2014 @ 00:34:
Als die website een vast ip heeft kun je daar toch een extra route voor aanmaken ?

Niet met simpele routes als de linkerkant via rechts moet én de rechterkant via links..

woensdag 24 december 2014 00:36

Acties:

0 Henk 'm!

DaMoUsYs

Topicstarter

nee dat hoeft niet
Links is bij mij thuis en rechts is bij mijn ouders thuis
en als mijn ouders die website bezoeken, heeft inderdaad maar 1 IP dan moet die via mijn verbinding lopen

Check dit en help mee!

woensdag 24 december 2014 00:37

Acties:

0 Henk 'm!

Fish

How much is the fish

Dan maak je toch een route voor het ip met als gateway de router van je ouders

Iperf

woensdag 24 december 2014 00:40

Acties:

0 Henk 'm!

DaMoUsYs

Topicstarter

maar ik kan in een route toch geen gateway kiezen die buiten mijn netwerk ligt ?

Check dit en help mee!

woensdag 24 december 2014 00:42

Acties:

0 Henk 'm!

CyBeR

💩

DaMoUsYs schreef op woensdag 24 december 2014 @ 00:40:
maar ik kan in een route toch geen gateway kiezen die buiten mijn netwerk ligt ?

Tuurlijk wel. Hij moet alleen wel 'direct' aangesloten zijn. Je VPN endpoint (andere kant van de tunnel) is dat, zei 't niet fysiek.

All my posts are provided as-is. They come with NO WARRANTY at all.

woensdag 24 december 2014 00:44

Acties:

0 Henk 'm!

Osiris

Hmm, maar eerst moeten de pakketjes de VPN over.. Dus in dat opzichte is het rechts denk ik gelijk als wat je met de LAN's hebt gedaan: route voor het specifieke IP rechts in de FB instellen naar de VPN..

Dan komt 'ie iig aan de linkerkant uit. Maar met als source-IP ~.5.0.. En dat gaat de linker-FB natuurlijk weer niet over z'n WAN flikkeren, maar terug de linker-kant van de VPN in, want die heeft een route daarvoor.. (Anders was het ~.5.0-netwerk niet bereikbaar via de VPN).

Moet je misschien de MicroTiks (één van beide) NAT laten doen o.i.d.? Of zeg ik nu iets heel ranzigs

En dan ben je klaar

[ Voor 3% gewijzigd door Osiris op 24-12-2014 00:53 ]

woensdag 24 december 2014 00:47

Acties:

0 Henk 'm!

DaMoUsYs

Topicstarter

Dat zou ook kunnen inderdaad, maar dan zit ik weer met de IPTV en de telefonie te hannesen
Die route in de FB heb ik gemaakt inderdaad maar dan zegt de MikroTik dat IP ken ik niet dus die gooit hem weer terug naar de FB

Maar ik zou de IP adressen van de IPSec VPN tunnel moeten kunnen achterhalen
alleen weet ik niet zo 123 hoe ik daar achter kom

[ Voor 7% gewijzigd door DaMoUsYs op 24-12-2014 00:50 ]

Check dit en help mee!

woensdag 24 december 2014 00:51

Acties:

0 Henk 'm!

Fish

How much is the fish

Vergeet ook niet de weg terug te routeren ... maak een route in de fritzbox van je ouders die weet via welke gateway jou netwerk thuis te benaderen is

Iperf

woensdag 24 december 2014 00:51

Acties:

0 Henk 'm!

Osiris

DaMoUsYs schreef op woensdag 24 december 2014 @ 00:47:
Dat zou ook kunnen inderdaad, maar dan zit ik weer met de IPTV en de telefonie te hannesen

NAT alleen voor die ene website hè..

woensdag 24 december 2014 00:52

Acties:

0 Henk 'm!

CyBeR

💩

Osiris schreef op woensdag 24 december 2014 @ 00:44:
Dan komt 'ie iig aan de linkerkant uit. Maar met als source-IP ~.5.0.. En dat gaat de linker-FB natuurlijk weer niet over z'n WAN flikkeren, maar terug de linker-kant van de VPN in, want die heeft een route daarvoor.. (Anders was het ~.5.0-netwerk niet bereikbaar via de VPN).

Euh, wat? Je routeert normaal gesproken niet op basis van source adres maar op basis van destination adres. Zolang de rechter router maar NAT doet voor dat IP komt 't goed.

All my posts are provided as-is. They come with NO WARRANTY at all.

woensdag 24 december 2014 00:53

Acties:

0 Henk 'm!

Osiris

CyBeR schreef op woensdag 24 december 2014 @ 00:52:
[...]

Euh, wat? Je routeert normaal gesproken niet op basis van source adres maar op basis van destination adres. Zolang de rechter router maar NAT doet voor dat IP komt 't goed.

Good point ofcourse, my bad..

woensdag 24 december 2014 00:53

Acties:

0 Henk 'm!

Fish

How much is the fish

euh nee

want de antwoorden moeten ook weer op zijn netwerk komen dus moet de fritzbox van zijn ouders weten via welke gateway zijn subnet te bereiken is

Iperf

woensdag 24 december 2014 00:54

Acties:

0 Henk 'm!

Osiris

Fish schreef op woensdag 24 december 2014 @ 00:53:
euh nee

want de antwoorden moeten ook weer op zijn netwerk komen dus moet de fritzbox van zijn ouders weten via welke gateway zijn subnet te bereiken is

Maar dát heeft 'ie al werkend zegt ie.

woensdag 24 december 2014 00:55

Acties:

0 Henk 'm!

Fish

How much is the fish

Van subnet naar subnet ja, en dat geloof ik ook. Maar die router weet dat niet die kent maar 1 subnet ... en die andere niet, dus gaan de packets *poef* weg

Tenzij de microtik nat gaat doen natuurlijk dan ok ... fine

[ Voor 17% gewijzigd door Fish op 24-12-2014 00:56 ]

Iperf

woensdag 24 december 2014 00:58

Acties:

0 Henk 'm!

DaMoUsYs

Topicstarter

als ik een tracert vanuit mijn ouders doe krijg ik dit
en andersom werkt dat ook.

code:

tracert 192.168.2.21

Tracing route to S01 [192.168.2.21]
over a maximum of 30 hops:

  1    <1 ms    <1 ms    <1 ms  192.168.5.2
  2    10 ms    10 ms    10 ms  192.168.2.7
  3    11 ms    10 ms    10 ms  S01 [192.168.2.21]

Fish schreef op woensdag 24 december 2014 @ 00:55:
Van subnet naar subnet ja, en dat geloof ik ook. Maar die router weet dat niet die kent maar 1 subnet ... en die andere niet, dus gaan de packets *poef* weg

Tenzij de microtik nat gaat doen natuurlijk dan ok ... fine

van welk subnet het afkomt staat toch in de header, of is die die kwijt op de terugweg ?

edit
Ik zie nu ik de tracert terug kijk dat hij automatisch een route heeft toegevoegd aan de pc
dus hij gaat niet eerst naar de FB meer

[ Voor 8% gewijzigd door DaMoUsYs op 24-12-2014 00:59 ]

Check dit en help mee!

woensdag 24 december 2014 00:59

Acties:

0 Henk 'm!

Fish

How much is the fish

Ja maar hoe weet de router hoe (of waar) hij het andere subnet moet bereiken ?

Iperf

woensdag 24 december 2014 01:00

Acties:

0 Henk 'm!

Osiris

Fish schreef op woensdag 24 december 2014 @ 00:55:
Van subnet naar subnet ja, en dat geloof ik ook. Maar die router weet dat niet die kent maar 1 subnet ... en die andere niet, dus gaan de packets *poef* weg

Tenzij de microtik nat gaat doen natuurlijk dan ok ... fine

Mja, die linker MicroTik moet 't pakketje naar die website wel richting de FB sturen natuurlijk..

Is daar een route nog nodig dan? Ala (ff vanuit iproute2-commando's gezien, ken 't MicroTik OS niet) `ip route add ${site}/32 via ${linker-FB} dev ${LAN}`?

woensdag 24 december 2014 01:01

Acties:

0 Henk 'm!

DaMoUsYs

Topicstarter

bij beide FBen staat een route naar de MikroTik
De linker mikrotik zal het als het goed is gewoon bij de gateway dumpen denk ik

het zou zo moeten gaan

Aanvraag --> FB rechts --> MikroTik Rechts --> MikroTik Links --> FB Links --> Website en ook zo weer terug
En als ik het goed heb staat het subnet van de aanvrager in de headers ?

[ Voor 45% gewijzigd door DaMoUsYs op 24-12-2014 01:04 ]

Check dit en help mee!

woensdag 24 december 2014 01:02

Acties:

0 Henk 'm!

Osiris

Als die MicroTik's ook een default route naar de FB hebben, ja, dan wel

Kortom, met een specifieke route voor 't IP van die website op de rechter-FB naar de VPN, vergelijkbaar met de routes voor de subnetten die je al hebt, should do the trick?

[ Voor 54% gewijzigd door Osiris op 24-12-2014 01:05 ]

woensdag 24 december 2014 01:05

Acties:

0 Henk 'm!

DaMoUsYs

Topicstarter

ja dat hebben ze allebei

Osiris schreef op woensdag 24 december 2014 @ 01:02:
Als die MicroTik's ook een default route naar de FB hebben, ja, dan wel

Kortom, met een specifieke route voor 't IP van die website op de rechter-FB naar de VPN, vergelijkbaar met de routes voor de subnetten die je al hebt, should do the trick?

Die heb ik gemaakt, alleen dan gooit de MikroTik (VPN) hem weer terug naar de gateway (FB rechts)
Dus ik moet ook nog een route hebben op mijn MikroTik Rechts die zegt ip website moet over de VPN

Dat zou ik eventueel kunnen doen als ik de IP gegevens IN de VPN zou weten want dan zou ik als gateway in die route het ip van de andere kant van de VPN op moeten geven

[ Voor 93% gewijzigd door DaMoUsYs op 24-12-2014 01:14 . Reden: typos ]

Check dit en help mee!

woensdag 24 december 2014 01:23

Acties:

0 Henk 'm!

Fish

How much is the fish

Maar je hebt dus geen routes ingesteld op de fb

Dus.. ik neem even aan dat er een subnet is op je workstations die je niet hebt vermeld ?
ik mis hier wat configuratie. help me want je pingt wel met het

[ Voor 18% gewijzigd door Fish op 24-12-2014 01:26 ]

Iperf

woensdag 24 december 2014 01:25

Acties:

0 Henk 'm!

Osiris

DaMoUsYs schreef op woensdag 24 december 2014 @ 01:05:
[...]

Die heb ik gemaakt, alleen dan gooit de MikroTik (VPN) hem weer terug naar de gateway (FB rechts)
Dus ik moet ook nog een route hebben op mijn MikroTik Rechts die zegt ip website moet over de VPN

Euh, die MicroTiks moeten toch gewoonweg slikken wat ze voorgeschoteld krijgen en dat over de VPN smijten? Die hoeven verder niets te routen lijkt me..

woensdag 24 december 2014 01:27

Acties:

0 Henk 'm!

DaMoUsYs

Topicstarter

de FBen zitten direct op het internet, dus deze hebben een gateway/default route naar XS4All

Als de MikroTik het ip adres van die website niet kent moet hij hem toch naar zijn gateway/default route gooien?

FB Links
192.168.2.1
Mikrotk Links
192.168.2.7
Client Links
192.168.2.106

FN rechts
192.168.5.1
MikroTik rechts
192.168.5.2
Client Recht
192.168.5.101

[ Voor 70% gewijzigd door DaMoUsYs op 24-12-2014 01:30 ]

Check dit en help mee!

woensdag 24 december 2014 01:33

Acties:

0 Henk 'm!

Fish

How much is the fish

Hoe weet een fb2 client hoe hij de tunnel aan moet spreken voor het fb5 netwerk ? Ik neem zomaar aan via een gateway tussen fb2. en fb5
dat zelfde princiepe pas je toe voor het externe ip.

Die gateway op fb5 moet wel weten waar de default gateway is voor fb5

en de router van fb5 maak je bekend met de gateway van tussen fb5->fb2

[ Voor 62% gewijzigd door Fish op 24-12-2014 01:37 ]

Iperf

woensdag 24 december 2014 01:36

Acties:

0 Henk 'm!

DaMoUsYs

Topicstarter

Door de route die op fb2 ligt
Op beide fben ligt een route met als gateway de mikrotik

Check dit en help mee!

woensdag 24 december 2014 01:37

Acties:

0 Henk 'm!

Fish

How much is the fish

ja sorry boel edits

Iperf

woensdag 24 december 2014 01:37

Acties:

0 Henk 'm!

DaMoUsYs

Topicstarter

en snelle reacties

Check dit en help mee!

woensdag 24 december 2014 01:38

Acties:

0 Henk 'm!

Fish

How much is the fish

+ puntje voor de ts

[ Voor 7% gewijzigd door Fish op 24-12-2014 01:38 ]

Iperf

woensdag 24 december 2014 01:40

Acties:

0 Henk 'm!

DaMoUsYs

Topicstarter

thanks, maar hoe kan ik achter de ip settings komen in de VPN
want ik neem aan dat er in een IPSec tunnel ook gewoon met ip adressing gewerkt wordt

Check dit en help mee!

woensdag 24 december 2014 01:41

Acties:

0 Henk 'm!

Osiris

DaMoUsYs schreef op woensdag 24 december 2014 @ 01:27:
de FBen zitten direct op het internet, dus deze hebben een gateway/default route naar XS4All

Als de MikroTik het ip adres van die website niet kent moet hij hem toch naar zijn gateway/default route gooien?

Als 't uit z'n VPN komt wel ja.. Maar niet als 't *inkomend* verkeer is.

woensdag 24 december 2014 01:42

Acties:

0 Henk 'm!

DaMoUsYs

Topicstarter

Osiris schreef op woensdag 24 december 2014 @ 01:41:
[...]

Als 't uit z'n VPN komt wel ja.. Maar niet als 't *inkomend* verkeer is.

hoe weet ie dan wat hij er mee moet doen ?

Check dit en help mee!

woensdag 24 december 2014 01:43

Acties:

0 Henk 'm!

Fish

How much is the fish

juist ... dat probeer ik al een tijd te zeggen .. route tevoegen op je fb5

Iperf

woensdag 24 december 2014 01:44

Acties:

0 Henk 'm!

DaMoUsYs

Topicstarter

dat heb ik gedaan, als ik dan een tracert doe zie ik dat de mikrotik hem mooi weer terugstuurd naar zijn gateway

Check dit en help mee!

woensdag 24 december 2014 01:46

Acties:

0 Henk 'm!

Fish

How much is the fish

heeft de gateway op microtik op fb5 een default gateway ingesteld ?

Iperf

woensdag 24 december 2014 01:47

Acties:

0 Henk 'm!

DaMoUsYs

Topicstarter

jep de fb5
en dat moet ook wel want anders kan hij de IPSec tunnel niet opbouwen

[ Voor 78% gewijzigd door DaMoUsYs op 24-12-2014 01:50 ]

Check dit en help mee!

woensdag 24 december 2014 01:51

Acties:

0 Henk 'm!

Fish

How much is the fish

DaMoUsYs schreef op woensdag 24 december 2014 @ [quote][b][message=43459610,noline]DaMoUsYs schreef op woensdag 24 december 2014 @ 01:47[/message]:[/b] jep de fb5 [/quote] 01:44:
dat heb ik gedaan, als ik dan een tracert doe zie ik dat de mikrotik hem mooi weer terugstuurd naar zijn gateway

Does not compute .... terugsturen naar zijn gateway ?
is dat doorsturen naar zijn default gateway of terugsturen naar jou(w gateway) ?

*gaat bijna bed opzoeken

Iperf

woensdag 24 december 2014 01:53

Acties:

0 Henk 'm!

DaMoUsYs

Topicstarter

ik stuur een verzoek naar de website die komt bij de gateway van de client (FB Rechts)
FB Rechts heeft route voor die website naar de MikroTik dus daar wordt ie naar toe gestuurd
MikroTik zegt he dat IP ken ik niet dus stuurt hij het weer naar zijn Gateway (FB Rechts)

Check dit en help mee!

woensdag 24 december 2014 01:58

Acties:

0 Henk 'm!

Fish

How much is the fish

mja verkeerde route

dat moet andersom

Iperf

woensdag 24 december 2014 02:00

Acties:

0 Henk 'm!

DaMoUsYs

Topicstarter

maar dan nog weet de Mikrotik niet waar die website naar toe moet.
en moet ik op de mikrotik alsnog een route maken toch ?

Check dit en help mee!

woensdag 24 december 2014 02:08

Acties:

0 Henk 'm!

Fish

How much is the fish

Default route wordt gebruikt als er geen route bekend. Dus die zal hij dan gebruiken. de router doet zijn nat truukje

en de data komt terug.

Deze data is bestemd voor het .2. netwerk. maar dat ziet niet het subnet van fb2
dus standaard dropt ie dan de data (hij weet immers niet waar het heen moet)

Dat doe je dus door in fb5 een router aan te maken voor de range van 2 naar de gateway van 5->2

Iperf

woensdag 24 december 2014 02:13

Acties:

0 Henk 'm!

DaMoUsYs

Topicstarter

Ik zal morgen even een Visio tekeningetje maken met daarin een duidelijkere schets van hoe het zit
Dat is mischien duidelijker dan mijn "geweldige" ASCI Skills

Check dit en help mee!

woensdag 24 december 2014 02:15

Acties:

0 Henk 'm!

Fish

How much is the fish

nee

FB Rechts heeft route voor die website naar de MikroTik dus daar wordt ie naar toe gestuurd

lees het eens goed je stuurt het letterlijk zelf terug

een route is niet bidirectioneel!

een route geeft aan waar iets heen moet. niet meer, niet minder

[ Voor 29% gewijzigd door Fish op 24-12-2014 02:18 ]

Iperf

woensdag 24 december 2014 02:17

Acties:

0 Henk 'm!

DaMoUsYs

Topicstarter

Alle apparaten in het netwerk hebben de FB als gateway ingesteld.
Dus ben bang dat mijn ASCI Art niet heel duidelijk is

Check dit en help mee!

woensdag 24 december 2014 02:30

Acties:

0 Henk 'm!

Fish

How much is the fish

Ok dan gaat dat stuk goed

Dan zou je alleen nog maar een route moeten maken op fb2 voor dat ip naar de microtik
de microtik2 moet dat doorrouteren naar de microtik5 (dus niet alleen voor .5. maar ook voor dat ip)
ergens voeg je dus weer een router toe daar

en je moet een default gateway hebbe op de microtik .5. naar de fb5 hebben maar die was er al zei je

maak maar een mooie tekening ook welke route waar is ingesteld (ook al is het nu al duidelijker)

[ Voor 21% gewijzigd door Fish op 24-12-2014 02:32 ]

Iperf

woensdag 24 december 2014 02:35

Acties:

0 Henk 'm!

Osiris

Maar Fish, MikroTek5 is het probleem.

Die snapt blijkbaar niet dat 'ie het inkomende verkeer op z'n niet-VPN-interface sowieso niet moet routen naar z'n default gateway, maar simpelweg de VPN in moet slingeren..

En alles wat uit z'n VPN-interface komt, moet 'ie óf gewoon het LAN oppleuren (indien destination in 't subnet van die kant zit..) óf richting de default gateway..

Oftewel, die MikroTiks moeten qua VPN-afhandeling wellicht ietsjes slimmer ingesteld worden óf die MikroTik rechts moet gewoon snappen dat destination IP <website> over de VPN moet.. Oftewel, een route

Die FB'en zijn het probleem niet..

[ Voor 3% gewijzigd door Osiris op 24-12-2014 02:35 ]

woensdag 24 december 2014 02:37

Acties:

0 Henk 'm!

DaMoUsYs

Topicstarter

@osiris, juist

@fish
Ja dat klopt maar als ik een route aan maak op de mikrotik moet ik een gateway invullen maar wat die moet zijn weer ik dus niet

Wat ik zou denken is het andere ip van de VPN tunnel maar die gegevens kan ik nergens vinden

Check dit en help mee!

woensdag 24 december 2014 02:39

Acties:

0 Henk 'm!

Fish

How much is the fish

Osiris schreef op woensdag 24 december 2014 @ 02:35:
Maar Fish, MikroTek5 is het probleem.

Die snapt blijkbaar niet dat 'ie het inkomende verkeer op z'n niet-VPN-interface sowieso niet moet routen naar z'n default gateway, maar simpelweg de VPN in moet slingeren..

En alles wat uit z'n VPN-interface komt, moet 'ie óf gewoon het LAN oppleuren (indien destination in 't subnet van die kant zit..) óf richting de default gateway..

Oftewel, die MikroTiks moeten qua VPN-afhandeling wellicht ietsjes slimmer ingesteld worden óf die MikroTik rechts moet gewoon snappen dat destination IP <website> over de VPN moet.. Oftewel, een route

Die FB'en zijn het probleem niet..

m2 zeg ik

fb5 heeft een goeie route werkende router naar .2.
he probleem is dat m2 niet weet welke gateway hij moet pakken voor ip website. die moet ingesteld worden.

denk ik

Iperf

woensdag 24 december 2014 02:42

Acties:

0 Henk 'm!

DaMoUsYs

Topicstarter

nee het blijft fout gaat in het 5 netwerk.
het verzoek komt niet bij het 2 netwerk aan
dus op m5 moet een route gemaakt worden naar m2 die hem gewoon het internet op gooit

Check dit en help mee!

woensdag 24 december 2014 02:42

Acties:

0 Henk 'm!

Osiris

Andersom, de client (ouders van TS) zit rechts

Dus M5 moet snappen dat 't website-IP als destination de VPN op moet en níet zoals z'n default route zegt naar FB5..

woensdag 24 december 2014 02:43

Acties:

0 Henk 'm!

DaMoUsYs

Topicstarter

Nee bij M2 komt het hele verzoek nog niet aan
ninja edit

[ Voor 23% gewijzigd door DaMoUsYs op 24-12-2014 02:44 ]

Check dit en help mee!

woensdag 24 december 2014 02:44

Acties:

0 Henk 'm!

Fish

How much is the fish

Het zou wel aan moeten komen
*als je die router voor de website hebt toegevoegt aan FB2*

[ Voor 44% gewijzigd door Fish op 24-12-2014 02:47 ]

Iperf

woensdag 24 december 2014 02:47

Acties:

0 Henk 'm!

Osiris

Fish schreef op woensdag 24 december 2014 @ 02:44:
Het zou wel aan moeten komen
*als je die router voor de website hebt toegevoegt aan FB2*

Huh.. Hoe zie je dat voor je?

De client rechts doet een pakketje richting bijv 1.2.3.4. Die komt uit bij FB5.. FB5 zegt, ik ken het niet, hup, naar MT5.. MT5 denkt, huh, ik ken dit niet, naar FB5... Die zegt, ik ken het niet <loopje>

Hoe heeft het instellen van een route aan de complete andere kant dan nut?

woensdag 24 december 2014 02:48

Acties:

0 Henk 'm!

DaMoUsYs

Topicstarter

Inderdaad Osiris

dit staat ingesteld
Afbeeldingslocatie: http://www.damousys.nl/ipsecploicy.PNG

Check dit en help mee!

woensdag 24 december 2014 02:48

Acties:

0 Henk 'm!

Fish

How much is the fish

pc2 -> default gatway 2 (fb2) -> m2 -> m5 -> default gateway (fb5)

Iperf

woensdag 24 december 2014 02:49

Acties:

0 Henk 'm!

DaMoUsYs

Topicstarter

dat klopt maar dan precies de andere kant op
dus pc5 --> fb5 --> mt5 --> mt2 --> fb2 --> internet

[ Voor 38% gewijzigd door DaMoUsYs op 24-12-2014 02:50 ]

Check dit en help mee!

woensdag 24 december 2014 02:49

Acties:

0 Henk 'm!

Osiris

DaMoUsYs schreef op woensdag 24 december 2014 @ 02:48:
Inderdaad Osiris

dit staat ingesteld
[afbeelding]

Da's een IPSec policy, geen route dunkt me?

Fish schreef op woensdag 24 december 2014 @ 02:48:
pc2 -> default gatway 2 (fb2) -> m2 -> m5 -> default gateway (fb5)

... de TS wil van rechts naar links, jij doet van links naar rechts..

TS: http://wiki.mikrotik.com/wiki/Manual:IP/Route Daar is vast wel uit te vogelen hoe je een route instelt.

[ Voor 10% gewijzigd door Osiris op 24-12-2014 02:50 ]

woensdag 24 december 2014 02:51

Acties:

0 Henk 'm!

DaMoUsYs

Topicstarter

inderdaad, dat klopt maar daar zag ik net ook een plaatje van en die is alweer weg

Check dit en help mee!

woensdag 24 december 2014 02:51

Acties:

0 Henk 'm!

Fish

How much is the fish

@osiris

Kut ,,, je hebt gelijk .... ik zou zweren dat het er andersom stond net

nee dat hoeft niet
Links is bij mij thuis en rechts is bij mijn ouders thuis
en als mijn ouders die website bezoeken, heeft inderdaad maar 1 IP dan moet die via mijn verbinding lopen

asumptions are the mothers of all fuckups

ok andersom dan .. maak die route aan op fb5

[ Voor 15% gewijzigd door Fish op 24-12-2014 02:53 ]

Iperf

woensdag 24 december 2014 02:54

Acties:

0 Henk 'm!

Osiris

DaMoUsYs schreef op woensdag 24 december 2014 @ 02:51:
inderdaad, dat klopt maar daar zag ik net ook een plaatje van en die is alweer weg

Je gebruikt Winbox om je MikroTiks te configureren? (http://wiki.mikrotik.com/wiki/Manual:Winbox)

Ik zag op die pagina ook gewoon 'Routing' staan ergens in 't menu links, dus je kunt ook vást wel een static route in MT5 over de VPN instellen.

Volgens http://wiki.mikrotik.com/...th_interface_as_a_gateway kun je ook een interface als gateway kiezen, dus gewoon over de VPN-interface pleuren die pakketjes naar dat website-IP..

woensdag 24 december 2014 02:56

Acties:

0 Henk 'm!

DaMoUsYs

Topicstarter

Ja dat zou ik in een Juniper ook doen maar ik zie geen VPN Interface staan

Dus dat vindt ik vreemd

Check dit en help mee!

woensdag 24 december 2014 03:02

Acties:

0 Henk 'm!

Osiris

Leesvoer:

http://wiki.mikrotik.com/...remote_network_over_IPsec

http://wiki.mikrotik.com/wiki/Manual:IP/IPsec

Vooral die bovenste is denk ik wel interessant.Valt ook wel weer mee.. Misschien een extra IPSec policy op MT5?

[ Voor 15% gewijzigd door Osiris op 24-12-2014 03:05 ]

woensdag 24 december 2014 03:14

Acties:

0 Henk 'm!

DaMoUsYs

Topicstarter

dat zat ik inderdaad ook aan te denken maar dat werkt nog niet
nu geeft ie een timeout, dus zit er nog iets fout op de M2 een policy aan die kant of zo

Maar ik stop er nu ff mee, ben nu al een eindje verder in de richting
thanks

[ Voor 63% gewijzigd door DaMoUsYs op 24-12-2014 03:28 ]

Check dit en help mee!

woensdag 24 december 2014 14:43

Acties:

0 Henk 'm!

DaMoUsYs

Topicstarter

Osiris schreef op woensdag 24 december 2014 @ 03:02:
Leesvoer:

http://wiki.mikrotik.com/...remote_network_over_IPsec

http://wiki.mikrotik.com/wiki/Manual:IP/IPsec

Vooral die bovenste is denk ik wel interessant.Valt ook wel weer mee.. Misschien een extra IPSec policy op MT5?

Die bovenste is inderdaad precies wat ik bedoel denk ik maar iemand moet hem nog wel afmaken

Check dit en help mee!