sslug-teknik team mailing list archive

[Jon Bendtsen <bendtsen@xxxxxxx>]

On 20/01/2008, at 17.21, Per Jørgensen wrote:

> Hej Sslug.
> Jeg er rendt ind i et problem som jeg ikke kan få løst. Efter  
> gentagne gange at have problemer med VPN omkring netværksmaske -  
> valgte vi at skifte helt væk - til et andet netværk. Problemet som  
> så :
>
> LAN: 172.16.50.0/23 DMZ: 172.16.40.0/24
> WAN: 87.xxx.142.30/28
>
> Vores nye firewall er en Ipcop installation som netop kan håndtere  
> vores IP-net af offentlige IP-adresser. Dog er problemet selve vores  
> VPN - som er en zyxel Zywall 35. Den er tilsluttet i DMZ zonen som  
> 172.16.40.2 - hvor jeg på indersiden har givet den en IP der hedder  
> 172.16.51.1.
> Min DHCPzone ligger i 172.16.50.100 - 172.16.50.250! og kører på en  
> intern maskine
> Derfor tænkte jeg på om man kunne tvinge en gateway igennem for de  
> klienter der kommer igennem VPN.Dvs at de klienter der kommer fra  
> 172.16.51.0/24 netværket har en gateway der hedder 172.16.51.1
> Jeg kan også oprette forbindelser til vores kontor mm i Jylland. Men  
> jeg kan ikke komme igennem til maskinerne! Jeg kan oprette  
> forbindelse fra den ene Firewall til den anden! ingen fejl i log.  
> Men jeg kan ikke komme videre på hver sin side af disse firewalls.
> Den Router i Jylland har et netværk 192.168.1.0/24 oger en Zywall 2  
> router - Men hvis jeg pinger denne adresse - Når forbindelsen er  
> oprettet - får jeg følgende svar # ping 192.168.1.1
> PING 192.168.1.1 (192.168.1.1) 56(84) bytes of data.
> From 80.162.89.13 icmp_seq=2 Destination Net Unreachable

Bliver der routet korrekt?

Hvis du nu starter en VPN, og pinger fra clienten ind til en maskine  
på DMZ.
Så kører du en tcpdump på alle maskiner indvolveret, dvs. client, VPN  
server
router, og serveren. Derefter ser du hvor problemet er.



JonB