weidner/computer/netz/vpn/

VPN testen mit IP-Alias

Manchmal verbindet ein VPN Netze miteinander, die keinen direkten Zugang zum VPN-Gateway haben, wie in folgendem Bild bei VPN-GW B.

Netwerkdiagram

VPN-Gateway A ist an das Netz 10.0.0.0/24 direkt angeschlossen und kann das VPN testen, wenn es die Absenderadresse 10.0.0.254 verwendet.

VPN-Gateway B auf der rechten Seite hingegen hat keine direkte Verbindung zum Netz 10.128.1.0/24, dem lokalen Traffic-Selektor. Mit der Adresse 10.128.0.254 kann es das VPN nicht testen, weil diese Adresse in keinem Traffic-Selektor auftaucht.

In dieser Konstellation benötige ich für VPN-Verbindungstest Zugang zu einem Rechner im Netz 10.128.1.0/24 oder zum Router B. Das ist nicht immer gegeben und wenn doch, dann ist es umständlich, weil ich mich auf mehreren Geräten anmelden muss.

Hier kann ich mich behelfen, indem ich eine Adresse aus dem lokalen Teil des Traffic-Selektors zusätzlich mit einer 32-Bit-Netzmaske (bei IPv4) auf die interne Schnittstelle lege. Wichtig ist, dass ich

a) eine im VPN unbenutzte Adresse verwende b) diese Adresse als Hostadresse an die Schnittstelle binde (/32 bei IPv4), damit es keine Probleme gibt, den VPN-Traffic zu den anderen Adressen weiterzuleiten.

Nun kann ich mit der Absenderadresse aus dem indirekten Netz von VPN-GW B aus das VPN in Richtung VPN-GW A testen.

Bleibt die Frage, welche Adresse ich nehme.

Eine Möglichkeit ist, eine Testadresse zu reservieren, die dann im Netz ganz rechts nicht zur Verfügung steht.

Eine andere Möglichkeit ist, einfach die Gateway-Adresse (10.128.1.254 in diesem Beispiel) zu nehmen, da üblicherweise das Gateway selbst keinen Kontakt zum Netz auf der anderen Seite aufnimmt.

Problematisch ist die Gateway-Adresse nur, wenn sie von Seite A zum Test der Konnektivität genommen wird. In diesem Fall funktioniert der Test zwar nach wie vor, er zeigt dann aber nur die Verfügbarkeit des VPN und nicht der ganzen Strecke bis zum überwachten Netz. Deshalb deaktiviere ich diese Adresse per Default am VPN-Gateway und aktiviere sie nur kurz für Verbindungstests.

Posted 2019-06-22
Tags: