Bintec be.IP/Secure Client - Routing in zwei Netze

[Fighter456]

Guten Abend,

da stundenlange Recherche im Internet leider nicht zum gewünschten Erfolg geführt hat, versuche ich mein Problem mal darzulegen und vielleicht die Lösung für mein Problem zu bekommen.

Vorab einmal die Rahmenbedingungen:

• (bintec) be.IP Plus als Router (192.168.1.254)
  Hauptnetz: 192.168.1.0/24 (was die be.IP verwaltet)
  Zweitnetz: 192.168.2.0/24 (was ein weiterer Router (192.168.2.254) verwaltet)
• (bintec) Secure IPsec Client

Die be.IP ist direkt über ein LAN-Kabel mit einem Switch verbunden, wo auch der Router des zweiten Netzes direkt angeschlossen ist. Die LAN-Schnittstelle der be.IP hat die IP-Adressen 192.168.1.254 und 192.168.2.253 zugewiesen. Ein Ping auf den Router des Zweitnetzes über "Wartung --> Diagnose" funktioniert auch problemlos, weshalb davon auszugehen ist (und ich auch überzeugt bin), dass das Zweitnetz für die be.IP ansprechbar ist.

Mein Problem:

Über einen VPN-Einwahlzugang welcher in der be.IP eingerichtet ist verbindet sich mein Endgerät mit Hilfe des Secure IPsec Clients mit dem Hauptnetz. Mit Hilfe der "Split Tunneling" - Einstellung wird gesteuert das auch nur das entsprechende Netz über den VPN geroutet wird. Dies funktioniert auch problemlos.

Nun will ich über den VPN auch direkten Zugriff auf das Zweitnetz haben. Defacto habe ich die "Split Tunneling" - Einstellung im VPN-Client um das Zweitnetz erweitert und via "tracert" überprüft ob entsprechende Anfragen über den VPN versucht werden zu routen. Leider bricht die Routenverfolgung am Router des Hauptnetzes ab. Er weiß anscheinend nicht was er damit anfangen soll und verwirft die Anfrage.

Über "Netzwerk --> Routen" habe ich bereits versucht dem Router klarzumachen, das er Anfrage an die an meiner VPN-Schnittstelle für das Netz 192.168.2.0/24 über die lokale LAN-Schnittstelle (LAN_EN1-0) leiten soll.

• Routentyp: Netzwerkroute via Schnittstelle
• Schnittstelle: LAN_EN1-0
• Routenklasse: Erweitert
• Ziel-IP-Adresse/Netzmaske: 192.168.2.0 / 24
• Lokale IP-Adresse: 192.168.1.254
• Quellschnittstelle: IPSEC_Test
• Quell-IP-Adresse / Netzmaske: 0.0.0.0 / 24
• Layer 4 - Protokoll: Beliebig
• Quellport: Beliebig
• Zielport: Beliebig
• DSCP/TOS-Wert: Nicht beachten
• Modus: Wählen und warten

Hat jemand so ein Vorhaben bereits erfolgreich in die Tat umgesetzt, sieht meinen Fehler und kann mir einen Denkanstoß für den richtigen Lösungsweg geben?

Vielen Dank!

[tmp]

Ist das Quellsubnetz richtig? (0.0.0.0 bis 0.0.0.255)

[RipperFox]

Am 13.8.2020 um 21:35 schrieb Fighter456:

(bintec) Secure IPsec Client

Und dieser bekommt dann was für eine IP aus welchem Netz?

Am 13.8.2020 um 21:35 schrieb Fighter456:

Er weiß anscheinend nicht was er damit anfangen soll und verwirft die Anfrage.

Ich vermute eher, der zweite Router (192.168.2.254) weiß nicht wohin er die Pakete für das Netz des IPsec Clients werfen soll - der Rückweg fehlt also..