Wir haben eine Reihe von Remote-Sites, die über Site-to-Site-VPN über Cisco 5505s mit unserer Hauptsite verbunden sind. Alle Remote-Sites funktionieren einwandfrei, bis auf eine. Das Besondere an der ausgefallenen Site ist, dass ihre IP-Konfiguration, zumindest für mich, ungewöhnlich ist. Die Konfiguration ist:
IP 172.130.40.18 (not the actual IP address)
Subnet 255.255.255.255
Gateway 1.64.32.46
Da sich das Gateway nicht im selben Subnetz wie die IP befindet, teilte uns das Cisco TAC mit, dass die VPN-Verbindung nicht so konfiguriert werden kann, wie sie ist. Wir wurden aufgefordert, den ISP zu bitten, die Verbindungsinformationen anders zu konfigurieren. Bisher hat der ISP nichts unternommen, um uns zu helfen.
Können wir irgendetwas tun, außer einen ISP zu finden, der kooperativer ist? Wir haben zwar Internet zum Router des ISPs (über PPPoE), aber das nützt uns nichts, wenn wir das VPN nicht konfigurieren können.
Antwort1
Unabhängig davon, wo sich die Routing-Funktion des ISP befindet, in lokalen oder Remote-Geräten, kann sie nicht als Router funktionieren, ohne einen L3-Adressraum, der neben sich selbst noch andere Knoten aufnehmen kann. Bridging (auch L2 genannt) platziert die L3-Routing-Funktion lediglich weiter weg, aber der L3-Raum muss immer noch sowohl mit dem Router als auch mit Ihrem Gateway-Knoten übereinstimmen.
Wenn Ihnen Ihr ISP also kein Subnetz zuweist, das sowohl die IP-Adresse Ihres Knotens als auch die Adresse seines Routers enthält, und er dafür wirklich kein Verständnis aufbringt, sollten Sie einen Wechsel des ISPs in Erwägung ziehen.
Möglicherweise hatten Sie jedoch Pech und erreichten am anderen Ende eine Person mit weniger Fachwissen, während deren eigentliche Techniker im Urlaub (oder so ähnlich) waren. Sie könnten einen schnellen und einfachen Test durchführen, indem Sie die Routeradresse und die von ihnen angegebene Knotenadresse vergleichen und berechnen, welche Subnetzmaske diese beiden Adressen im selben Subnetz zulässt. Probieren Sie es einfach aus und sehen Sie, was passiert.