LANCOM-Forum.de

Das inoffizielle Profi-Forum für LANCOM-User
Aktuelle Zeit: 19 Jan 2018, 07:55

Alle Zeiten sind UTC + 1 Stunde [ Sommerzeit ]




Ein neues Thema erstellen Auf das Thema antworten  [ 12 Beiträge ] 
Autor Nachricht
BeitragVerfasst: 31 Dez 2017, 16:28 
Offline

Registriert: 29 Mär 2014, 19:21
Beiträge: 17
Hallo!

Folgendes Szenario:
Standort A (Zentrale): 10.0.0.0/24
Standort B: 192.168.0.0/24

Wichtig:
- Standort B hat als Standard-GW eine Sophos UTM auf 192.168.0.254
- Standort B bekommt von uns einen LANCOM-Router auf der IP 192.168.0.6 und dieser baut über die Sophos UTM eine VPN-Verbindung zu unserer Zentrale auf.

Die VPN-Verbindung steht bereits und ist stabil.

Folgendes bildliches Problem:
Ich möchte eine beliebige IP-Verbindung ausgehend von Rechner x aus Netz A (z.B. 10.0.0.100) auf einen Rechner y in Netz B (z.B. 192.168.0.50) aufbauen.
Das Problem dabei: Rechner y sieht die IP von Rechner x aus Netz A. Also 10.0.0.100 und beantwortet die Pakete über sein Standard-GW 192.168.0.254. Dort verpuffen die Pakete natürlich, da das standard-GW nichts von unserem Netz 10.0.0.0 weiß und das soll/muss auch so bleiben.

Vorstellung einer Lösung: Jeglicher Datenverkehr, der von A nach B fließt, müsste über die IP des LANCOMs aus B (also 192.168.0.6) maskiert werden, sodass alle Antworten aus B wieder an den LANCOM zurück fließen und dieser dann über das VPN antworten kann.

Eigentlich müsste das gehen, denn ein solches Szenario dürfe nicht unüblich sein. Ich habe nur noch keinen Weg gefunden das einzustellen.
Ich hoffe mir kann hier jemand behilflich sein?

Besten Dank und Grüße
Martin


Nach oben
 Profil  
 
BeitragVerfasst: 04 Jan 2018, 13:09 
Offline

Registriert: 29 Mär 2014, 19:21
Beiträge: 17
Ich vermute meine Frage war zu kompliziert denn hierfür MUSS es eigentlich eine Lösung geben.

So sieht es schematisch aus:
Code:
LAN A -> {LANCOM 7100+} ~~~> [VPN] ~~~> {LANCOM 1711+} -> LAN B


Der LANCOM 7100 hat im LAN A die IP-Adresse 10.0.0.34
Der LANCOM 1711+ hat im LAN B die IP-Adresse 172.18.0.1

ALLES was von LAN A nach LAN B geht, muss durch den 1711+ mit seiner eigenen IP maskiert werden. Sprich: 172.18.0.1 sonst kommen die Pakete nie zurück, da der 1711+ nicht das Default-GW im LAN B ist.

Ein Zugriff von B nach A ist ohnehin nicht erwünscht. Es soll lediglich aus A auf B zugegriffen werden.
Unter Linux mit IPTABLES ein Einzeiler:
iptables -t nat -A POSTROUTING -o eth0 -s 10.0.0.0/24 -j MASQUERADE

Fertig. Damit wird alles was auf dem Interface eth0 raus geht und aus dem Netz aus LAN A kommt mit der IP des Routers maskiert. Funktioniert bestens.
Im LANCOM suche ich mich schon seit Tagen dusselig nach einer analogen Einstellung und finde nichts.


Nach oben
 Profil  
 
BeitragVerfasst: 04 Jan 2018, 13:25 
Offline
Benutzeravatar

Registriert: 17 Apr 2013, 21:50
Beiträge: 1515
Wohnort: zw. Chemnitz und Annaberg-Buchholz
Hi,

ich denke so einfach ist es nicht, wie Du Dir das vorstellst. Denn es handelt sich nicht einfach um Routing, wo man eben mal maskiert, sondern gleichzeitig um VPN-Netzbeziehungen/SA's. Bei IKEv1 braucht man dazu vermutlich den aggressiv Mode. IKEv2 beherrscht der 1711+ nicht. Da können andere VPN-Spezies vielleicht auch noch mehr dazu sagen.

Aber wie wäre es denn, den 1711+ im Netz B als Standardgateway zu machen? Und dieser leitet allen sonstigen Traffic dann an die Sophos 192.168.0.254 weiter? Die Firewall im 1711+ könnte dann auch Zugriffe von Netz B ins Netz A verhindern.

Alternativ könnte man an den Clients im Netz B mit "route add 10.0.0.0 mask 255.255.255.0 192.168.0.6 -p" arbeiten.

Gruß Bernie

_________________
Man lernt nie aus.


Nach oben
 Profil  
 
BeitragVerfasst: 04 Jan 2018, 13:51 
Offline

Registriert: 29 Mär 2014, 19:21
Beiträge: 17
Hallo und vielen Dank für die Rückmeldung!

Der Gedanke hinter diesem Szenario ist folgender (weswegen Deine Alternativoptionen leider nicht gehen):
Wir möchten unseren Kunden den Support der von uns gelieferten Server-Hardware anbieten. Es handelt sich also um ein Fremdnetz, dessen Administration nicht in unser Aufgabenbereich fällt. Daher kann und will ich die LANCOM-Router die ich liefere nicht als Standardgateway in das Kundennetz integrieren. Das es sich hierbei um einen alten 1711+ handelt liegt z.Zt. auch nur daran, weil ich momentan erste praktische Gehversuche durchführe. Für das spätere Rollout sollen aktuelle günstige "Wurf-Router" von LANCOM zum Einsatz kommen (z.B. 1631E) die dann vermutlich auch IKEv2 beherrschen.
Ich möchte also ein Plug&Play System haben. Die Idee dahinter ist einfach die, dass ich einen LANCOM Router bei uns vorkonfiguriere, mit einer IP aus dem Kundennetz versehe, alles zum Kunden per Post verschicke und es dann dort "einfach funktioniert" ohne das ich irgend welche Änderungen am Fremdnetz durchführen muss. Die einzige wahrscheinliche Anpassung am Kundennetz sollte die Öffnung einer möglicherweise vorhandenen Firewall für unser VPN-Aufbau sein.

Da es sich (zumeist) um von uns gelieferte und administrierte Hardware handelt, kann ich natürlich diese Rück-Route (route add ... -p) in deren Betriebssysteme integrieren - von daher handelt es sich bei einer Nichtdurchführbarkeit noch um keinen Weltuntergang. Allerdings würde diesen zusätzlichen und aus meiner Sich unnötigen Administrationsaufwand jedoch sehr gern gar nicht erst durchführen müssen. Denn spätestens wenn wir mal Drucker auf diese Weise administrieren müssen hört es mit solchen alternativen Routings-Einträgen schlicht auf, da man diese Geräte in der Regel nicht so "komplex" einstellen kann.

Eine Maskierung würde doch eigentlich gar nicht das VPN selbst betreffen. Es soll ja erst ab LAN-Ausgang des Routers im Netz B maskiert werden und nicht schon auf Seiten des VPN selbst. Das sollte doch dann gar keinen Einfluss auf die SAs haben.


Nach oben
 Profil  
 
BeitragVerfasst: 04 Jan 2018, 15:10 
Offline
Benutzeravatar

Registriert: 17 Apr 2013, 21:50
Beiträge: 1515
Wohnort: zw. Chemnitz und Annaberg-Buchholz
Ok, verstanden. Also Fremdnetz.

Wir haben mit einem Lancom Router eine VPN-Verbindung zu einem Portal, wo man sich quasi nur mit einem VPN-Client Zugang einwählen könnte. Vom Prinzip her ist auf der Gegenseite (bei Dir Kunde) ein Client Zugang eingerichtet. Da gibt es auch den Assistenten im LANconfig dafür. Auf unserer Seite übernimmt die VPN-Einwahl aber stellvertretend für alle Benutzer unseres LANs der Lancom, die merken also davon nichts und brauchen auch keinerlei VPN-Clientsoftware.
Dazu müsste man im 7100+ in der Routing Tabelle die Route zum Netz 192.168.0.0 auf maskiert stellen, weiterhin die VPN-Verbindung auf Aggressiv-Mode, IKE-CFG und XAUTH steht bei uns auf Client. Unter PPP-Liste stehen dann die Clientzugangsdaten drin. Bei IKE-Schlüssel und -Identitäten wird die entfernte öffentliche IP-Adresse benutzt. Ziel ist quasi, dass Euer 7100+ sich als Client am 1711+ anmeldet unbd dort stellvertretend eine IP aus dem Kundennetz bekommt und damit maskiert.

Vielleicht lässt sich das ganze zwischen zwei Lancom Routern auch intelligenter einrichten, bei uns ist die Gegenstelle halt irgendwas anderes, was wir nicht erfahren haben.

Aber nochmal der Hinweis, Aggressiv-Mode gilt als unsicher.

Gruß Bernie

_________________
Man lernt nie aus.


Nach oben
 Profil  
 
BeitragVerfasst: 04 Jan 2018, 16:15 
Offline

Registriert: 29 Mär 2014, 19:21
Beiträge: 17
Hm, das klingt für mich nach einem Vorgang den ich für mich nicht adaptieren kann. Da bin ich ggf aber auch technisch nicht versiert genug weil ich die ganze VPN-Technik dahinter zugegebenermaßen nur laienhaft verstehe.
Es klingt aber auch so, dass auf diese Weise unser 7100 die Verbindung aktiv zum Kunden aufbauen müsste und das möchte ich natürlich nicht so gern. Das bringt nämlich zwei Probleme mit sich:
1. Unser 7100+ weiß nichts über den Kunden. Gibt es also mal dort Probleme oder versagt z.B. unsere Internetverbindung, würde der 7100er versuchen sich sporadisch bei (ich übertreibe jetzt mal etwas) 100 Kunden en Block einzuwählen und irgendwie klingt das für mich nicht so prickelnd.
2. Das wesentlich größere Problem bei diesem Vorgehen: Kundenseitig müsste es ermöglicht werden eine von außen eingehende VPN-Verbindung auf Basis von IPSEC auf unseren Router weiter zu leiten und das scheint extreme Probleme zu verursachen da IPSEC nicht einfach nur ein simples Portforwarding ist (was die meisten Consumer-Router da draußen als oberstes Gut gerade noch so verstehen). Abgesehen davon würde es voraussetzen, dass Kundenseitig selbst kein eingehender IPSEC-Verkehr verwendet wird. Es gibt aber durchaus Kunden mit FritzBoxen die selbst ein VPN auf Ihrem router nutzen. Ich wüsste nicht wie das dann noch gehen soll.

Unterm Strich ist es nur sinnvoll, wenn der Router kundenseitig aktiv die Verbindung mit unserer Zentrale aufnimmt und nicht umgekehrt.


Nach oben
 Profil  
 
BeitragVerfasst: 04 Jan 2018, 16:17 
Offline
Benutzeravatar

Registriert: 03 Jan 2005, 14:39
Beiträge: 3717
Wohnort: Ex-OPAL-Gebiet
Hallo Martin,

ein LANCOM kann nur auf WAN-Verbindungen maskieren. Mit diesem einen wichtigen Satz ist eigentlich alles gesagt.
Und noch ein Tipp: Eine DSL-Schnittstelle (z. B. DSL-1) kann auch mehreren Ethernet-Ports zugewiesen werden (eigentlich auch logisch, aber manch einer kommt da nicht drauf).

Viele Grüße,
Jirka

_________________
13 Jahre LANCOM-Forum — 13 Jahre Kompetenz in Sachen LANCOM.


Nach oben
 Profil  
 
BeitragVerfasst: 04 Jan 2018, 19:10 
Offline
Benutzeravatar

Registriert: 17 Apr 2013, 21:50
Beiträge: 1515
Wohnort: zw. Chemnitz und Annaberg-Buchholz
Jirka hat geschrieben:
ein LANCOM kann nur auf WAN-Verbindungen maskieren. Mit diesem einen wichtigen Satz ist eigentlich alles gesagt.
Nein Jirka, die VPN läuft bei uns maskiert! Es wurden nie Netzbeziehungen auf der Gegenseite zu unserem Netz eingepflegt!

_________________
Man lernt nie aus.


Nach oben
 Profil  
 
BeitragVerfasst: 04 Jan 2018, 21:07 
Offline
Benutzeravatar

Registriert: 03 Jan 2005, 14:39
Beiträge: 3717
Wohnort: Ex-OPAL-Gebiet
Die VPN ist dann aber auch eine Verbindung, hat dann also einen Namen.
Außerdem hat eine Maskierung auch immer eine Richtung. Beim Threadstarter scheint das lokale LAN des LANCOM-Routers gleich dem lokalen LAN im Intranet zu sein. Wenn man maskieren will, muss aber das lokale LAN des LANCOM-Routers "hinter" dem lokalen LAN des Intranets sein.

_________________
13 Jahre LANCOM-Forum — 13 Jahre Kompetenz in Sachen LANCOM.


Nach oben
 Profil  
 
BeitragVerfasst: 05 Jan 2018, 20:38 
Offline

Registriert: 29 Mär 2014, 19:21
Beiträge: 17
Hallo und danke an Jirka für den Hinweis mit dem DSL

Ich denke ich habe es verstanden und habe nun folgende funktionierende Lösung gefunden:
- Der Kunden-LANCOM bekommt eine einzelne IP aus einem Pool den ich als VPN-Transport ansehe. Z.b. 192.168.172.1/32
- Der Kunden-LANCOM bekommt eine zweite IP aus dem lokalen Netz des Kunden (damit er das Internet überhaupt erreicht)
- Der Kunden-LANCOM baut eine DSL-Verbindung für die dem Kunden zugewiesene VPN-Intranetadresse über den WAN-Port auf. Z.b. 172.18.0.0/28
- Im Routing des Kunden-LANCOM wird die 172.18.0.0/28 maskiert
- Über VPN wird die 192.168.172.1/32 und die 172.18.0.0/28 transportiert

Auf diese Weise kann ich unseren Servern beim Kunden eine zweite IP aus dem VPN-Intranet verpassen und muss dort nichts weiter beachten. Ich brauche dort dann keine manuelle Rück-Route für unser 10.0.0.0er Netz aus der Firma, da alle eingehenden Pakete auf dem 172.18.0.0er Netz vom LANCOM des Kunden maskiert werden

Die Nachteile dieser Variante sind:
- Es müssen nun zwei IP-Netze über das VPN geroutet werden was die SAs auf unserer Seite verdoppelt (?)
- Es müssen nun zwei Routing-Einträge pro Kunde in unserem LANCOM 7100+ statt nur eine einzige hinterlegt werden und AFAIK ist da eine Grenze bei 256.

Vermutlich sind die genannten Nachteile in der Praxis aber keine wirklichen Nachteile

Viele Grüße
Martin


Nach oben
 Profil  
 
BeitragVerfasst: 05 Jan 2018, 21:39 
Offline
Benutzeravatar

Registriert: 03 Jan 2005, 14:39
Beiträge: 3717
Wohnort: Ex-OPAL-Gebiet
mfernau hat geschrieben:
- Es müssen nun zwei IP-Netze über das VPN geroutet werden was die SAs auf unserer Seite verdoppelt (?)

Musst Du ja nicht, das eine betreffende Netz reicht ja auch. Einzig die VPN-Regeln müsstest Du halt manuell anlegen, was aber kein Problem darstellt. Allenfalls das Polling zum Prüfen der VPN-Verbindung könnte eine lokale IP erwarten, das weiß ich jetzt auch nicht aus dem Kopf.

mfernau hat geschrieben:
- Es müssen nun zwei Routing-Einträge pro Kunde in unserem LANCOM 7100+ statt nur eine einzige hinterlegt werden und AFAIK ist da eine Grenze bei 256.

Also so schnell kommt man da glaube ich nicht an Grenzen, was sollen die machen, die 1.000 VPN-Verbindungen laufen haben?

Viele Grüße,
Jirka

_________________
13 Jahre LANCOM-Forum — 13 Jahre Kompetenz in Sachen LANCOM.


Nach oben
 Profil  
 
BeitragVerfasst: 05 Jan 2018, 22:56 
Offline

Registriert: 29 Mär 2014, 19:21
Beiträge: 17
Jirka hat geschrieben:
[...] Allenfalls das Polling zum Prüfen der VPN-Verbindung könnte eine lokale IP erwarten, das weiß ich jetzt auch nicht aus dem Kopf.

Exakt. Die erste lokale IP verwendet das vpn zum keep alive. Wenn ich die nicht über das vpn route, bricht die Verbindung im idle Zustand alle 30 Sekunden zusammen und wird anschließend neu aufgebaut. Deswegen route ich diese ebenfalls. Das manuelle anlegen der vpn routen ist kein Problem. Das habe ich mir schon angesehen und praktisch umgesetzt.

Ich denke so werde ich es machen. Danke für die Inputs :-)

Grüße
Martin


Nach oben
 Profil  
 
Beiträge der letzten Zeit anzeigen:  Sortiere nach  
Ein neues Thema erstellen Auf das Thema antworten  [ 12 Beiträge ] 

Alle Zeiten sind UTC + 1 Stunde [ Sommerzeit ]



Ähnliche Themen
 Themen   Autor   Antworten   Zugriffe   Letzter Beitrag 
Es gibt keine neuen ungelesenen Beiträge in diesem Thema. LANCOM VPN Router hinter einem SDSL Router

Hart

5

5041

27 Sep 2005, 18:52

Hart Neuester Beitrag

Es gibt keine neuen ungelesenen Beiträge in diesem Thema. Rechner hinter VPN-Tunnel (Router-Router) nur pingbar

Henno

1

13905

17 Okt 2012, 17:21

Henno Neuester Beitrag

Es gibt keine neuen ungelesenen Beiträge in diesem Thema. VPN Client hinter DSL-Router

MarkusH

4

3574

19 Jun 2007, 17:26

MarkusH Neuester Beitrag

Es gibt keine neuen ungelesenen Beiträge in diesem Thema. VPN Lan-Lan hinter DSL-Router mit dynamischer IP

whitesharky

4

1639

22 Nov 2007, 15:10

whitesharky Neuester Beitrag

Es gibt keine neuen ungelesenen Beiträge in diesem Thema. VPN hinter QSC oder Lancom Router

iccw97318

3

3056

25 Okt 2005, 14:40

iccw97318 Neuester Beitrag

 


Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 10 Gäste


Du darfst keine neuen Themen in diesem Forum erstellen.
Du darfst keine Antworten zu Themen in diesem Forum erstellen.
Du darfst deine Beiträge in diesem Forum nicht ändern.
Du darfst deine Beiträge in diesem Forum nicht löschen.
Du darfst keine Dateianhänge in diesem Forum erstellen.

Suche nach:
Gehe zu:  
cron
Powered by phpBB® Forum Software © phpBB Group