 |
|
|
|
| Autor |
Nachricht |
waldmeister24
Anmeldungsdatum: 19.03.2005
Beiträge: 134
|
 Verfasst am:
Mi 23 Jul, 2008 17:45 |
  |
|
Hallo,
bei einem Kunden hab ich folgende Situation:
Es sind zwei Firmen mit zwei getrennten Netzen (Netz A mit IP-Kreis 192.168.1.x, Netz B mit IP-Kreis 192.168.2.x). Jeder der beiden Firmen (Vater und Sohn) haben je einen eigenen Internetzugang. Nun soll für ein paar Mitarbeiter beider Firmen ein VPN-Zugang realisiert werden. Nun war meine Idee, die beiden Router durch einen 1711VPN zu ersetzen.
Die beiden getrennten Netze und Internetzugänge sollen aber erhalten bleiben.
Nun meine Frage: Wie gehe ich am besten vor, damit folgendes funktioniert:
- 2 getrennte Netzwerke
- 2 unterschiedliche Internetzugänge
- 2 DynDNS-Dienste für die VPN-Erreichbarkeit
- VPN-Zugang für die beiden Netze
- evtl. Möglichkeit, daß ein Mitarbeiter aus Netz A auf Netz B zugreifen kann, aber nich umgekehrt
Hat jemand schon ein solches Szenario eingerichtet? Gibt es irgendwo eine Anleitung wie ich hierzu am besten vorgehe?
Ich würde mich sehr über Tipps freuen!
Grüße
waldmeister24 |
|
|
   |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4571
Wohnort: Aachen
|
| Verfasst am:
Mi 23 Jul, 2008 18:07 |
|
|
Hi waldmeister24,
das ist das perfekte Anwendungsbeispiel für ARF (Technologiepark-Szenario)... Die prinzipielle vorgehensweise ist im Referenzhandbuch Kapitel 7.7 beschrieben.
- Du richtest die beiden Netze ein und versiehst sie mit unterschiedlichen Interface Tags
- danach richtest du zwei Defaultrouten ein, die du mit den jeweiligen Tags der ihnen zugeordneten Netze versiehst. Für jede dieser Routen richtest du noch einen eigenen Provider ein.
- Bei die VPN-Verbindungen setzt du sowohl in der Routing-Tabelle, als auch an der VPN-Verbindung selbst ebenfalls das Tag des Netzes, das ihr zugerordnet sein soll.
- Wenn du getrennte Portforwardings machen willst, dann mußt du beim Forwarding zusätzlich zu den Ports auch noch den Provider angeben, für den das Forwarding gelten soll (Gegenstellen-Spalte)
fertig... Die Netze sind vollkommen voneinander getrennt - so als ob es für jedes Netz einen eigenen Router gäbe.
Wenn du nun noch für bestimmte Rechner einen Zugriff auf das jeweils anders getaggte Netz einrichten willst, dann geht das über eine passnede Firewallregel, die die Pakete mit dem Tag des jeweiligen Zielnetzes versieht:
| Code:
|
Quelle: IP-der Rechners, der auf das andere Netz zugerifen will
Ziel: IP im anderen Netz, auf die der Rechner zugreifen darf
Aktion: übertragen
Rtg-Tag: Interface-Tag des anderen Netzes
|
Gruß
Backslash |
|
|
|
|
waldmeister24
Anmeldungsdatum: 19.03.2005
Beiträge: 134
|
| Verfasst am:
Mo 28 Jul, 2008 13:08 |
|
|
Hallo backslash,
vielen Dank für deine Antwort. Ich hab in meiner Beispielkonfiguration folgendes konfiguriert:
1. Konfiguriere -> TCP/IP -> IP-Netzwerke
FirmaA / 192.168.1.254 / 255.255.255.0 / Intranet / 0 / LAN-4 / Flexibel / 1
FirmaB / 192.168.2.254 / 255.255.255.0 / Intranet / 0 / LAN-3 / Flexibel / 2
DMZ / 0.0.0.0 / 255.255.255.0 / DMZ / 0 / Beliebig / Flexibel / 0
2. Zwei Internetzugänge erstellt
- IE-FirmaA
- IE-FirmaB
3. Konfiguriere -> IP-Router -> Routing -> Routing-Tabelle
192.168.0.0 / 255.255.0.0 / 0 / Ja / 0.0.0.0 / 0 / Aus
255.255.255.255 / 0.0.0.0 / 1 / Ja / IE-FirmaA / 0 / An
255.255.255.255 / 0.0.0.0 / 2 / Ja / IE-FirmaB / 0 / An
4. Zwei VPN-Zugänge erstellt
- In der VPN-Verbindungsliste hab ich dann für den Zugang von FirmaA das Routing-Tag auf "1" gesetzt, bei FirmaB entsprechend auf "2"
- Auch in der Routing-Tabelle hab ich das Routing-Tag entsprechend angepasst
5. DynDNS-Dienst für beide Internetzugänge konfguriert
Somit sollte doch alles, zumindest grob, funktionieren, oder? Leider kommt der 1711VPN erst die nächsten Tage und das dies meine erste ARF-Konfiguration wird, dachte ich mir ich mach schon mal eine Trockenübung...
Grüße
waldmeister24
Somit sollte |
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4571
Wohnort: Aachen
|
| Verfasst am:
Mo 28 Jul, 2008 15:07 |
|
|
Hi waldmeister24
| Zitat:
|
|
Somit sollte doch alles, zumindest grob, funktionieren, oder?
|
ja...
Gruß
Backslash |
|
|
|
|
waldmeister24
Anmeldungsdatum: 19.03.2005
Beiträge: 134
|
| Verfasst am:
Mo 04 Aug, 2008 21:56 |
|
|
Hallo Backslash,
hab heute den 1711VPN so wie beschrieben konfiguriert. Bis auf einen Fehler meinerseits (unter Konfiguriere -> Schnittstellen -> Ethernet-Ports hatte ich die Interface-Verwendung nicht angepasst  ) klappte es einwandfrei.
Vielen Dank nochmal für deine Hilfe!
Grüße
waldmeister24 |
|
|
|
|
waldmeister24
Anmeldungsdatum: 19.03.2005
Beiträge: 134
|
| Verfasst am:
Di 21 Apr, 2009 16:21 |
|
|
Hallo,
jetzt muss ich nochmal diesen älteren Thread ausgraben...
Die beschriebene Konfiguration läuft immer noch (fast) einwandfrei. In den letzten Wochen ist es nun schon zweimal vorgekommen, daß eine der beiden Internetverbindungen nicht mehr funktioniert und im LAN-Monitor immer "Leitungsfehler" angezeigt wird. Nach einiger Zeit funktioniert es dann wieder.
Wäre es möglich, daß in der Zwischenzeit die Clients des betroffenen Netzes den Internetzugang des anderen Netzes mitverwenden können?
Grüße
waldmeister24 |
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4571
Wohnort: Aachen
|
| Verfasst am:
Di 21 Apr, 2009 16:57 |
|
|
Hi waldmeister24
dazu mußt du eine Firewallregel erstellen, die den Traffic aus dem einen Netz in das andere "umtaggt", so daß dessen Defaultroute genutzt wird.
| Code:
|
Aktion: akzeptieren
Quelle: lokales Netz "FirmaA"
Ziel: alle Stationen
Dienste: alle Dienste
Rtg-Tag: Tag von FirmaB
|
Diese Regel schaltest du dann über die Aktions-Tabelle ein (bei Abbruch der Verbindung) bzw. wieder aus (wenn die Verbindung wieder aufgebaut wurde):
Gruß
Backslash |
|
|
|
|
waldmeister24
Anmeldungsdatum: 19.03.2005
Beiträge: 134
|
| Verfasst am:
Di 22 März, 2011 19:02 |
|
|
Hallo,
dieser Thread ist zwar schon etwas älter, aber die o.g. Konfig läuft immer noch und ich hab wieder mal eine Frage dazu  .
Die o.g. Konfiguration soll um einen weiteren DSL-Anschluß für FirmaB erweitert werden. Dann sollten die beiden DSL-Anschlüsse von FirmaB über den Loadbalancer laufen. Soweit ist (hoffe ich zumindest) auch noch alles klar. Nur zu den Einträgen in die Routing-Tabelle hab ich noch einige Fragen:
- Bisher sah die Routing-Tabelle so aus:
192.168.0.0 / 255.255.0.0 / 0 / Ja / 0.0.0.0 / 0 / Aus
255.255.255.255 / 0.0.0.0 / 1 / Ja / IE-FirmaA / 0 / An
255.255.255.255 / 0.0.0.0 / 2 / Ja / IE-FirmaB / 0 / An
Der Eintrag für den weiteren DSL-Anschluß sieht so aus:
255.255.255.255 / 0.0.0.0 / 3 / Ja / IE-FirmaB-2 / 0 / An
Ist dies so korrekt?
Als nächstes füge ich nun folgenden Eintrag für den Loadbalancer hinzu:
255.255.255.255 / 0.0.0.0 / 2 / Ja / LOADBALANCER / 0 / An
Stimmt das so?
Für "Policy Based Routing" (z.B. für HTTPS) kann ich ja dann eine Firewall-Regel mit Routing-Tag 3 erstellen, oder?
Sollte dies so funktionieren oder hab ich einen Fehler drin?
Grüße und danke schon mal!
waldmeister24 |
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4571
Wohnort: Aachen
|
| Verfasst am:
Di 22 März, 2011 19:18 |
|
|
Hi waldmeister24
| Zitat:
|
- Bisher sah die Routing-Tabelle so aus:
192.168.0.0 / 255.255.0.0 / 0 / Ja / 0.0.0.0 / 0 / Aus
255.255.255.255 / 0.0.0.0 / 1 / Ja / IE-FirmaA / 0 / An
255.255.255.255 / 0.0.0.0 / 2 / Ja / IE-FirmaB / 0 / An
Der Eintrag für den weiteren DSL-Anschluß sieht so aus:
255.255.255.255 / 0.0.0.0 / 3 / Ja / IE-FirmaB-2 / 0 / An
Ist dies so korrekt?
Als nächstes füge ich nun folgenden Eintrag für den Loadbalancer hinzu:
255.255.255.255 / 0.0.0.0 / 2 / Ja / LOADBALANCER / 0 / An
Stimmt das so?
|
im Prinzip ja, aber... Du willst ja den Loadbalancer für FirmaB so nutzen, wie vorher die eine Leitung - was du ja dadurch kundtust, daß du den Loadbalancer mit dem Tag 2 versieht. Diese Route würde die Route IE-FirmaB überschreiben. Du mußt den beiden Leitungen für FirmaB neue Tags geben, z.B. 3 und 4, damit du dem Loadbalancer Tag 2 geben kannst.
| Zitat:
|
|
Für "Policy Based Routing" (z.B. für HTTPS) kann ich ja dann eine Firewall-Regel mit Routing-Tag 3 erstellen, oder?
|
korrekt - ggf. mußt du dann noch berücksichtigen, daß die Leitung mit dem tag 3 mal nicht verfügbar sein könnte und dann HTTPS nicht funktionieren würde. Hier hast du die Möglichkeit über die Aktionstabelle das Tag in der Regel umzusetzen - und zwar auf 3 wenn die Leitung IE-FirmaB hochkommt und auf 4 wenn sie abgebaut wird...
Gruß
Backslash |
|
|
|
|
waldmeister24
Anmeldungsdatum: 19.03.2005
Beiträge: 134
|
| Verfasst am:
Di 22 März, 2011 19:56 |
|
|
Hallo backslash,
vielen Dank für deine schnelle Antwort. Das mit den Routing-Tags werde ich anpassen. Daran hab ich auch noch gedacht, als ich den Beitrag schon abgesendet hatte...
Eine Frage ist mir noch eingefallen: Der EDV-Betreuer bei dem Kunden vor Ort hat vor ein paar Tagen schon mal etwas probiert. Scheinbar lief es auch soweit, aber zufälligerweise fiel dann der DSL-Anschluß für FirmaA aus. Nun konnte aber weder FirmaA noch FirmaB ins Internet. Daraufhin wurde die alte Konfig wieder eingespielt und es klappte wieder.
Da ja LANConfig die Änderungen immer erst speichert, hab ich mir mal diese fehlerhafte Konfig geschnappt und durchgeschaut. Dabei bin auf die Routing-Tabelle gestoßen, die wie folgt aussieht:
192.168.0.0 / 255.255.0.0 / 0 / Ja / 0.0.0.0 / 0 / Aus
255.255.255.255 / 0.0.0.0 / 1 / Ja / IE-FirmaA / 0 / An
255.255.255.255 / 0.0.0.0 / 2 / Ja / IE-FirmaB / 0 / An
255.255.255.255 / 0.0.0.0 / 3 / Ja / IE-FirmaB-2 / 0 / An
255.255.255.255 / 0.0.0.0 / 0 / Ja / LOADBALANCER / 0 / An
Kann es sein, daß aufgrund dieser Routing-Tabelle auch FirmaB nicht mehr ins Internet kam?
Grüße
waldmeister24 |
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4571
Wohnort: Aachen
|
| Verfasst am:
Mi 23 März, 2011 12:41 |
|
|
Hi waldmeister24,
| Zitat:
|
|
Kann es sein, daß aufgrund dieser Routing-Tabelle auch FirmaB nicht mehr ins Internet kam?
|
nein, eigentlich nicht... Das einzige, was da passiert, ist, daß vom Loadbalancer nur eine Leitung genutzt wird, nämlich die mit dem Tag 2, da das Netz der FirmaB schließlich das Tag 2 hat...
Was auch immer da passiert ist, müßtest du schon genauer untersuchen - ggf. auch erst mal ein Firmwareupdate durchführen (jenachdem welche Firmware im Gerät ist)
Gruß
Backslash |
|
|
|
|
waldmeister24
Anmeldungsdatum: 19.03.2005
Beiträge: 134
|
| Verfasst am:
Mi 20 Apr, 2011 19:52 |
|
|
Hallo,
so, Problem erfolgreich behoben. Eine Firewallregel war schuld dran, daß alles über einen Internetzugang gelaufen ist. Nun passt es.
Aber nun ist ein anderes Problem aufgetreten: Ab und zu funktioniert nun der Internetzugang bei FirmaB nicht mehr. Der Zugang IE-FirmaB gleicht seine IP-Adresse mit DynDNS ab. Meistens funktioniert es auch. Nun ist es aber schon ein paar Mal passiert, daß Außendienstmitarbeiter sich melden und mitteilen, daß der VPN-Zugang nicht funktioniert. Als Fehler erhalten diese im Advanced VPN Client "VPN Gateway reagiert nicht".
Der Betreuer vor Ort hat dann jeweils den DynDNS-Zugang überprüft. Der Ping funktioniert und stimmt auch mit der IP-Adresse im LANMonitor überein. Er hat dann jeweils die IP-Adresse vom Zugang IE-FirmaB-2 bei DynDNS manuell eingefügt und schon funktionierte es jeweils.
Hat jemand eine Idee warum hier die VPN-Verbindung trotz aktueller DynDNS-Adresse nicht funktioniert? Liegt hier der Fehler in der Konfig des Routers oder könnte der Fehler eher bei DynDNS liegen?
Jetzt noch eine Frage zu den Routing-Tags. Die Routing-Tabelle sieht nun wie folgt aus:
192.168.0.0 / 255.255.0.0 / 0 / Ja / 0.0.0.0 / 0 / Aus
255.255.255.255 / 0.0.0.0 / 4 / Ja / IE-FirmaB-2 / 0 / An
255.255.255.255 / 0.0.0.0 / 3 / Ja / IE-FirmaB / 0 / An
255.255.255.255 / 0.0.0.0 / 2 / Ja / LOADBALANCER / 0 / An
255.255.255.255 / 0.0.0.0 / 1 / Ja / IE-FirmaA / 0 / An
Muss ich nun bei den VPN-Zugängen (Verbindungsliste), den Firewallregeln und sonst noch irgendwo überall die Routing-Tags anpassen oder wäre dies nur bei bestimmten Anforderungen nötig? Momentan ist überall das Tag 0 gesetzt.
Vielen Dank schon mal!
Grüße
waldmeister24 |
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4571
Wohnort: Aachen
|
| Verfasst am:
Do 21 Apr, 2011 11:52 |
|
|
Hi waldmeister24
| Zitat:
|
Er hat dann jeweils die IP-Adresse vom Zugang IE-FirmaB-2 bei DynDNS manuell eingefügt und schon funktionierte es jeweils.
Hat jemand eine Idee warum hier die VPN-Verbindung trotz aktueller DynDNS-Adresse nicht funktioniert? Liegt hier der Fehler in der Konfig des Routers oder könnte der Fehler eher bei DynDNS liegen?
|
Hier wäre es sinnvoll, im Fehlerfall mal auf die VPN-Regeln zu schauen (show VPN) und auch mal einen VPN-Status-Trace von der scheiternden Einwahl. Ggf. müßte auch noch mitgeschnitten werden, was zwischen dem LANCOM und dem externen Modems im Fehlerfall so abläuft (nur um zu sehen, ob die IKE-Pakete überhaupt beim LANCOM ankommen, oder ob sie vorher gefiltert wurden).
Ggf. solltest du vorher auf die 8.50 wechseln.
| Zitat:
|
Muss ich nun bei den VPN-Zugängen (Verbindungsliste), den Firewallregeln und sonst noch irgendwo überall die Routing-Tags anpassen oder wäre dies nur bei bestimmten Anforderungen nötig? Momentan ist überall das Tag 0 gesetzt.
|
Die Routing-Tags in der VPN-Verbindungsliste sind nur für abgehende Verbindungen notwendig, um die Route auszuwählen, über die das remote Gateway erreicht wird. Bei einkommenden Verbindungen werden sie ignoriert.
Gruß
Backslash |
|
|
|
|
waldmeister24
Anmeldungsdatum: 19.03.2005
Beiträge: 134
|
| Verfasst am:
Mi 27 Apr, 2011 20:15 |
|
|
Hallo backslash,
vielen Dank erst mal wieder für deine Antworten!
Wir haben jetzt den Zugang auf eine feste IP-Adresse umgestellt und warten erst mal ab, ob das Problem noch mal auftaucht.
Jetzt sind wir aber nochmal auf was gestoßen: Wenn ich nun an einem Client im Netz von FirmaA bin und auf die externe IP-Adresse des Internetzugangs von FirmaB pingen möchte, bekomme ich keine Antwort, ebenso wenn ich im Netz von FirmaB auf die IP-Adresse von FirmaA pingen möchte. Ist dies so gewollt oder ein Konfigurationsfehler?
Grüße
waldmeister24 |
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4571
Wohnort: Aachen
|
| Verfasst am:
Do 28 Apr, 2011 12:07 |
|
|
Hi waldmeister24
also, wenn du kein Ping-Blocking an hast, sollte das funktionieren. Mach mal einem Ethernet-, IP-Router- und ICMP-Trace vom ping, um nachzuschauen was passiert. Achte bei den Traces darauf, daß du die Telnet/SSH-Session, mit der du auf dem LANCOM bist nicht mitscheidest. Am besten schränkt du die Traces wie folgt ein:
trace # eth ip-ro icmp @ +icmp -tcp
Dadurch wird im Ethernet-, Router- und ICMP-Trace alles mitgeschnitten, was "ICMP" enthält, aber kein "TCP" - letzeteres unterdrückt das mitschneiden der Telnet-Session...
Gruß
Backslash |
|
|
|
|
|
|
|
|
| |
|
|
