guten abend zusammen,
viele wege fuehren nach rom - meine bisher eher nicht wirklich dahin wo ich moechte.
habe hier im forum jetzt auch zwei stunden gesucht - aber nicht wirklich die loesung gefunden. vielleicht koennen mir die profis hier ja den weg zeigen?
setup:
1 x 1711 (lcos 7.26) zentrale angebunden ueber 2 x t-dsl-business mit 2 x feste ip
1 x 1711 (lcos 7.26) aussenstelle angebunden ueber 1 x t-dsl-business mit 1 x feste ip
3 x winxp lc advanced client auf mitarbeiter laptops
anforderung:
1) netzwerk 1711-aussenstelle soll auf (anderes)netzwerk 1711-zentrale per vpn zugreifen koennen
- nur auf gewisse server nicht das ganze netzwerk
- verbindung sollte auch wenn aufbau von zentrale erfolgt nach moeglichkeit (aber nicht zwingend - backup!) eine bestimmte der beiden dsl lines benutzen
- fuer diese verbindung sollte dynamisch eine gewisse bandbreite garantiert (aber nicht dauernd freigehalten) sein
2) 3 externe lc advanced clients sollten von aussen wie oben auch nur auf bestimmte server in der zentrale zugreifen koennen und auch hier sollte dynamisch eine gewisse mindestbandbreite die sich untereinander und auch mit der zentralverbindung auspegeln zugewiesen werden.
die vpn verbindung zentrale - aussenstelle laeuft komprimiert und auf anhieb voellig stabil
... und wie sag ichs jetzt in moeglichst wenigen und uebersichtlichen regeln meinem lancom dass er das oben auch noch macht :-)
hoffe ihr koennt mir helfen
erstmal schon vielen dank
tom63
vpn zugriffe und bandbreite durch firewall regeln
Moderator: Lancom-Systems Moderatoren
immer noch nicht weitergekommen
hallo nochmal,
tja - bin immer noch nicht weitergekommen - internetzugang mit backup, loadbalancer, vpn lan-lan koppelung - war alles kein problem.
aber mit dieser sache mit den ip-beschraenkungen ueber vpn und der bandbreiten vergaben komm ich nicht weiter.
ist hier wirklich niemand der den durchblick hat und helfen kann?
gruesse
tom63
tja - bin immer noch nicht weitergekommen - internetzugang mit backup, loadbalancer, vpn lan-lan koppelung - war alles kein problem.
aber mit dieser sache mit den ip-beschraenkungen ueber vpn und der bandbreiten vergaben komm ich nicht weiter.
ist hier wirklich niemand der den durchblick hat und helfen kann?
gruesse
tom63
Zugriffe regeln
wieder mal hallo,
so teil 1 regeln der zugriffe ueber vpn geschafft:
Name|Prot.|Source|Destination|Action|Linked|Prio|Firewall|VPN-Rule|Stateful|Rtg-tag
VPN_ALLOW|ANY|ANYHOST|VPN_ALLOW0|%Lcds0 @v %A|No|0|Yes|No|Yes|0
VPN_DENY|ANY|ANYHOST|%A192.168.1.0 %M255.255.255.0|%Lcds0 @v %R %N|No|0|Yes|No|Yes|0
VPN_ALLOW0 %A192.168.144.30 %A192.168.144.10-192.168.144.20
ob das so jetzt aber der beste und kuerzeste weg ist? na ja vielleicht schaut ja doch noch mal einer (\) drueber und hat mir dann noch einen tip fuer die bandbreiten.
tom63
so teil 1 regeln der zugriffe ueber vpn geschafft:
Name|Prot.|Source|Destination|Action|Linked|Prio|Firewall|VPN-Rule|Stateful|Rtg-tag
VPN_ALLOW|ANY|ANYHOST|VPN_ALLOW0|%Lcds0 @v %A|No|0|Yes|No|Yes|0
VPN_DENY|ANY|ANYHOST|%A192.168.1.0 %M255.255.255.0|%Lcds0 @v %R %N|No|0|Yes|No|Yes|0
VPN_ALLOW0 %A192.168.144.30 %A192.168.144.10-192.168.144.20
ob das so jetzt aber der beste und kuerzeste weg ist? na ja vielleicht schaut ja doch noch mal einer (\) drueber und hat mir dann noch einen tip fuer die bandbreiten.
tom63
Hi Tom63
Dann trägst du genau dieses Routing-Tag in der VPN-Verbindungsliste für die Gegenstelle ein. Wenn du ein Backup haben willst, dann erstellst du für die Gegenstelle einen Eintrag in der Tabelle "Weitere entfernte Gateways" und trägst dort (neben der Adresse des Gatewys) das Routing-Tag der zweiten DSL-Verbidnung ein.
BTW: auch in der bereits von dir erstellten Regel solltest du als Quelle nicht ANYHOST stehen haben, sondern das Netz der Außenstelle...
Gruß
Backslash
das hast du ja schon gelöst...1) netzwerk 1711-aussenstelle soll auf (anderes)netzwerk 1711-zentrale per vpn zugreifen koennen
- nur auf gewisse server nicht das ganze netzwerk
Das geht über Routing-Tags. Lege für jede der beiden Leitungen in der Routing-Tabelle eine Default-Route an und vergebe verschiedene Routing-Tags (z.B. 1 und 2).- verbindung sollte auch wenn aufbau von zentrale erfolgt nach moeglichkeit (aber nicht zwingend - backup!) eine bestimmte der beiden dsl lines benutzen
Dann trägst du genau dieses Routing-Tag in der VPN-Verbindungsliste für die Gegenstelle ein. Wenn du ein Backup haben willst, dann erstellst du für die Gegenstelle einen Eintrag in der Tabelle "Weitere entfernte Gateways" und trägst dort (neben der Adresse des Gatewys) das Routing-Tag der zweiten DSL-Verbidnung ein.
Dann setze an die bereits erstellte Allow-Regel die passende Bandbreitenreservierung (globale Mindestbandbreite, ggf. erzwungen, nur auf VPN-Route)- fuer diese verbindung sollte dynamisch eine gewisse bandbreite garantiert (aber nicht dauernd freigehalten) sein
Das läuft letztenedlich auf das gleiche heraus, wie schon bei der vorhandene n Allow-regel, nur daß du als Quelle nicht ANYHOST sondern entweder die den Clients zugewiesenen Adressen (bei statischer Vergabe) oder die Namen der Clients verwendest (Eine bestimmte Gegenstelle). Natürlich mußt du acuh hier die Mindestbandbreite konfigurieren2) 3 externe lc advanced clients sollten von aussen wie oben auch nur auf bestimmte server in der zentrale zugreifen koennen und auch hier sollte dynamisch eine gewisse mindestbandbreite die sich untereinander und auch mit der zentralverbindung auspegeln zugewiesen werden.
BTW: auch in der bereits von dir erstellten Regel solltest du als Quelle nicht ANYHOST stehen haben, sondern das Netz der Außenstelle...
Gruß
Backslash
hallo backslash,
erstmal vielen dank fuer die schnelle und ausfuehrliche antwort.
als "lancom-neuling" muss ich das jetzt erstmal sacken lassen - und am wochenende ausprobieren :-)
bis jetzt kann ich aber schonmal sagen dass es mir sehr gut gefallen hat, wie man mit den assistenten sehr schnell zu einem funktionierenden internetzugang mit loadbalancing und isdn backup und einer sehr stabilen vpn lan-lan kopplung kommt - und trotzdem die option hat das ganze dann noch viel detaillierter anzupassen. das war bei unseren bisher verwendeten 4000/3200 bintecs deutlich zeitaufwaendiger.
bei der von mir bereits erstellten zugangs-regel hatte ich anyhost statt dem netzwerk eingetragen um die zugangskontrolle auch zu behalten, sollte jemand in der zweigstelle einfach das netzwerk aendern - denkfehler von mir? haette ich das mit den regeln ganz anders angehen sollen?
vielen dank
tom63
erstmal vielen dank fuer die schnelle und ausfuehrliche antwort.
als "lancom-neuling" muss ich das jetzt erstmal sacken lassen - und am wochenende ausprobieren :-)
bis jetzt kann ich aber schonmal sagen dass es mir sehr gut gefallen hat, wie man mit den assistenten sehr schnell zu einem funktionierenden internetzugang mit loadbalancing und isdn backup und einer sehr stabilen vpn lan-lan kopplung kommt - und trotzdem die option hat das ganze dann noch viel detaillierter anzupassen. das war bei unseren bisher verwendeten 4000/3200 bintecs deutlich zeitaufwaendiger.
bei der von mir bereits erstellten zugangs-regel hatte ich anyhost statt dem netzwerk eingetragen um die zugangskontrolle auch zu behalten, sollte jemand in der zweigstelle einfach das netzwerk aendern - denkfehler von mir? haette ich das mit den regeln ganz anders angehen sollen?
vielen dank
tom63