Hallo Leute,
ich habe folgendes Problem:
Wir hatten bisher ein VPN Netzwerk mit 3 Standorten (A, B , C) über den Lancom 1711+ aufgebaut. Dabei ist Standort A mit Standort B und C über einen VPN Tunnel verbunden und Standort A leitete die Anfragen von Standort B nach C oder anders rum weiter, so das alle Netzwerke sich gegenseitig finden konnten. Nun kam ein weiterer Standort D hinzu, den wir wieder per VPN Tunnel mit Standort A verbunden haben. Alle Konfigurationen wurden gleich ausgeführt, nur funktioniert das Routing scheinbar nicht richtig. Nicht alle Standorte finden die anderen Standorte:
Standort A: kann auf alle Standorte zugreifen
Standort B: kann nur auf Standort A und C zugreifen
Standort C: kann auf alle Standorte zugreifen
Standort D: kann nur auf Standort A und C zugreifen
Also wie man sieht, können sich Standort B und D nicht finden und so natürlich auch nicht aufeinander zugreifen. Woran kann es liegen, das Routing und die Firewall ist bei allen Standorten gleich konfiguriert, so wie in der KnowledgeBase von Lancom beschrieben.
Danke für eure Hilfe!
Alex
4 Netzwerke per VPN verbinden
Moderator: Lancom-Systems Moderatoren
Hallo epassage,
Dein Routing ist da wohl nicht richtig eingestellt.
IP Routing:
Du must -
je eine Route von C in den Tunnel nach B für das Netz von A,B,D einrichten
je eine Route von B in den Tunnel nach A für das Netz von A,D einrichten
eine Route von B in den Tunnel nach C für das Netz von C einrichten
je eine Route von D in den Tunnel nach A für das Netz von A,B,C einrichten
je eine Route von A in den Tunnel nach B für das Netz von B,C einrichten
eine Route von A in den Tunnel nach D für das Netz von D einrichten
Routing wäre damit erledigt
Was jetzt noch wichtig ist , da ich davon ausgehe das Du bei der VPN-Verbindungsliste die Verhandlung auf manuell gestellt hast das Du die Firewall-Regelln für die Aushandlung der SA anpasst.
Das funzt wie beim Routing Von da nach da wer soll da hinkommen
z.B.
Router A hat eine Regel von C,B,A nach D
und
Router A hat eine Regel von D nach C,B,A
diese Einstellungen musst Du in jedem Router vornehmen....
wobei ich die IP Netzwerke eintragen würde nicht die Gegenstellen
ob die SA`s in den einzelnen Routern Stimmen kannst Du per Telnet mit show VPN abfragen . Du musst für jede Netzbeziehung eine SA haben in jedem Router.
Viel Spaß
Dein Routing ist da wohl nicht richtig eingestellt.
IP Routing:
Du must -
je eine Route von C in den Tunnel nach B für das Netz von A,B,D einrichten
je eine Route von B in den Tunnel nach A für das Netz von A,D einrichten
eine Route von B in den Tunnel nach C für das Netz von C einrichten
je eine Route von D in den Tunnel nach A für das Netz von A,B,C einrichten
je eine Route von A in den Tunnel nach B für das Netz von B,C einrichten
eine Route von A in den Tunnel nach D für das Netz von D einrichten
Routing wäre damit erledigt
Was jetzt noch wichtig ist , da ich davon ausgehe das Du bei der VPN-Verbindungsliste die Verhandlung auf manuell gestellt hast das Du die Firewall-Regelln für die Aushandlung der SA anpasst.
Das funzt wie beim Routing Von da nach da wer soll da hinkommen
z.B.
Router A hat eine Regel von C,B,A nach D
und
Router A hat eine Regel von D nach C,B,A
diese Einstellungen musst Du in jedem Router vornehmen....
wobei ich die IP Netzwerke eintragen würde nicht die Gegenstellen
ob die SA`s in den einzelnen Routern Stimmen kannst Du per Telnet mit show VPN abfragen . Du musst für jede Netzbeziehung eine SA haben in jedem Router.
Viel Spaß
Hi epassage
Am sinnvollsten richtest du sowas ein, indem alle Filialen und die Zentrale in einem Netz zusammenfassbar sind, z.B. 192.168.x.x. Wenn du dann z.b. der Zentrale das Netz 192.168.0.x, Standort A das Netz 192.168.1.x, Standort B das Netz 192.168.2.x usw. gibst, dann kannst du das Ganze recht einfach realisieren, indem du in jeder Filiale eine Route für das 192.168.x.x-Netz auf die Zentrale richtest und in der Zentrale eine einzige "jeder darf mit jedem" VPN-Regel erstellst:
Mit dieser Struktur kannst du bist zu 255 Filialen hinzunehmen, ohne daß du dich um die VPN-Regeln kömmern mußt.
Wenn sich die Filialen und die Zentrale hingegen nicht zu einem Netz zusammenfassen lassen, dann brauchst du bei n Filialen 2n - 1 VPN-Regeln um alle möglichen Beziehungen abdecken zu können
Gruß
Guido
Am sinnvollsten richtest du sowas ein, indem alle Filialen und die Zentrale in einem Netz zusammenfassbar sind, z.B. 192.168.x.x. Wenn du dann z.b. der Zentrale das Netz 192.168.0.x, Standort A das Netz 192.168.1.x, Standort B das Netz 192.168.2.x usw. gibst, dann kannst du das Ganze recht einfach realisieren, indem du in jeder Filiale eine Route für das 192.168.x.x-Netz auf die Zentrale richtest und in der Zentrale eine einzige "jeder darf mit jedem" VPN-Regel erstellst:
Code: Alles auswählen
[x] Diese Regel wird zur Erzeugung von VPN-Regeln herangezogen
Aktion: übertragen
Quelle: Netzwerk 192.168.0.0/255.255.0.0
Ziel: Netzwerk 192.168.0.0/255.255.0.0
Dienste: alle DiensteMit dieser Struktur kannst du bist zu 255 Filialen hinzunehmen, ohne daß du dich um die VPN-Regeln kömmern mußt.
Wenn sich die Filialen und die Zentrale hingegen nicht zu einem Netz zusammenfassen lassen, dann brauchst du bei n Filialen 2n - 1 VPN-Regeln um alle möglichen Beziehungen abdecken zu können
Gruß
Guido
Hallo Leute,
danke für eure Antworten. Ich habe eure Ratschläge beherzigt, jedoch läuft es immer noch nicht optimal. Nach längerer Beobachtung ist mir eins aufgefallen, wenn ich die VPN Verbindung neu aufbauen lassen funktioniert alles wunderbar, jedoch nach einiger Zeit (unterschiedliche Zeitspannen) finden Sie die Netze dann wieder nicht. Sobald man die VPN Verbindung sich neu verbinden lässt ist alles wieder da. Woran kann das liegen?
Danke!
Alex
danke für eure Antworten. Ich habe eure Ratschläge beherzigt, jedoch läuft es immer noch nicht optimal. Nach längerer Beobachtung ist mir eins aufgefallen, wenn ich die VPN Verbindung neu aufbauen lassen funktioniert alles wunderbar, jedoch nach einiger Zeit (unterschiedliche Zeitspannen) finden Sie die Netze dann wieder nicht. Sobald man die VPN Verbindung sich neu verbinden lässt ist alles wieder da. Woran kann das liegen?
Danke!
Alex
Wenn ich dieses Problem in der Vergangenheit hatte lag es bei mir immer an einem dieser Punkte:epassage hat geschrieben:Hallo Leute,
danke für eure Antworten. Ich habe eure Ratschläge beherzigt, jedoch läuft es immer noch nicht optimal. Nach längerer Beobachtung ist mir eins aufgefallen, wenn ich die VPN Verbindung neu aufbauen lassen funktioniert alles wunderbar, jedoch nach einiger Zeit (unterschiedliche Zeitspannen) finden Sie die Netze dann wieder nicht. Sobald man die VPN Verbindung sich neu verbinden lässt ist alles wieder da. Woran kann das liegen?
Danke!
Alex
- Überschneidung der VPN-IPs mit anderen lokalen Adressen. Klingt banal, passiert aber.
- Es wird ohne es zu merken viel Traffic durch das VPN geleitet bis es "dich" ist. Passiert gerne z.b. mit dem Windows Update Server. Die Clients ziehen langsam Updates und beschleunigen dann. Nach einer halben Stunde geht nix mehr, Neustart bringt Abhilfe.
- Internetverbindung wackelt im Zusammenhang mit ADSL2+ und LANCOM-Modem. Soll aber behoben sein, hatte ich auch schön länger nicht mehr mit neuen FWs.
Nur meine 2 Euro-Cent.
