7111 mit AVC - IP-Adress-Zuweisung

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
rookie
Beiträge: 22
Registriert: 03 Jul 2007, 15:43
Wohnort: hamburg

7111 mit AVC - IP-Adress-Zuweisung

Beitrag von rookie »

Hallo,

ich möchte einen 7111VPN (LCOS 7.60) so einrichten, dass die VPN-Clients (AVC) eine IP-Adresse aus einem anderen Netz (192.168.5.0) als das INTRANET (192.168.1.0) erhalten. Hierzu trage ich unter "TCP/IP" -> "Adressen" die IP-Range ein und aktiviere den IKE Config Mode. Die Clients sollen nur Zugriff auf ein Netz (172.24.1.0) hinter einem weiteren Router erhalten.
Funktioniert das, wenn ich in der Firewall für jeden VPN-Client (leider soll jeder Client andere Zugriffsrechte erhalten) die gewünschten Bereiche des 172.-Netzes angebe? Und wie sieht die Config des AVC hinsichtlich der Netze dann aus? Ist dort nur das Netz 172.24.1.0 einzutragen? Werden die Routen für die VPN-Clients dynamisch erstellt (Proxy-ARP ist aktiviert) oder muss ich jede Route separat anlegen?

Leider habe ich keine Testmöglichkeit, muss es also direkt beim Kunden prüfen. :( Daher ist jeder Vorab-Tipp hilfreich...

Gruß

Rookie
Nach oben
rookie
Beiträge: 22
Registriert: 03 Jul 2007, 15:43
Wohnort: hamburg

Beitrag von rookie »

Hallo,

den VPN-Client-Zugang habe ich nun eingerichtet, der IKE-Config-Mode funktioniert auch einwandfrei, solange ich im AVC als zu erreichendes Netz nur das Intranet angebe. Sobald ich auch das Netz 172.24.1.0 im Client eintrage, bricht die Phase 2 aufgrund der fehlerhaften Netzbeziehungen ab. Die Regelerzeugung habe ich in der Zentrale (7111VPN) auf "automatisch" gelassen und zusätzlich eine Firewall-Regel (zum Erzeugen von VPN-Regeln) mit den entsprechenden Netzen erstellt. Habe ich irgendetwas vergessen? Oder muss ich auf manuelle Regelerzeugung umschalten? Bei einer ähnlichen Site-to-Site-Verbindung (7111VPN - 1751UMTS - aggr. Mode) funktioniert das Szenario einwandfrei.
Please help! Danke...

Gruß
Rookie
Nach oben
backslash
Moderator
Moderator
Beiträge: 7129
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Beitrag von backslash »

Hi rookie,

hast du die Regel auch korrekt angelegt? sie muß in deinem Fall so lauten:

Code: Alles auswählen

[x]        Diese Regel wird zur Erzeugung von VPN-Regeln herangezogen

Aktion:    übertragen
Quelle:    IP-Netz 172.24.1.0/255.255.255.0
Ziel:      Client-Gegenstelle
Dienste:   alle Dienste
und nein: du mußt nicht auf manuelle Regelerzeugung umschalten. Wenn du das dennoch tust, dann mußt du auch eine VPN-Regel für dein Intranet erstellen

Gruß
Backslash
Nach oben
rookie
Beiträge: 22
Registriert: 03 Jul 2007, 15:43
Wohnort: hamburg

Beitrag von rookie »

Hallo,

erst einmal vielen Dank für die Antwort.
Ich hatte beide Varianten (manuelle und automatische Regelerzeugung) heute ausprobiert. Es hat auch (wie von Dir beschrieben) funktioniert. Leider war es dem Kunden für die weiteren VPN-Anbindungen, die er selbst konfigurieren möchte, zu kompliziert bzw. zu aufwendig. Daher habe ich mein Konzept geändert und das Netz 172.24.1.0 über eine weitere Schnittstelle an den 7111VPN angebunden und als Intranet definiert. Nun sind keine zusätzlichen Regeln mehr erforderlich, dafür fehlt mir nun ein Interface :cry:
Aber auch das bekomme ich noch in den Griff...
Nochmals vielen Dank!

Gruß

Rookie
Nach oben
Antworten

Zurück zu „Fragen zum Thema VPN“