Automatische Regelerzeugung, Netzwerkregeln, Tags und VPN

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
joblack
Beiträge: 42
Registriert: 27 Mai 2014, 21:46

Automatische Regelerzeugung, Netzwerkregeln, Tags und VPN

Beitrag von joblack »

Nach dem ich die LANCOM Anleitung intensiv studiert habe sind mir ein paar Dinge leider immer noch nicht klar.

Einmal "Automatische Regelerzeugung" für die Netzbeziehungen.

In der Anleitung steht das die lokalen Intranetnetze und die Routingeinträge dafür zusammen genommen werden. Zusätzlich kann man die Netzbeziehungen noch in der Firewall erstellen. Jetzt gibt es aber noch die Netzwerk-Regeln mit den IPv4-Regelliste.
  • Wird das im Zweifel dann auch noch reingenommen?
    Falls nein wie ist die Priorität?
    Wie verhält sich die Automatische Regelerzeugung wenn ich einzelnen IP-Netzen ein Interface Tag gebe? Muß ich dann dem Statischen Routing auch das Routing Tag geben? Muß ich dann auch der VPN-Verbindung ein Routing Tag geben
"Manuelle Regelerzeugung" für die Netzbeziehungen.

Wie verhält es sich mit dem Firewall-VPN-Netzbeziehungen und den Netzwerkbeziehungen. Kann man die beide verwenden?

Danke für die Hilfe. :)
5624
Beiträge: 865
Registriert: 14 Mär 2012, 12:36

Re: Automatische Regelerzeugung, Netzwerkregeln, Tags und VP

Beitrag von 5624 »

Die Automatik erzeugt nur Beziehungen zwischen auf dem Router definierten IP-Netzwerken und Routen, die auf die VPN-Gegenstelle zeigen. Angelegte Regeln, egal ob über die Firewall oder die VPN-Netzwerkregeln werden nicht beachtet.
Es gibt auch keine Zusammenfassung sondern für jedes IP-Netz/Routen-Pärchen wird eine SA erzeugt. Also bei vier IP-Netzen und vier Routen, die auf die Gegenstelle zeigen, werden 16 Netzbeziehungen aufgebaut und in Phase 2 ausgehandelt.

Die manuelle Regelerzeugung nimmt sowohl die Regeln, die man in der Firewall als VPN-Regeln als auch die VPN-Netzwerkregeln, gemeinsam auf. Die VPN-Netzwerkregeln müssten Vorrang haben, da diese ja direkt an die VPN-Verbindung gebunden sind. Mit Sicherheit kann ich es aber gerade nicht sagen, da ich während unseres VPN-Umbaus sowohl in der Firewall als auch in den VPN-Netzwerkregeln zum Teil überschneidende Regeln hatte. Die Regeln aus den VPN-Netzwerkregeln waren aber definitiv da.

Zu den ARF-Tags kann ich nicht viel sagen, aber soweit ich weiß, müssen die Tags zwischen IP-Netz und Route zur VPN-Gegenstelle exakt passen. Also das Tag verhält sich in dem Moment nicht wie ein Routing sondern ein Schnittstellentag.
LCS NC/WLAN
MDCYP
Beiträge: 187
Registriert: 22 Okt 2015, 11:31
Wohnort: Dortmund

Re: Automatische Regelerzeugung, Netzwerkregeln, Tags und VP

Beitrag von MDCYP »

Hätte hier eine ähnliche Frage... und zwar haben wir ein DHCPv4 Netz für HO User die via LANCOM VPN Client sich connecten und IKE-CFG Server nutzen und dann eine IP aus dem DHCP Pool bekommen.
Hier steht jetzt bei einem User die Regelerzeugung auf MANUELL - haben aber jetzt festgestellt, dass manche Verbindungen einen Time out bekommen, die verdächtig dem TCP-AGING Timeout entsprechen.

Meine Frage - sollte/muss ich für den DHCP Pool auch einen IP-Routing Eintrag explizit anlegen?
joblack
Beiträge: 42
Registriert: 27 Mai 2014, 21:46

Re: Automatische Regelerzeugung, Netzwerkregeln, Tags und VP

Beitrag von joblack »

5624 hat geschrieben: Die manuelle Regelerzeugung nimmt sowohl die Regeln, die man in der Firewall als VPN-Regeln als auch die VPN-Netzwerkregeln, gemeinsam auf. Die VPN-Netzwerkregeln müssten Vorrang haben, da diese ja direkt an die VPN-Verbindung gebunden sind.
Okay super.

Falls ich mit der automatischen Regelerzeugung eine Site-to-Site VPN-Verbindung aufbauen will muß ich die Netzwerkregeln auf beiden VPN-Routern ("spiegelverkehrt") genau einrichten oder reicht es wenn ich beispielsweise bei dem VPN-aufbauenden Router per Automatik die regeln reinklopfen lassen und beim empfangende Router steht dann manuelle Regelerzeugung?

- Ich frage insbesonders da der Lanconfig-Assistent das bei der automatischen VPN-Verbindung so in der Art eingerichtet hatte.
- Also Automatische Regelerzeugung auf dem einen Router und manuelle auf dem anderen. Ich dachte wenn müssten die gleich sein?
Antworten