Hallo LANCOM-Form,
ich benötige etwas Hilfe beim Routing (Der Kollege, welcher für unser Netzwerk zuständig war hat unser Unternehmen leider verlassen).
Wir besitzen 1 Hauptstandort und 2 Zweigstellen. Diese sind über VPN (IKEv2) verbunden. In jedem Standort wird ein eigenes 192.168.X Subnetz verwendet (Der Hauptstandort nutzt außerdem noch ein 10.0.X.X Netz)
An jedem Standort gibt es ein oder mehrere Zeiterfassungsterminals, die Verwaltung dieser soll vom Hauptstandort in ein Rechenzentrum umziehen.
Dafür wird ein VPN vom Hauptstandort mit dem RZ aufgebaut.
Nun ist es meine Aufgabe, die Terminals zum RZ durchzurouten. Außerdem sollen nur die Terminals über das RZ-VPN komunizieren dürfen.
Mein bisheriger Lösungsansatz war, am Hauptstandort ein separates SubNetz zu erstellen und die Standort Terminals per NAT-T in dieses durch zu routen. Nur hatte ich damit bisher wenig erfolg, auch finde ich nirgends eine Anleitung dazu, wie man NAT-T bei LANCOM konfiguriert.
Evtl. verrenne ich mich mit NAT-T auch komplett und es gibt eine bessere Lösung.
Benötige Hilfe beim Routing
Moderator: Lancom-Systems Moderatoren
Re: Benötige Hilfe beim Routing
Hallo Tino,
NAT usw brauchst Du da nicht.
Die Zweigstellen bekommen eine Route für die Zeiterfassungs Server, die zur Zentrale zeigt.
Von dort routest Du das ins Rechenzentrum.
Vom Rechenzentrum aus zeigen Rückrouten in die Zweistellen natürlich zur Zentrale und von dort aus routest Du zur Zweigstelle.
Die entspechenden Firewall Regeln müssen natürlich dann auch passen.
Viele Grüße
ts
NAT usw brauchst Du da nicht.
Die Zweigstellen bekommen eine Route für die Zeiterfassungs Server, die zur Zentrale zeigt.
Von dort routest Du das ins Rechenzentrum.
Vom Rechenzentrum aus zeigen Rückrouten in die Zweistellen natürlich zur Zentrale und von dort aus routest Du zur Zweigstelle.
Die entspechenden Firewall Regeln müssen natürlich dann auch passen.
Viele Grüße
ts
TakeControl: Config Backup für LANCOM Router, WLC, APs, Firewalls und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
Re: Benötige Hilfe beim Routing
Wichtig ist auch, dass man in der Zentrale die VPN-Regeln manuell erzeugen muss. Die automatische VPN-Regelerzeugung funktioniert nur zwischen Routingtabelle und lokalen Netzen, nicht zwischen Routingtabelle und Routingtabelle.
Man könnte es im Zweifelsfall auch mit NAT machen, aber nur eben mit LANCOM nicht. Eine Eigenheit mit den Gegenstellen und der Auswertung der Routingtabelle.
Nicht verwechseln darf man NAT und NAT-T(raversal). NAT-T wird benötigt, wenn man einen IPSec-basierten Tunnel durch einen NAT schieben will. Ohne würde es technisch nicht gehen. Es hat nichts damit zu tun, den Traffic des Tunnels oder irgendwas anderes zu NATten.
Man könnte es im Zweifelsfall auch mit NAT machen, aber nur eben mit LANCOM nicht. Eine Eigenheit mit den Gegenstellen und der Auswertung der Routingtabelle.
Nicht verwechseln darf man NAT und NAT-T(raversal). NAT-T wird benötigt, wenn man einen IPSec-basierten Tunnel durch einen NAT schieben will. Ohne würde es technisch nicht gehen. Es hat nichts damit zu tun, den Traffic des Tunnels oder irgendwas anderes zu NATten.
LCS NC/WLAN
Re: Benötige Hilfe beim Routing
Hi 5624
Gruß
Backslash
für soclhce Fälle gibt es das "Policy-Based-NAT", bei dem du übver eine Firewall-regel angeben kannst, hinter weclher Adresse eine Session geNATtet werden soll. so könnet man einfach in der Zentale eine Regel erstellen, die alle Zugriffe auf das Terminal hinter einer bestimm enmt IP NATtet, z.B.Man könnte es im Zweifelsfall auch mit NAT machen, aber nur eben mit LANCOM nicht. Eine Eigenheit mit den Gegenstellen und der Auswertung der Routingtabelle.
Code: Alles auswählen
Name: TERMINAL-ACCESS
Aktion: übertagen, [x] Policy based NAT: IP-Adresse, hinter der geNATtet werden soll
Quelle: alle Stationen
Ziel: IP des Terminals
Dienste: notwendiger DienstBackslash