Dynamic VPN auch über VOIP machbar ?

[firefox_i]

Hallo zusammen,
ich bin gerade in den Detailkonfigurationen der Lancom Router (an 2 Standorten).

Eine Seite hat eine fixe IP, die andere eine dynamische.

Der dynamic VPN Mechanismus läuft ja eigentlich über ISDN. Aber wie ist das an einem All-IP Anschluss?
Brauch ich einen "echten" ISDN Anschluss oder läuft das auch über einen VOIP Anschluss ?

Danke für jeden Hinweis und Gruß
S.

[Dr.Einstein]

Hallo firefox_i,

ISDN greift normalerweise nur dann, wenn beide Seiten eine dynamische IP-Adresse haben. In deinem Fall wird einfach über das Internet ein UDP oder ICMP Packet gesendet, mit der Kennung vom dynamischen Standort. Sollten jetzt beispielhaft beide Standorte ISDN + dyn IP haben, wird das mit All IP nicht mehr funktionieren wegen D-Kanal. Du benötigst dann min. auf einer Seite einen DynDNS Account bzw eine feste IP.

Gruß Dr.Einstein

[firefox_i]

Hallo Dr.Einstein,
ehrlich gesagt: Barcelona Hauptbahnhof

Ich dachte dass das dynamische VPN via ISDN auch dann notwendig ist, wenn die gegenüberliegende Seite der LAN-2-LAN Kopplung eine dynamische WAN-IP hat.

Geben wir den Kindern mal Namen damit es einfacher ist:
Standort "HOME" hat eine dynamische IP.
Standort "OFFICE" hat eine feste IP.

Zwischen den beiden Standorten soll eine LAN-2-LAN VPN Verbindung aufgebaut werden können.

Wenn im "HOME" Netzwerk eine IP Adresse aus dem "OFFICE" LAN angesprochen wird macht "HOME" einen VPN Tunnel zur festen IP auf --> tut
Wenn im "OFFICE" Netzwerk eine IP Adresse aus dem "HOME" LAN angesprochen wird, dann ist doch auch dieser "ich mach meine IP Adresse über ISDN bekannt" Mechniasmus notwendig, weil "OFFICE" die IP von "HOME" nicht kennt.

Also ist das dynamische VPN doch bereits dann notwendig, wenn der Tunnel-Endpunkt aus Sicht des Ausbauenden eine dynamische IP hat ungeachtet ob der Aufbauende eine feste oder dynamische IP hat.
Oder hab ich da was missverstanden?


Davon ab:
Das ICMP Paket kann doch nur dann verschickt werden, wenn der dynamische VPN Partner beim Aufbau einen fixen Endpunkt anspricht.

In meinem Fall gibt es ja aber auch den umgekehrten Fall, dass eben die Seite mit der festen IP (also "OFFICE") einen Tunnel in Richtung "HOME" aufbauen soll.
Und eben da ist die Frage, ob das ganze auch über VOIP auch geht.
Der LANCOM setzt doch VOIP auch auf interne ISDN Teilnehmer um...warum dann nicht auch den D-Kanal ?

S.

[firefox_i]

Hallo ich nochmal.....
Oh mann ... Baum - Wald und so......

Ich hab völlig verdrängt, dass der D-Kanal ja schlichtweg nicht mehr existiert bei VOIP und somit auch die Daten nicht übertragen werden können.

Sorry für meine Blödheit

Also letztenendes führt kein Weg an einem DYNDNS Anbieter vorbei.

Gruß
S.

[Dr.Einstein]

Im Prinzip hast du Recht, hab gar nicht mehr aufm Schirm gehabt, dass ja ein Lan2Lan VPN auch mal nicht dauerhaft stehen könnte. Aber was ist der Grund dafür? Bei fast all den Fällen, die ich kenne, packt das Homeoffice seinen Router an Strom, und dieser baut einen Tunnel zur Zentrale auf. Wieso sollte es bei dir andersrum sein? :/

[firefox_i]

Hallo,
dazu kurz ein Hintergrund:

Der Tunnel wird lediglich für Datenreplikation zwischen 2 Standorten für die nächtliche Datensicherung verwendet und nicht als "klassisches" VPN.
Also ist diese Verbindung auch nur zugewissen Zeiten notwendig oder eben bei Bedarf.

Deshalb die Idee, denTunnel nur dann aufzubauen wenn er wirklicn benötigt wird und eben nicht 24/7 stehen zu haben wenn ich doch nur nachts für einige Zeit (max. wenige Stunden) hier Daten transferriere.

Oder ist das eine zu naiver Ansatz nach dem Motto "was schadet es wenn der Tunnel steht". ?

S.

[Dr.Einstein]

Ich persönlich würde lieber den Tunnel immer offen halten als mich einen Drittdienstleister wie noip etc hinzugeben, obwohl es nicht unbedingt notwendig wäre. Ob der Tunnel nun dauerhaft besteht, oder eine einzige Anfrage Richtung anderen Standort da ist, macht doch keinen Unterschied? Außer, dass das erste Paket statt 20ms 2000ms braucht.

Gruß Dr.Einstein

[firefox_i]

Hallo,
danke für die Erklärung.

Hmm klingt, als ob ein offener Tunnel kein Sicherheitsrisiko darstellt.....
Gibts einen Mechanismus mit ner Art Rolling Key ?

S.

[Jirka]

Hallo S.,

Hmm klingt, als ob ein offener Tunnel kein Sicherheitsrisiko darstellt.....

natürlich stellt der ein Sicherheitsrisiko dar. Aber letztlich auch kein größeres, als ein Tunnel, der nicht besteht, aber jederzeit aufgebaut werden könnte.
Entscheident ist unterm Strich, was in der Firewall geregelt ist. Ist dort nichts geregelt, hat das LAN der Gegenseite uneingeschränkten Zugriff. Kann man machen, sollte sich dessen aber bewusst sein.

Gibts einen Mechanismus mit ner Art Rolling Key?

Was meinst Du genau?

Zu der Sache mit einem nicht ständig aufgebauten VPN-Tunnel: Es gibt durchaus Gründe, die dafür sprechen können, einen VPN-Tunnel nicht dauerhaft aufzubauen:
- Anzahl der VPN-Tunnel am Limit: Ich habe mehrere Konfigurationen da würde die Anzahl der VPN-Tunnel, wenn sie denn alle ständig aufgebaut wären, die Grenze von z. B. 25 oder 100 möglichen überschreiten. Gerade wenn die VPNs z. B. zur Fernwartung genutzt werden und jeder Mitarbeiter typischerweise gleichzeitig nur an max. 3 Außenstandorten arbeitet, und es gibt nur 7 Mitarbeiter, dann kommt man mit 25 VPNs hin. Wenn die immer alle aufgebaut wären, dann würde das nicht reichen.
- Datensparsamkeit: Jeder aufgebaute VPN-Tunnel erzeugt, ob er genutzt wird oder nicht, Traffic. Das ist zwar extrem wenig und kann von daher in den meisten Fällen vernachlässigt werden, aber es gibt ja auch noch Standorte mit extrem geringen Datenraten oder begrenztem Datenvolumen, wo es somit durchaus sinnvoll sein kann, VPN-Tunnel nur dann offen zu halten, wenn sie auch benötigt werden. Insbesondere wenn sie selten benötigt werden.

Ein Aufbau einer VPN über eine DynDNS-Adresse kann auch zuverlässig funktionieren, wenn man denn alles richtig macht. Dazu gehört nicht das LANCOM-Standard-Script zur Aktualisierung der DynDNS-Adresse, ein zweiter DynDNS-Anbieter und eine entsprechende Backup-Einrichtung ("weitere entfernte Gateways").

Viele Grüße,
Jirka

[firefox_i]

Hallo,
wenn ich von sicherheit rede, dann in erster Linie um die Sicherheit "von außen", und nicht um die Sicherheit zwischen den gekoppelten LANs.

Rolling Key meinte ich, dass sich ändernde Passphrasen verwendet werden und nicht jedesmal dieselbe.
Oder ist hier ein entsprechend kryptischer PSK ausreichend sicher um "fremde" draußen zu halten?

Mit Zertifikaten möchte ich mich (zumindest noch) nicht auseinandersetzen müssen...

S.

[garfield0815]

aber nu mahl ehrlich wiso den dynamic ip

du hast doch einen mit ner statischen adresse das reicht doch

[firefox_i]

@garfield
Vielleicht hast Du es in den Beiträgen überlesen

Das mit dynamic VPN rührte daher, dass ich den Tunnel bei Bedarf von jeder Seite aus aufbauen lassen wollte.
Aber Einstein hat mich seit seinem 3. Beitrag davon überzeugt, dass ein dauerhafter Tunnel hier besser ist....

Wie gesagt:
wir sind hier schon bei nem andern Detail des Themas

S.

[MariusP]

Hi,

dass ich den Tunnel bei Bedarf von jeder Seite aus aufbauen lassen wollte.

Hast du einen besonderen Grund das beide Seiten aufbauen können sollen?
Ich finde das ein Aufbau wo nur einer aufbaut simpler. Sollte Fehlersuche simpler gestalten.
Gruß

[MoinMoin]

Moin, moin!

Mal kurz zurück zum Thema.

Dynamic-VPN über ISDN geht nicht nur über den D-Kanal, sondern auch über den B-Kanal. Das war seinerzeit die erste Implementierung, bis wir es geschafft haben, im D-Kanal in BC/LLC und HLC genügend frei verwendbare Bits für eine IP-V4-Adresse zusammenzusuchen.

Allerdings: Der Router kann keine Verbindung über den VCM (im selben Gerät) aufbauen, sondern nur direkt über ISDN. Daher gilt derzeit: Dynamic VPN geht auch mit VoIP (dann aber nur über eine B-Kanal Clear-Mode-Verbindung), aber nur, wenn das VPN-Gateway nicht direkt an der Leitung hängt.

Ciao, Georg