Hallo,
gibt es irgendwo eine vernünftige Anleitung zum Thema Extranet?
In der Knownledge Base habe ich nichts derartiges gefunden. Ich habe Probleme damit und frage mich ob ich an einer Stelle falsche Einstellungen gesetzt habe.
Situation ist folgende:
10.10.1.0/24 <VPN> 178.168.1.0/24
10.10.1.0/24 <VPN> 10.10.2.0/24
10.10.1.0/24 <VPN> 10.10.3.0/24
Bisher konnten die Netze 10.10.2.0/24 und 10.10.3.0/24 nicht auf das Netz 178.168.1.0/24 (auf diese Gegenstelle habe ich keinen Zugriff -> Non Lancom) zugreifen, sondern nur das Netz 10.10.1.0/24. Nun wollte ich den Netzwerkverkehr zur Gegenstelle 178.168.1.0/24 über die Funktion Extranet maskieren. Dann sollte doch der Zugriff aus den anderen auf diese Gegenstelle auch funktionieren...
Dazu habe ich im Lancom in der Verbindungsliste, im Punkt Extranet, eine Adresse aus dem 10.10.1.0/24 Netz angegeben. Es funktioniert aber nicht. Was mache ich falsch?
Extranet Einstellungen 8011
Moderator: Lancom-Systems Moderatoren
Hi JanItor,
auf den Routerseiten 10.10.2.0/24 und 10.10.3.0/24 muss als Extranet eine IP aus dem Bereich 178.168.1.0/24 hinterlegt werden. Dann muss auf dem 178.168.1.0/24 eine Route angelegt werden die beispielsweise so aussieht:
178.168.1.123 (Extranet IP der anderen Seite) 255.255.255.255 Rtg-Tag 0 Peer VPN Tunnel
Das funktioniert sofern die Seite mit dem 178.x Netz direkte Tunnel zu 10.10.2.x und 3.x hat.
Wenn die beiden Netze über das Netz 10.10.1.x das 178.x Netz erreichen sollen, benötigt der Router mit dem 10.10.1.x Netz eine VPN Regel in der Firewall welche eine SA für die Netzkombinationen 10.10.1.x nach 178.x und 10.10.2.x nach 178.x erzeugt. Auf den "Außenroutern" müssen dann entsprechende Routingeinträge angelegt werden.
Als dritte Möglichkeit gäbe es noch das N:N Mapping. Damit würde die Außenstellen mit den Netzen 10.10.1x und 2.x dem Router 178.x ein anderes Netzwerk mitteilen. (Dazu gibt es auch ein Dokument in der Knowledgebase. Einfach nach "N:N" suchen).
Gruß
Pothos
auf den Routerseiten 10.10.2.0/24 und 10.10.3.0/24 muss als Extranet eine IP aus dem Bereich 178.168.1.0/24 hinterlegt werden. Dann muss auf dem 178.168.1.0/24 eine Route angelegt werden die beispielsweise so aussieht:
178.168.1.123 (Extranet IP der anderen Seite) 255.255.255.255 Rtg-Tag 0 Peer VPN Tunnel
Das funktioniert sofern die Seite mit dem 178.x Netz direkte Tunnel zu 10.10.2.x und 3.x hat.
Wenn die beiden Netze über das Netz 10.10.1.x das 178.x Netz erreichen sollen, benötigt der Router mit dem 10.10.1.x Netz eine VPN Regel in der Firewall welche eine SA für die Netzkombinationen 10.10.1.x nach 178.x und 10.10.2.x nach 178.x erzeugt. Auf den "Außenroutern" müssen dann entsprechende Routingeinträge angelegt werden.
Als dritte Möglichkeit gäbe es noch das N:N Mapping. Damit würde die Außenstellen mit den Netzen 10.10.1x und 2.x dem Router 178.x ein anderes Netzwerk mitteilen. (Dazu gibt es auch ein Dokument in der Knowledgebase. Einfach nach "N:N" suchen).
Gruß
Pothos
Hallo Pothos,
danke für deine schnelle und ausführliche Antwort.
Mein Problem ist das der Raouter im Netz 178.x nicht von mir verwaltet wird. Hier müsste ein externer Dienstleister des Kunden eingeschaltet werden. Das wollte ich erst einmal vermeiden.
Im Moment ist es so konfiguriert das die Netze 10.10.2.x und 10.10.3.x das Netz 178.x über den Router im Netz 10.10.1.x erreichen sollen. Mein Gedanke war nun der das man diese Anfragen maskiert und als Anfragen aus dem Netz 10.10.1.x ausgibt, da dieses Netz in der Gegenstellen 178.x freigegeben ist.
danke für deine schnelle und ausführliche Antwort.
Mein Problem ist das der Raouter im Netz 178.x nicht von mir verwaltet wird. Hier müsste ein externer Dienstleister des Kunden eingeschaltet werden. Das wollte ich erst einmal vermeiden.
Im Moment ist es so konfiguriert das die Netze 10.10.2.x und 10.10.3.x das Netz 178.x über den Router im Netz 10.10.1.x erreichen sollen. Mein Gedanke war nun der das man diese Anfragen maskiert und als Anfragen aus dem Netz 10.10.1.x ausgibt, da dieses Netz in der Gegenstellen 178.x freigegeben ist.
Hi JanItor,
ah ok. Dann hatte ich das eben falsch verstanden.
Das sollte aber eigentlich auch kein Problem sein. Hier entsprechend ein Extranet VPN von 2.x und 3.x nach 1.x aufbauen. 2.x und 3.x bekommen als Extranet IP eine aus dem Bereich 1.x. Aber dann brauchst du meines Wissens trotzdem noch eine VPN Regel in der Firewall des 1.x Routers, der die zusätzlichen SAs generiert. Dann sollte das eigentlich funktionieren. Bei dem Aufbau gibts dann halt nur die Schwierigkeit, dass du Maschinen aus den Netzen 2.x und 3.x nicht mehr direkt erreichst, da ja maskiert wird. Hier müssen dann ggf. Portforwardings eingetragen werden, sofern Maschinen erreichbar gemacht werden müssen.
Aber vielleicht hat Backslash ja noch eine Idee, sollte er den Thread hier lesen.
Gruß
Pothos
ah ok. Dann hatte ich das eben falsch verstanden.
Das sollte aber eigentlich auch kein Problem sein. Hier entsprechend ein Extranet VPN von 2.x und 3.x nach 1.x aufbauen. 2.x und 3.x bekommen als Extranet IP eine aus dem Bereich 1.x. Aber dann brauchst du meines Wissens trotzdem noch eine VPN Regel in der Firewall des 1.x Routers, der die zusätzlichen SAs generiert. Dann sollte das eigentlich funktionieren. Bei dem Aufbau gibts dann halt nur die Schwierigkeit, dass du Maschinen aus den Netzen 2.x und 3.x nicht mehr direkt erreichst, da ja maskiert wird. Hier müssen dann ggf. Portforwardings eingetragen werden, sofern Maschinen erreichbar gemacht werden müssen.
Aber vielleicht hat Backslash ja noch eine Idee, sollte er den Thread hier lesen.
Gruß
Pothos
Gruß
Pothos
Pothos
Hi JanItor,
die frage ist, ob Zugriffe aus dem 178.168.1.0/24 Netz auf eines der 10.10er-Netze möglich sein sollen. Falls nicht, dann reicht es wirklich aus, was du im ersten Posting geschrieben hast, d.h. im 10.10.1.x-Router einfach eine Extranet-Adresse aus dem 10.10.1.0/24 Netz anzugeben, in der Routing-Tabelle die Maskierungsoption zu setzen und einmal die Verbindung zu trennen...
Wenn hingegen Zugriffe aus dem 178.168.1.0/24 Netz auf eines der 10.10er-Netze möglich sein sollen, dann kommst du um eine Änderung im 178.168.1.0/24 Router nicht herum...
Gruß
Backslash
die frage ist, ob Zugriffe aus dem 178.168.1.0/24 Netz auf eines der 10.10er-Netze möglich sein sollen. Falls nicht, dann reicht es wirklich aus, was du im ersten Posting geschrieben hast, d.h. im 10.10.1.x-Router einfach eine Extranet-Adresse aus dem 10.10.1.0/24 Netz anzugeben, in der Routing-Tabelle die Maskierungsoption zu setzen und einmal die Verbindung zu trennen...
Wenn hingegen Zugriffe aus dem 178.168.1.0/24 Netz auf eines der 10.10er-Netze möglich sein sollen, dann kommst du um eine Änderung im 178.168.1.0/24 Router nicht herum...
Gruß
Backslash