Hallo Forum,
ich habe ein kleines Problem bezüglich VPN und IP-Adressen.
Hier werden zwei Netzwerke über VPN miteinander gekoppelt. Gehen wir davon aus, daß Netzwerk 1 im Adressbereich 192.168.0.0 liegt. Netzwerk 2 benutzt IP-Adressen im Bereich 172.17.0.0. Diese VPN-Verbindung funktioniert untereinander ohne Probleme.
Nun verbinden sich Clients per VPN zu Netzwerk 1. Die Verbindung zu Rechnern im Netzkwerk 1 (192.168.0.0) funktioniert auch völlig problemlos. Es soll aber auch ein Zugriff auf die Rechner im Netzwerk 2 möglich sein.
Mir ist klar, warum der Zugriff auf die Adressen 172.17.0.0 nicht möglich ist. Die VPN-Policy am Client ist nur für Adressen im Bereich 192.168.0.0 eingerichtet. Alle Anfragen für IP-Adressen im Bereich 172.17.0.0 gehen nicht über den Tunnel vom Client zum Netzwerk 1 und können somit nicht beantwortet werden.
Ich bin jetzt auf der Suche nach einer Lösung für dieses Problem. Meiner Meinung nach muß ich im Netzwerk 1 (unser Hauptnetzwerk) dafür sorgen, daß die IP-Adressen aus Netzwerk 2 (172.17.0.0) unter anderen Adressen angesprochen werden. In meinem Beispiel würde ich die Adressen 172.17.1.0 unter der Adresse 192.168.1.0 maskieren. Damit kann der verbundene Client die Adresse 172.17.1.10 unter 192.168.1.10 ansprechen, womit die Verbindung über den VPN-Tunnel geht und im Netzwerk 1 an Netzwerk 2 weitergeleitet wird.
Da ich kein Netzwerk-Administrator bin, der sich mit der Materie besonders auskennt, ist das alles nur meine Theorie. Mit dem Lancom 1721 VPN habe ich einen Router gefunden, der diese Technik wohl unterstützen müßte. Dort ist es unter dem Begriff N:N-Mapping aufgeführt.
Kann mir bitte jemand einen Hinweis geben, ob das der richtige Weg ist oder wird das in der Praxis eleganter gelöst? Und vor allem interessiert mich, welche VPN-Router diese Aufgabe erledigen können.
Vielen Dank für eure Hilfe!
Gruß,
Daniel
Frage zu VPN & IP-Mapping
Moderator: Lancom-Systems Moderatoren
-
dwohlhaupter
- Beiträge: 7
- Registriert: 10 Jan 2008, 08:32
Hallo Maik,
momentan setzen wir noch einen VPN-Router von Netgear (FVX538) ein. Der VPN-Client nennt sich Netgear ProSafe VPN Client.
Ich finde die VPN-Konfiguration bei Netgear sehr schlecht dokumentiert. Wir haben mehrere Anläufe und den Support benötigt, um es zum Fliegen zu bekommen, da die verfügbare Doku offensichtlich fehlerhaft ist.
So wie ich das sehe, habe ich am Client selber keine Möglichkeit einzustellen, welche Netze über den Tunnel gehen sollen. Es gibt den Bereich 'Remote Party Identity and Addressing'. Da kann ich aber nur eine einzelne IP-Adresse, ein IP Subnet oder Adressbereiche (192.168.1.10 - 192.168.1.20) konfigurieren.
Im VPN-Router gibt es die Möglichkeit des Traffice Selectors. Dort könnte ich unter eine IKE-Policy mehrere VPN-Policies mit unterschiedlichen Netzen hängen, die dann über eine VPN-Verbindung gehen sollen. Soweit zumindest die Theorie. In einem ersten Test hat das leider nicht funktioniert. Der Client kann ja dann eigentlich auch nicht wissen, daß er noch ein anderes Netz routen soll. Oder kann er die Routen dynamisch beim Erstellen der VPN-Verbindung anlegen?
Wir sind nicht auf die Netgear-Sachen festgelegt. Wenn sich die Problematik mit Lancom-Produkten eleganter lösen läßt, bin ich dazu geneigt, lieber ein paar Mark in einen neuen VPN-Router zu investieren, als sich tagelang mit der halbfertigen Firmware von Netgear zu befassen.
Gruß,
Daniel
momentan setzen wir noch einen VPN-Router von Netgear (FVX538) ein. Der VPN-Client nennt sich Netgear ProSafe VPN Client.
Ich finde die VPN-Konfiguration bei Netgear sehr schlecht dokumentiert. Wir haben mehrere Anläufe und den Support benötigt, um es zum Fliegen zu bekommen, da die verfügbare Doku offensichtlich fehlerhaft ist.
So wie ich das sehe, habe ich am Client selber keine Möglichkeit einzustellen, welche Netze über den Tunnel gehen sollen. Es gibt den Bereich 'Remote Party Identity and Addressing'. Da kann ich aber nur eine einzelne IP-Adresse, ein IP Subnet oder Adressbereiche (192.168.1.10 - 192.168.1.20) konfigurieren.
Im VPN-Router gibt es die Möglichkeit des Traffice Selectors. Dort könnte ich unter eine IKE-Policy mehrere VPN-Policies mit unterschiedlichen Netzen hängen, die dann über eine VPN-Verbindung gehen sollen. Soweit zumindest die Theorie. In einem ersten Test hat das leider nicht funktioniert. Der Client kann ja dann eigentlich auch nicht wissen, daß er noch ein anderes Netz routen soll. Oder kann er die Routen dynamisch beim Erstellen der VPN-Verbindung anlegen?
Wir sind nicht auf die Netgear-Sachen festgelegt. Wenn sich die Problematik mit Lancom-Produkten eleganter lösen läßt, bin ich dazu geneigt, lieber ein paar Mark in einen neuen VPN-Router zu investieren, als sich tagelang mit der halbfertigen Firmware von Netgear zu befassen.
Gruß,
Daniel
Hi dwohlhaupter
Da dein Client aber offenbar nur ein entferntes Netz zuläßt bleibt dir wohl nichts anderes übrig. Du mußt dabei nur darauf achten, daß der Client selbst auch eine Adresse aus dem 192.168.0.0 Netz zugewiesen bekommt - sonst hast du das Problem der nicht passeneden Netze auch auf der LAN-LAN-Kopplung (außer du würdest auch auf der LAN-LAN-Kopplung ein N:N-NAT für die Adresse des Clients konfigurieren...).
Die Konfiguration des N:N-NAT ist dann für dein Szenario recht einfach:
Gruß
Backslash
das kann man zwar über das N:N-Mapping erledigen, jedoch ist es sinnvoller, es im Client über die erreichbaren Netze zu lösen.Kann mir bitte jemand einen Hinweis geben, ob das der richtige Weg ist oder wird das in der Praxis eleganter gelöst?
Da dein Client aber offenbar nur ein entferntes Netz zuläßt bleibt dir wohl nichts anderes übrig. Du mußt dabei nur darauf achten, daß der Client selbst auch eine Adresse aus dem 192.168.0.0 Netz zugewiesen bekommt - sonst hast du das Problem der nicht passeneden Netze auch auf der LAN-LAN-Kopplung (außer du würdest auch auf der LAN-LAN-Kopplung ein N:N-NAT für die Adresse des Clients konfigurieren...).
Die Konfiguration des N:N-NAT ist dann für dein Szenario recht einfach:
Code: Alles auswählen
Gegenstelle: Client
Quell-IP: 172.17.1.0
Netzmaske: 255.255.255.0
Umgesetzte IP: 192.168.1.0Gruß
Backslash