Fragen zu N:N-Mapping über VPN

stefanbunzel · Beitrag von **stefanbunzel** » 24 Sep 2010, 10:08

Hallo LANCOMer,

ich habe zwei Netze über PVN erfolgreich verbunden. Alle Daten laufen ordentlich in die jeweils dahinter liegenden Subnetze. Firewall usw. alles okay. An beiden Standorten L-1722, einmal LCOS 7.80 und einmal 7.70.

Durch eine anstehende Erweiterung in einem der Netze wird es in Zukunft zu doppelten IP-Adressen kommen. In meinem Beispiel:
Standort A (Zentrale): hier zukünftig neues Subnetz 10.11.101.0/255.255.255.0
Standort B (Außenstelle, welche die VPN-Verbindung aufbaut): hier hat das VPN-Gateway selbst die IP 10.11.101.1

Überlegung: Das Netz 10.11.101.0 wird aus Sicht des Standort A auf das in beiden Standorten nicht vorhandene Netz 10.100.101.0 gemappt.

Ich wollte wie folgt die Änderungen vornehmen:
1. Standort A:
VPN-SA-Firewall-Regeln: keine Änderungen
Routing-Tabelle: Der vorhandene Eintrag 10.11.101.0 mit Router VPN-Gegenstelle wird auf entsprechenden Router im lokalen Netz geändert (logisch) und dafür ein neuer Eintrag 10.100.101.0 auf VPN-Gegenstelle.
N:N-NAT-Tabelle: Ziel-Gegenstelle = VPN-Gegenstelle, Original Quell-IP-Adresse: 10.11.101.0, Netzmaske: 255.255.255.0, Umgesetzte Quell-IP-Adresse: 10.100.101.0

2. Standort B: Keine Änderungen, da ja die Umsetzung nur im VPN-Gateway Standort A erfolgen muss. Am Standort B interessiert ja die Änderung eigentlich gar nicht (oder?).

Ergebnis: Geht nicht

Nebeneffekt: Standort B unterbricht ständig die VPN-Verbindung und baut diese wieder neu auf. Unterbricht wieder usw....

Habe auch mal versucht, die Quell-IP-Adressen zu tauschen (Quelle - Ziel) und ebenfalls versucht, diese Änderungen eben nur am Standort B einzutragen und immer brav nach den Änderungen die DSL-Verbindugnen neu aufbauen lassen - alles mit dem gleichen negativen Ergebnis

.

Alternative Variante: Was wäre, wenn ich dem VPN-Gateway am Standort B einfach ein weitere IP-Adresse gebe (eben genau 10.100.101.1) und nur noch über VPN diese IP-Adresse anspreche. Das müsste doch auch gehen - oder?

Mir wäre die gemappte Variante lieber, da ich am Netz des Standort B eigentlich nichts ändern möchte (ist nicht mein Netz).

Wo liegt mein Fehler in der Konfig?

Stefan

backslash · Beitrag von **backslash** » 24 Sep 2010, 19:01

Hi stefanbunzel,

schau mal hier rein: http://www2.lancom.de/kb.nsf/1275/4669F ... enDocument

Gruß
Backslash

stefanbunzel · Beitrag von **stefanbunzel** » 24 Sep 2010, 21:12

Hallo Backslash,

die Anleitung und das Referenzmanual hatte ich bereits gelesen.

Ich war aber der Meinung, dass ich das N:N-Mapping bei mir nur auf der einen Seite einrichten muss. Anders herum: Muss ich unbedingt auf beiden Seiten im Gateway N:N-Mapping definieren? Schließlich will ich nur von Standort A auf das gemappte Netz bei Standort B zugreifen können - und nicht umgekehrt.

Oder ist eine Kommunikation über Mapping nur möglich, wenn auf beiden Seiten Mapping definiert wird? Müssen die gemappten Netze unterschiedlich sein (wie im Link)?

Stefan

ft2002 · Beitrag von **ft2002** » 25 Sep 2010, 20:18

Hallo Steffanbunzel,

da Du an beiden Standorten die gleichen Netze hast musst Du zwingend an beiden Standorten N:N-Mapping einrichten .

In der SA Aushandlung werden die Netz herangezogen schliesslich wird für jedes Netz ein SA Paar erzeugt (Senden/Empfangen). Wenn Du jetzt an einem Standort N:N-Mapping einrichtest und auf der anderen Seite nicht ,kann es nicht funktionieren.....

Also N:N-Mapping einrichten auf beiden Seiten und alles ist Gut.

MAl so nee frage wenn es eine Erweiterung ist hätte mann nicht ander Netze nehmen können , ich weis geht nicht immer ist aber einfacher !

Aber ; wenn es einfach wäre könnte es jeder !!!!

Viel Spaß ...

stefanbunzel · Beitrag von **stefanbunzel** » 26 Sep 2010, 13:38

Hallo ft2002,

okay, ich sehe es ein - und lasse es sein...

Nachdem ich noch einmal versucht habe, es zu verstehen (und der Meinung war, verstanden zu haben), wollte ich die Konfigs anpassen. Beim Standort B ging daraufhin (mal wieder) nicht die Änderung der Firewall-Config per LANconfig in das Garät zu schreiben... Per Webinterface kann ich die Firewall ja leider nicht ohne weiteres bearbeiten (LCOS 7.70)...

Demnach gehöre ich leider nicht zu denjenigen, die so eine Konfig einrichten können - und werde im Standort A eben ein anderes Subnetz nutzen müssen. Das ist zwar blöd, da dann die Subnetze hier dann nicht mehr einheitlich und logisch sind - aber was soll's!

Es ist schön, dass die LANCOMs so viele Funktionen haben - aber einige Funktionen sind einfach nicht gut umgesetzt. Für N:N-Mapping (und einige andere) sollte es dann bitte Assistenten geben, die alle Einstellungen entsprechend vornehmen, so dass es auch funktioniert. Oder es sollte im Webconfig entsprechende Masken geben, die dann auf Anfrage automatisch erforderliche weitere Regeln generieren.

Ich danke für die Infos und Hilfe.

Stefan

ft2002 · Beitrag von **ft2002** » 26 Sep 2010, 16:30

Hallo Stefan,

Eigendlich ist es ganz einfach

, ja ich weiss !! Mann muß nur ein paar sachen beachten.

1. Es muss ein eindeutiges Routing für den Router möglich sein !
Deswegen N:N-Mapping oder verschieden IP-Kreise an den Standorten
2. Für jede Nezbeziehung muss ein Paar SA ausgehandelt werden bei zwei Netzen auf jeder Seite sind das 4 SA oder 2 Paar SA (je Senden/Empfangen)
Ist zu kontrollieren mit Telnet gleich nach der Passworteingabe show vpn muss je Gegenstelle gleich sein
3. Es muß ein Routingeintrag auf den Tunnel zum entfernten Netz verweisen

So nun zu einem Szenario:

Du hast je Standort das Netze

192.168.0.0/24

Nennen wir es mal Zentrale und Filiale und schauen auf die N:N-Mapping Einträge

Zentrale: (die VPN-Gegenstelle heist Filiale)

Gegenstelle /Quell-IP /Mask /Umgesetzte IP
Filliale 192.168.0.0 255.255.255.0 192.168.10.0

Filiale: (die VPN-Gegenstelle heist Zentrale)

Gegenstelle /Quell-IP /Mask /Umgesetzte IP
Zentrale 192.168.0.0 255.255.255.0 192.168.10.0

bedeutet Du gibst in der Filiale die 192.168.10.254 ein um den Router in der Zentrale zu erreichen !
Also immer vor Ort befindet sich das 192.168.0.0/24 Netz und das entfernte lautet 192.168.10.0/24

Für den Router in der Zentrale bedeutet der Eintrag in der Filiale das dort das 192.168.10.0 Netz hängt er hat keine Ahnung das er verarscht wird vom Filial Router und umgekehrt genauso.
Dies musst Du Dir immer vor Augen halten wenn Du jetz an die Routing Einträge gehst und an die Einträge für die SA Aushandlung .

Du richtest den Tunnel immer von dem Aspekt aus ein als hättest Du verschieden Netze und zwar die im N:N-Mapping eingetragen sind.

Hab ich mich verständlich ausgedrückt , sonst melde Dich.

Viel Spaß auch noch ....

stefanbunzel · Beitrag von **stefanbunzel** » 27 Sep 2010, 08:05

Hallo ft2002,

du hast dich sehr verständlich ausgedrückt

Wenn ich das Problem mit dem Speichern der Config per LANconfig gelöst habe, dann versuche ich es erneut.

Das mit dem "Verarschen" des Routers ist treffend gewählt! Genau so war ich ja auch an die Sache gegangen.

Ich melde mich dazu noch einmal später. Im Moment liegen leider noch andere "Aufgaben" hier an...

Stefan