Guten Morgen,
ich habe gerade eine Anforderung auf den Tisch liegen, wo ich leider noch keine Idee dazu habe.
Es soll ein Radius authentifiziertes Gast WLAN aufgebaut werden.
Das stellt mich grunsätzich vor kein Problem, da wir schon Radius Server und vergleichbare WLAN ausstrahlen.
Aber der Breakout soll nicht in der Außenstelle sondern zentral in der Zentrale über ein anderes Gateway erfolgen.
Alle Außenstellen sind über IKEv2/IPSec sternförmig verbunden und haben lokal ein einziges in die Zentrale geroutetes Netz und mehrere lokal ausgekoppelte Netze. Das funktioniert alles wunderbar...
Ausgangslage
(In jeder Filiale gibt es ein Produktiv Netz, das zum ISG geroutet wird. Das habe ich folgend nicht aufgeführt):
Filiale 1800VAW <---> IPSEC <---> Zentrale ISG-1000 <---> Kabel <---> Gateway z.Z. 1781VA <---> Internet
Gastnetz 10.99.133.254/24 <---> VPN <---> 10.41.1.11/29 <---> LAN4 <---> 10.40.40.254/24 <---> Telekom
Verkürzt gesprochen:
Die Nutzer aus dem Netzwerk 10.99.133.254/24 sollen mit dem Telekom Anschluss vom 1781VA surfen.
Bevor der Einwand kommt, das dies doch nicht sehr performant sei: Es gibt ca. 100 Filialen, aber nur sehr wenige Gäste.
Alles ist mit Glas angebunden, sprich mindestens überall 200 MBits.
Wer hat freundlicherweise sachdienliche Hinweise, wie ich das konfigurieren kann?
Gast Netzwerk in der Filiale mit surfen aus der Zentrale
Moderator: Lancom-Systems Moderatoren
Re: Gast Netzwerk in der Filiale mit surfen aus der Zentrale
Moin,
aufwendig, WLC im Einsatz?
Variante 1:
Im Access überall 2tes L§-Netz anlegen, Clients da rein plumsen lassen und 2ten Tunnel (oder Multitunnel) anlegen.
In der Zentrale ebenfalls neues l3-Netz mit Breakout zum 1781.
Alles schön mit ARF trennen
Variante 2:
Sticjwort WLC-Tunnel
Variante 3 (quick & dirty):
Interne Clients und Gäste auf verschiedene L3 legen und dann per Firewall trennen
VG
aufwendig, WLC im Einsatz?
Variante 1:
Im Access überall 2tes L§-Netz anlegen, Clients da rein plumsen lassen und 2ten Tunnel (oder Multitunnel) anlegen.
In der Zentrale ebenfalls neues l3-Netz mit Breakout zum 1781.
Alles schön mit ARF trennen
Variante 2:
Sticjwort WLC-Tunnel
Variante 3 (quick & dirty):
Interne Clients und Gäste auf verschiedene L3 legen und dann per Firewall trennen
VG
... das Netz ist der Computer ...
n* LC und vieles mehr...
n* LC und vieles mehr...
Re: Gast Netzwerk in der Filiale mit surfen aus der Zentrale
Ich habe schon viele Varianten durchgespielt und bin mittlerweile bei der Version L2TPv3-Tunnel zwischen Filialrouter und einem Konzentrator.
Erspart viel Konfigurationsarbeit, weil du zwischen den Routern einfach nur den Tunnel definierst und diesen an ein VLAN oder einen Port bindest. Der Tunnel hat filialseitig keine IP und zentralseitig nur, wenn du willst. Du schickst irgendwas in der Zentrale in den Tunnel und es kommt unverändert einfach in der Filiale raus.
Zur Identifizierung lass ich per DHCP-Snooping die, ich glaube, Circuit-ID setzen, damit ich die Filiale zu einem DHCP-Lease ablegen kann.
Die Variante mit IP-Netz am Router und dann übern VPN-Tunnel als Plain-IP in die Zentrale schicken hab ich damals, nach dem ersten Test, direkt verworfen, weil du sonst mit ARF, VPN und Firewall an mehreren Stellen rumkämpfen müsstest. ARF und VPN funktioniert jetzt besser zusammen.
WLC-Tunnel hatte ich auch, aber da hatte ich organisatorisch Probleme mit.
Erspart viel Konfigurationsarbeit, weil du zwischen den Routern einfach nur den Tunnel definierst und diesen an ein VLAN oder einen Port bindest. Der Tunnel hat filialseitig keine IP und zentralseitig nur, wenn du willst. Du schickst irgendwas in der Zentrale in den Tunnel und es kommt unverändert einfach in der Filiale raus.
Zur Identifizierung lass ich per DHCP-Snooping die, ich glaube, Circuit-ID setzen, damit ich die Filiale zu einem DHCP-Lease ablegen kann.
Die Variante mit IP-Netz am Router und dann übern VPN-Tunnel als Plain-IP in die Zentrale schicken hab ich damals, nach dem ersten Test, direkt verworfen, weil du sonst mit ARF, VPN und Firewall an mehreren Stellen rumkämpfen müsstest. ARF und VPN funktioniert jetzt besser zusammen.
WLC-Tunnel hatte ich auch, aber da hatte ich organisatorisch Probleme mit.
LCS NC/WLAN
Re: Gast Netzwerk in der Filiale mit surfen aus der Zentrale
Danke für Eure Antworten,
ja, ein WLC-1000 befindet sich im Einsatz. Es zugleich auch der Radius Server.
Der WLC hat jetzt schon eine andere WLC-Tunnel Konfiguration. Kann ich auch zwei verschiedene gleichzeitig betreiben?
Zwischen den Einrichtungen besteht ja IPSec. Warum sollte ich dann noch einen weiteren Tunnelaufbauen?
ja, ein WLC-1000 befindet sich im Einsatz. Es zugleich auch der Radius Server.
Der WLC hat jetzt schon eine andere WLC-Tunnel Konfiguration. Kann ich auch zwei verschiedene gleichzeitig betreiben?
Zwischen den Einrichtungen besteht ja IPSec. Warum sollte ich dann noch einen weiteren Tunnelaufbauen?
Re: Gast Netzwerk in der Filiale mit surfen aus der Zentrale
Du kannst bis zu 16 WLC-Tunnel gleichzeitig für unterschiedliche Zwecke nutzen.
Es gibt verschiedene Tunneltechnologien für die verschiedensten Einsatzzwecke. IPSec ist der klassische IP-VPN-Tunnel, dessen Zweck eine sichere und verschlüsselte Übertragung über IP-Netzwerke vorgesehen ist. Dieser kann aber eben nur IP-Traffic übertragen.
L2TPv3 ist ein Tunnel, der Layer 2-Traffic übertragen kann, also eine Ebene tiefer ansetzt. Der WLC-Tunnel macht nichts anderes, ist aber hersteller- und gerätespezifisch. Hier wird für jeden AP ein eigener Tunnel angelegt, während man L2TPv3-Tunnel sowohl vom Router als auch vom AP aufbauen kann und der Konzentrator muss nicht der WLC sein. Rein theoretisch können sogar Fremdgeräte so eingebunden werden.
L2TPv3 ist halt die offenere Variante des WLC-Tunnels.
Während du bei einem IPSec-Tunnel zig IP-Netzwerke trennen und wieder zusammenführen musst für dein Szenario, wird bei einem L2TPv3- oder WLC-Tunnel das ganze bereits getrennt übertragen und dann an anderer Stelle in ein großes Netz zusammengeführt. Dieses erspart, meiner Meinung nach, viel Arbeit und erhöht die Sicherheit.
Da ein L2TPv3- oder WLC-Tunnel nicht auf Sicherheit ausgelegt sind, wäre eine Übertragung des L2TPv3- oder WLC-Tunnels innerhalb des IPSec-Tunnels angeraten.
Was du am Ende nutzt, ist deine Entscheidung. Ich habe alles bereits durchgetestet und mit der L2TPv3-Variante laufe ich seit Jahren am besten, mit etwa 2500 Geräten, die sich tagtäglich damit verbinden.
Es gibt verschiedene Tunneltechnologien für die verschiedensten Einsatzzwecke. IPSec ist der klassische IP-VPN-Tunnel, dessen Zweck eine sichere und verschlüsselte Übertragung über IP-Netzwerke vorgesehen ist. Dieser kann aber eben nur IP-Traffic übertragen.
L2TPv3 ist ein Tunnel, der Layer 2-Traffic übertragen kann, also eine Ebene tiefer ansetzt. Der WLC-Tunnel macht nichts anderes, ist aber hersteller- und gerätespezifisch. Hier wird für jeden AP ein eigener Tunnel angelegt, während man L2TPv3-Tunnel sowohl vom Router als auch vom AP aufbauen kann und der Konzentrator muss nicht der WLC sein. Rein theoretisch können sogar Fremdgeräte so eingebunden werden.
L2TPv3 ist halt die offenere Variante des WLC-Tunnels.
Während du bei einem IPSec-Tunnel zig IP-Netzwerke trennen und wieder zusammenführen musst für dein Szenario, wird bei einem L2TPv3- oder WLC-Tunnel das ganze bereits getrennt übertragen und dann an anderer Stelle in ein großes Netz zusammengeführt. Dieses erspart, meiner Meinung nach, viel Arbeit und erhöht die Sicherheit.
Da ein L2TPv3- oder WLC-Tunnel nicht auf Sicherheit ausgelegt sind, wäre eine Übertragung des L2TPv3- oder WLC-Tunnels innerhalb des IPSec-Tunnels angeraten.
Was du am Ende nutzt, ist deine Entscheidung. Ich habe alles bereits durchgetestet und mit der L2TPv3-Variante laufe ich seit Jahren am besten, mit etwa 2500 Geräten, die sich tagtäglich damit verbinden.
LCS NC/WLAN
Re: Gast Netzwerk in der Filiale mit surfen aus der Zentrale
Vielen Dank für Deine Ausführungen.
So werde ich es machen.
So werde ich es machen.