GW Maskierung in ein internes Netz funktioniert nicht?!

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
matz
Beiträge: 3
Registriert: 05 Okt 2017, 03:29

GW Maskierung in ein internes Netz funktioniert nicht?!

Beitrag von matz »

Hallo,

bin Einsteiger bei LANCOM VPN Routern. Habe hier einen 1781EF+ der an einem bestehenden Netz als VPN Gateway eingehängt werden soll. Über den sollen sich Mitarbeiter einwählen, also keine LAN-LAN Verbindung. Das Problem ist nun, das die Verbindungen durch den Tunnel im internen Netz mit der VPN Intranet IPs aufschlagen und an den Zielrechnern damit durch Firewall/Virenscanner geblockt werden. Im VPN routing ist das interne Netz eingetragen inklusive aktivierter Maskierung: 192.168.0.0 | 255.255.255.0 | Router 192.168.0.250
192.168.0.250 ist die IP, mit der der VPN Router im internen Netz hängt. VPN Intranet ist nur in der Kiste gültig, denn das interne Netz ist komplett eigenständig mit Router, Internet, VoIP etc. und die VPN Verbindungen sollen keine IPs aus dem Bereich bekommen.

Wenn ich die Maskierung für die Route aktiviere, würde ich erwarten, dass die internen Rechner nur die GW IP 192.168.0.250 sehen statt die VPN Intranet IP des Tunnels?! Gibt es bei LANCOM einen Trick, das doch hinzubekommen? Möchte ungern nur deshalb alles noch zusätzlich durch den vorhanden Router leiten müssen.

Danke für jeden Tipp
M.
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: GW Maskierung in ein internes Netz funktioniert nicht?!

Beitrag von Dr.Einstein »

Hi Matz,

ja, die Funktion vermisse ich schon lange. Lancom beherrscht das NAT nur auf WAN Gegenstelle, also benamte Verbindungen. Hast du evtl die Möglichkeit, eine IPoE Verbindung zum 192.168.x.y er Netz aufzubauen? Weil damit könntest du NAT/PAT aktivieren. Dann ist aber das 192.168.x.y explizit intern als WAN deklariert, was manche LAN Funktionen verhindert.

Gruß Dr.Einstein
matz
Beiträge: 3
Registriert: 05 Okt 2017, 03:29

Re: GW Maskierung in ein internes Netz funktioniert nicht?!

Beitrag von matz »

Hallo Einstein,

das hatte ich tatsächlich auch schon überlegt und versucht die Route mal als zweites default GW umzusetzen mit [255.255.255.255 | 0.0.0.0 => 192.168.0.250], hat aber nichts gebracht oder die Firewall hat wegen der hinterlegten SAs irgendwas überschrieben und die routing Einträge wieder lahm gelegt. Ausserdem wird das später wohl Probleme machen, wenn jemand z.B. mit "tunnel all" reinkommt. Keine Ahnung :G)

In meiner Testumgebung ist die fehlende Maskierung tatsächlich ein größeres Problem als nachher im Produktivsystem. Jetzt route ich zwischen 172.28.1.0 und 192.168.0.0, nachher ist es 172.28.1.0 und 172.28.0.0. Per DHCP könnte ich dann intern die Maske 255.255.0.0 ausliefern und die Anfragen dürften dann nicht mehr auf den einzelnen Rechner geblockt werde. Bin mir nur noch nicht sicher, ob ich mir dadurch nicht irgendwelche anderen Sicherheitslücken aufreiße, z.B. gibt es bereits ein Gäste-LAN auf 172.28.2.0. Zumindest irgendwie lösbar, mich stört nur, dass ich das nicht komplett in der VPN Kiste geregelt bekomme, sondern nur für VPN auch noch im Hauptnetz an die Konfig ran muss. Da erinnert sich in 4 Wochen wieder niemand mehr dran und wenn der erste dann schreit "mein VPN geht nicht", geht wieder alles von vorne los :cry:

Bleibt die Frage, ob die Option "maskieren DMZ und Intranet" nun im LANCOM nur nicht funktioniert (Firmware Bug) oder die Option nur für reinkommenden traffic gedacht ist (internes Netz -> Router Interface LANCOM [Maskierung] -> VPN Tunnel -> Einwahl Client/entferntes Netz)? Oder mir irgendwo noch eine weitere Option/Einstellung fehlt, damit die Maskierung auch wirklich aktiviert wird?
Oder, wie Du schreibst, für meinen Anwendungsfall so nicht vorgesehen ist. Nur ist diese Option dann bei den Routing Einstellungen, meiner Meinung nach, mehr als missverständlich :|


Gruß
M.
matz
Beiträge: 3
Registriert: 05 Okt 2017, 03:29

Re: GW Maskierung in ein internes Netz funktioniert nicht?!

Beitrag von matz »

Hallo nochmal,

der Vorschlag mit dem zweiten WAN scheint zu funktionieren, danke Einstein. Mein vorheriger Versuch als zweites default GW war auch etwas halbherzig. Das interne Netz habe ich jetzt über einen als DSL2 konfigurierten Port angeschlossen und die Route entsprechend über diesen "Router" eingestellt. Die Maskierungs-IP lässt sich auch noch explizit angeben.

Ein Gutes hat dieses Problem ja, es zwingt einen nochmal über die Sicherheitsaspekte nachzudenken :oops: und vielleicht ist die Lösung mit dem zweiten WAN sogar die bessere, da der Weg von innen zum VPN Tunnel per default dicht ist. Mal sehen, ob sich das auch mit der weiteren Konfiguration verträgt, Radius, LAN-LAN, IKEv2, ...


Gruß
M.
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: GW Maskierung in ein internes Netz funktioniert nicht?!

Beitrag von Jirka »

Hi,
matz hat geschrieben:Bleibt die Frage, ob die Option "maskieren DMZ und Intranet" nun im LANCOM nur nicht funktioniert (Firmware Bug)
wie Dr. Einstein schon schrieb... Works as designed würde manch einer sagen. Maskierung geht nur über angelegte/konfigurierte Gegenstellen. Ein Bug ist es also eher nicht, auch wenn das vielleicht so aussieht. Ein Feature-Wunsch wäre das.

Viele Grüße,
Jirka
Antworten