Hallo zusammen!
Mal ein sehr untypisches Vorhaben:
2 Sites
Site A: Netz 192.168.2.0 /24 mit Lancom 8011 an 4 MBit SHDSL
Site B: Netz 192.168.1.0 /24 mit Lancom 1811 an 2 MBit SDSL
beide per IPSec VPN verbunden
Nun soll der gesamte Internetverkehr von Site B: über die VPN-Verbindung nach Site B geroutet werden und dort ins Internet gelange. Hintergrund ist, dass die IP-Adresse von Site B nicht bei Webshops auftauchen darf sondern nur die IP-Adresse von Site A. Daher ist auch der Inetverkehr bei Site B gesperrt und nur Traffic durch den VPN-Tunnel erlaubt.
Wie kann ich nun per getaggter Route festlegen dass der gesamte Inetverkehr von Site B über Site A ins Internet geleitet wird?
Und vor allem wie sieht es mit dem generellen Routen aus? Rückroute erforderlich? Oder ist das überhaupt nicht realisierbar?
Wer kann helfen? Danke im Voraus!
Grüße
Capricorn72
Inetverkehr durch VPN-Tunnel routen
Moderator: Lancom-Systems Moderatoren
-
capricorn72
- Beiträge: 38
- Registriert: 18 Jul 2005, 08:33
Inetverkehr durch VPN-Tunnel routen
Es gibt immer eine Lösung, man muss sie nur finden!
Hallo Capricorn72,
Zuerst muss die VPN-Regel in Site A erweitert werden, damit Site B überhaupt weitere Netze (also alle Netze im Internet) kontaktieren darf. Dazu eine neue Firewall-Regel anlegen, "Diese Regel ist für die Firewall aktiv" deaktivieren und "wird zur Erzeugung von VPN-Regeln herangezogen" aktivieren. Aktion natürlich übertragen. Bei Stationen: Quelle alle Stationen, Ziel Site B. Dienste: alle Protokolle.
Dann muss Site B gesagt werden, dass er alles über Site A routet. Dazu im IP-Router die default route (255.255.255.255 0.0.0.0) von Deinem SDSL-Provider auf die Gegenstelle Site A ändern und die IP-Maskierung abschalten.
Zuletzt noch DNS in Site B anpassen. Falls der Lancom in Site B DNS-Server für das Internet spielt, dort unter DNS -> Weiterleitungen einen neuen Eintrag erzeugen: Domäne * und als Gegenstelle die IP-Adresse (nicht den Gegenstellennamen!) eines DNS-Servers in Site A angeben, welcher dort die Namensauflösung fürs Internet übernimmt - also wahrscheinlich der Lancom in Site A.
Gruß
Mario
falls Du 'von Site B: über die VPN-Verbindung nach Site A' meinst, muss folgendes gemacht werden:Nun soll der gesamte Internetverkehr von Site B: über die VPN-Verbindung nach Site B geroutet werden und dort ins Internet gelange.
Zuerst muss die VPN-Regel in Site A erweitert werden, damit Site B überhaupt weitere Netze (also alle Netze im Internet) kontaktieren darf. Dazu eine neue Firewall-Regel anlegen, "Diese Regel ist für die Firewall aktiv" deaktivieren und "wird zur Erzeugung von VPN-Regeln herangezogen" aktivieren. Aktion natürlich übertragen. Bei Stationen: Quelle alle Stationen, Ziel Site B. Dienste: alle Protokolle.
Dann muss Site B gesagt werden, dass er alles über Site A routet. Dazu im IP-Router die default route (255.255.255.255 0.0.0.0) von Deinem SDSL-Provider auf die Gegenstelle Site A ändern und die IP-Maskierung abschalten.
Zuletzt noch DNS in Site B anpassen. Falls der Lancom in Site B DNS-Server für das Internet spielt, dort unter DNS -> Weiterleitungen einen neuen Eintrag erzeugen: Domäne * und als Gegenstelle die IP-Adresse (nicht den Gegenstellennamen!) eines DNS-Servers in Site A angeben, welcher dort die Namensauflösung fürs Internet übernimmt - also wahrscheinlich der Lancom in Site A.
Gruß
Mario
Hi eddia,
ganz so funktioniert's nicht...
in Site B muß eine Route zur öffentlichen Adresse des LANCOMs A eingetragen werden, die auf den SDSL-Provider zeigt.
Hat LANCOM A eine dyndns-Adresse, dann muß eine getaggte Default-Router her (da LANCOM A je jede beliebige Adresse haben kann):
und ein DNS-Forwarding-Eintrag für den dyndns-Namen zum SDSL-Provider (sonst gibt es ein "Henne und Ei" Problem):
Das Tag der getaggten Route trägst du dann noch bei der VPN-Verbindung als ein:
Damit sollte es funktionieren
Gruß
Guido
ganz so funktioniert's nicht...
in Site B muß eine Route zur öffentlichen Adresse des LANCOMs A eingetragen werden, die auf den SDSL-Provider zeigt.
Hat LANCOM A eine dyndns-Adresse, dann muß eine getaggte Default-Router her (da LANCOM A je jede beliebige Adresse haben kann):
Code: Alles auswählen
IP-Addresse: 255.255.255.255
Netzmaske: 0.0.0.0
Routing-Tag: 1
Router: INTERNET (oder wie auch immer die SDSL-gegenstelle heißt)
IP-Maskierung: Intranet und DMZ maskierenund ein DNS-Forwarding-Eintrag für den dyndns-Namen zum SDSL-Provider (sonst gibt es ein "Henne und Ei" Problem):
Code: Alles auswählen
Domäne: lancoma.dyndns.org
Gegenstelle: INTERNET (oder wie auch immer die SDSL-Gegenstelle heißt)Code: Alles auswählen
Name der Verbindung: VPN-A
Haltezeit: nach belieben
Dead Peer Detection: 30
Extranet-Adresse: 0.0.0.0
Entferntes Gateway: lancoma.dyndns.org
(...)
Routing-Tag: 1Gruß
Guido
Hallo Guido,
Warum Du hier eine Route auf das öffentliche Interface von Site A setzen willst, um warum Du überhaupt DynDNS erwähnst, ist mir nicht erklärbar.
Gruß
Mario
falls ich den OP richtig verstanden habe, soll sämtlicher Zugriff ins Internet von Site B über die VPN-Verbindung zu Site A abgewickelt werden. Und mit meiner Beschreibung funktioniert das auch genauso.ganz so funktioniert's nicht...
Warum Du hier eine Route auf das öffentliche Interface von Site A setzen willst, um warum Du überhaupt DynDNS erwähnst, ist mir nicht erklärbar.
Gruß
Mario
Hallo,
ich habe das auch mal so gemacht, wie Mario das beschrieben hat.
Ich hatte mich dabei sinngemäß an diese Anleitung gehalten: http://www2.lancom.de/kb.nsf/a5ddf48173 ... vpn,German
So untypisch finde ich das Vorhaben gar nicht ...
Viele Grüße,
Jirka
ich habe das auch mal so gemacht, wie Mario das beschrieben hat.
Ich hatte mich dabei sinngemäß an diese Anleitung gehalten: http://www2.lancom.de/kb.nsf/a5ddf48173 ... vpn,German
So untypisch finde ich das Vorhaben gar nicht ...
Viele Grüße,
Jirka
Hi eddia,
Gruß
Backslash
nein, das kann so nicht funktionieren, weil in deiner Beschreibung die Route zur öffentlichen Adresse von A fehlt.Und mit meiner Beschreibung funktioniert das auch genauso.
Ohne müßte der Tunnel zu A über den noch nicht bestehenden Tunnel zu A ausgehandelt werden - du siehst das Problem?Warum Du hier eine Route auf das öffentliche Interface von Site A setzen willst
Weil capricorn72 nicht gesagt hat, ob er feste oder dynamische Adressen hat - obwohl bei SDSL sind feste Adressen eigentlich üblich...um warum Du überhaupt DynDNS erwähnst, ist mir nicht erklärbar.
Gruß
Backslash
Hallo Backslash,
Gruß
Mario
da hast Du natürlich recht. An die Aushandlung des Tunnels hatte ich nicht gedacht. Komisch ist nur, dass bei bestehender VPN-Verbindung diese Route nicht notwendig ist. Aber auch da sollte doch eigentlich die öffentliche IP von Site A über die Internetverbindung erreichbar sein müssen?Ohne müßte der Tunnel zu A über den noch nicht bestehenden Tunnel zu A ausgehandelt werden - du siehst das Problem?
Gruß
Mario
-
capricorn72
- Beiträge: 38
- Registriert: 18 Jul 2005, 08:33
Hallo Leute!
Bitte nicht verwirren lassen. Es handelt sich hier nicht nur um den Verkehr ins andere LAN sondern um den kompletten Verkehr (LAN und Internet). Und wie Backslash schon richtig erkannt hat, SDSL hat wie üblich feste IP-Adressen. Ich kenne auch keinen Provider der dies nicht anbietet.
Also was ich gerade noch gesehen habe ist dass ich einen Schreibfehler drin habe. Nicht von Site B nach Site B soll geroutet werden sondern von B nach Site A, logisch!
Gruß
Capricorn72
Bitte nicht verwirren lassen. Es handelt sich hier nicht nur um den Verkehr ins andere LAN sondern um den kompletten Verkehr (LAN und Internet). Und wie Backslash schon richtig erkannt hat, SDSL hat wie üblich feste IP-Adressen. Ich kenne auch keinen Provider der dies nicht anbietet.
Also was ich gerade noch gesehen habe ist dass ich einen Schreibfehler drin habe. Nicht von Site B nach Site B soll geroutet werden sondern von B nach Site A, logisch!
Gruß
Capricorn72
Es gibt immer eine Lösung, man muss sie nur finden!
Hallo,
bitte auf keinen Fall den obigen Vorschlag umsetzen! Sobald man die default route auf die VPN-Verbindung umbiegt, reagiert der Lancom mit einem os_panic, der unmittelbar nach dem Booten in einer Endlosschleife immer wieder auftritt. Die Wiederherstellung der Funktion des Lancoms ist zwar möglich - aber das muss man sich ja nicht antun.
Gruß
Mario
bitte auf keinen Fall den obigen Vorschlag umsetzen! Sobald man die default route auf die VPN-Verbindung umbiegt, reagiert der Lancom mit einem os_panic, der unmittelbar nach dem Booten in einer Endlosschleife immer wieder auftritt. Die Wiederherstellung der Funktion des Lancoms ist zwar möglich - aber das muss man sich ja nicht antun.
Gruß
Mario
Hallo Backslash,
Gruß
Mario
als gebranntes Kind habe ich natürlich Deinen Hinweis berücksichtigt und auch diese Route vorher eingestellt. Das Ergebnis ist das selbe (an zwei unterschiedlichen Lancoms - probier es aus.ja, aber nur wenn man die Route zur öffentlichen IP des anderen LANCOMs vergißt (Henne und Ei...)
Gruß
Mario
Hallo capricorn72 ,
es ist doch nichts anderes als ein All-Tunneling, was auf VPN-Client Seite ohne Probleme moeglich ist.
Die Idee kam mir auch schon desoeferen einfach die Default-Route des LANCOm (als Router) vom Eintrag auf den ISP auf die VPN-Gegenstelle abzuaendern, um auch bei einer LAN-LAN Koppelung ein All-Tunneling zu erzielen, das capricorn72 einrichten moechte. Sprich er moechte, dass saemtliche Pakete ueber den Tunnel geroutet werden.
@eddia welche Default-Routen hast du den bei dir eingetragen?
es ist doch nichts anderes als ein All-Tunneling, was auf VPN-Client Seite ohne Probleme moeglich ist.
Die Idee kam mir auch schon desoeferen einfach die Default-Route des LANCOm (als Router) vom Eintrag auf den ISP auf die VPN-Gegenstelle abzuaendern, um auch bei einer LAN-LAN Koppelung ein All-Tunneling zu erzielen, das capricorn72 einrichten moechte. Sprich er moechte, dass saemtliche Pakete ueber den Tunnel geroutet werden.
@eddia welche Default-Routen hast du den bei dir eingetragen?
12x 1621 Anx. B-21x 1711 VPN-3x 1722 Anx. B-7x 1723 VoIP-1x 1811 DSL, 1x 7011 VPN-1 x 7111 VPN-1x 8011 VPN-10er Pack Adv. VPN Client (2x V1.3-3x 2.0)-Hotspot Option-Adv. VoIP Client/P250 Handset-Adv.VoIP Option-4x VPN-Option-2x L-54 dual-2x L54ag-2x O-18a
Hallo Backslash,
Sorry für die Panikmache.
So wie es aussieht, ist Dir das Problem mit dem os_panic bei fehlender hostroute aber bekannt(?)
Gruß
Mario
hab das heute noch mal ausprobiert und Du hast wieder Recht. Mit dieser Route gibt es keine Probleme. Ich frag mich nur, warum das gestern nicht funktioniert hat.a, aber nur wenn man die Route zur öffentlichen IP des anderen LANCOMs vergißt (Henne und Ei...)
Sorry für die Panikmache.
So wie es aussieht, ist Dir das Problem mit dem os_panic bei fehlender hostroute aber bekannt(?)
Gruß
Mario
Ja, ich habs ja schon mit den os_panics als Bug eingetragen.So wie es aussieht, ist Dir das Problem mit dem os_panic bei fehlender hostroute aber bekannt(?)
Ciao
LoUiS
Dr.House hat geschrieben:Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
danke, das hat mir echt weitergeholfenbackslash hat geschrieben:Hi eddia,
ganz so funktioniert's nicht...
in Site B muß eine Route zur öffentlichen Adresse des LANCOMs A eingetragen werden, die auf den SDSL-Provider zeigt.
Hat LANCOM A eine dyndns-Adresse, dann muß eine getaggte Default-Router her (da LANCOM A je jede beliebige Adresse haben kann):
Code: Alles auswählen
IP-Addresse: 255.255.255.255 Netzmaske: 0.0.0.0 Routing-Tag: 1 Router: INTERNET (oder wie auch immer die SDSL-gegenstelle heißt) IP-Maskierung: Intranet und DMZ maskieren
und ein DNS-Forwarding-Eintrag für den dyndns-Namen zum SDSL-Provider (sonst gibt es ein "Henne und Ei" Problem):
Das Tag der getaggten Route trägst du dann noch bei der VPN-Verbindung als ein:Code: Alles auswählen
Domäne: lancoma.dyndns.org Gegenstelle: INTERNET (oder wie auch immer die SDSL-Gegenstelle heißt)
Damit sollte es funktionierenCode: Alles auswählen
Name der Verbindung: VPN-A Haltezeit: nach belieben Dead Peer Detection: 30 Extranet-Adresse: 0.0.0.0 Entferntes Gateway: lancoma.dyndns.org (...) Routing-Tag: 1
Gruß
Guido
