Hallo!
Folgendes Scenario:
1x 8011 VPN mit mehreren VPN Endpunkten (1711 VPN)
Die Tunnel stehen und Kommunikation zu den jeweiligen Standorten klappt.
Was aber nicht klappt, ist die Kommunikation der VPN Endstellen untereinander.
Was muss ich an dem 8011 VPN und/oder den 1711 VPN einstellen, damit auch alle VPN-Standorte untereinander über den 8011 VPN kommunizieren können.
Mein Traceroute aus einem der Standorte zu einem anderen endet immer am 8011.
Danke.
Klaus
IntraVPN Traffic
Moderator: Lancom-Systems Moderatoren
-
marsbewohner
- Beiträge: 532
- Registriert: 27 Mär 2007, 13:17
Wissen die Standorte denn untereinander, das sie um die anderen ansprechen zu können,
erst über den 8011er gehen müssen? Wir haben das so gelöst, das in jeder Außenstelle
eine Route angelegt wird, für jeden Adressbereich einer anderen Gegenstelle eine,
und als Router dazu wird der 8011er als Gegenstelle ausgewählt.
Gruß,
erst über den 8011er gehen müssen? Wir haben das so gelöst, das in jeder Außenstelle
eine Route angelegt wird, für jeden Adressbereich einer anderen Gegenstelle eine,
und als Router dazu wird der 8011er als Gegenstelle ausgewählt.
Gruß,
Hi kroerig
damit der Traffic unter den Stationen funktioniert, guibt es zwei Möglichkeiten:
1. Du baust zwischen allen stationen separate VPN-Tunnel auf.
2. Du leitest den Traffic über die Zentrale.
Wenn du den Traffic über die Zentrale leitest, dann mußt du manuell zusätzliche VPN-Regeln anlegen, die den Traffic zwischen den Filialen erlauben:
Du hast z.B. z.B. drei Filialen mit den folgenden Netzen:
Filiale1: 192.168.1.x
Filiale2: 192.168.2.x
Filiale3: 192.168.3.x
und die Zentrale hat das Netz 192.168.0.x
Dann brauchst du zunächst in den Filialen eine Route zur Zentrale und den übrigen Filialen und in der Zentrale Routen zu den Filialen:
In der Zentrale brauchst du zusätzlich folgende VPN-Regeln in der Firewall:
Die Anzahl der Regeln steigt mit der Anzahl der Filialen: bei N Filialen brauchst du 2N-1 Regeln.
Das Ganze wird sehr schnell unübersichtlich, weshalb du sinnvoller mit "zusammengefaßten" Netzen arbeitest. Im obigem Beispiel könntest du die Netze zu 192.168.x.x zusammenfassen. In diesem Fall trägst du in den Filialen nur eine Route ein - nämlich eine, die das 192.168.x.x Netz auf den VPN-Tunnel legt:
In der Zentrale brauchst du dann nur noch eine "jeder darf mit jedem" Regel:
Gruß
Backslash
damit der Traffic unter den Stationen funktioniert, guibt es zwei Möglichkeiten:
1. Du baust zwischen allen stationen separate VPN-Tunnel auf.
2. Du leitest den Traffic über die Zentrale.
Wenn du den Traffic über die Zentrale leitest, dann mußt du manuell zusätzliche VPN-Regeln anlegen, die den Traffic zwischen den Filialen erlauben:
Du hast z.B. z.B. drei Filialen mit den folgenden Netzen:
Filiale1: 192.168.1.x
Filiale2: 192.168.2.x
Filiale3: 192.168.3.x
und die Zentrale hat das Netz 192.168.0.x
Dann brauchst du zunächst in den Filialen eine Route zur Zentrale und den übrigen Filialen und in der Zentrale Routen zu den Filialen:
Code: Alles auswählen
Filiale1:
192.168.0.0 255.255.255.0 => ZENTRALE
192.168.2.0 255.255.255.0 => ZENTRALE
192.168.3.0 255.255.255.0 => ZENTRALE
Filiale2:
192.168.0.0 255.255.255.0 => ZENTRALE
192.168.1.0 255.255.255.0 => ZENTRALE
192.168.3.0 255.255.255.0 => ZENTRALE
Filiale3:
192.168.0.0 255.255.255.0 => ZENTRALE
192.168.1.0 255.255.255.0 => ZENTRALE
192.168.2.0 255.255.255.0 => ZENTRALE
Zentrale:
192.168.1.0 255.255.255.0 => FILIALE1
192.168.2.0 255.255.255.0 => FILIALE2
192.168.3.0 255.255.255.0 => FILIALE3
In der Zentrale brauchst du zusätzlich folgende VPN-Regeln in der Firewall:
Code: Alles auswählen
Name: Filiale1->Filiale2
[x] Diese Regel wird zur Erzeugung von VPN-Regeln herangezohen
Aktion: übetragen
Quelle: 192.168.1.0/255.255.255.0
Ziel: 192.168.2.0/255.255.255.0
Dienste: alle Dienste
Name: Filiale1->Filiale3
[x] Diese Regel wird zur Erzeugung von VPN-Regeln herangezohen
Aktion: übetragen
Quelle: 192.168.1.0/255.255.255.0
Ziel: 192.168.3.0/255.255.255.0
Dienste: alle Dienste
Name: Filiale2->Filiale1
[x] Diese Regel wird zur Erzeugung von VPN-Regeln herangezohen
Aktion: übetragen
Quelle: 192.168.2.0/255.255.255.0
Ziel: 192.168.1.0/255.255.255.0
Dienste: alle Dienste
Name: Filiale2->Filiale3
[x] Diese Regel wird zur Erzeugung von VPN-Regeln herangezohen
Aktion: übetragen
Quelle: 192.168.2.0/255.255.255.0
Ziel: 192.168.3.0/255.255.255.0
Dienste: alle Dienste
Name: Filiale3->Filiale1
[x] Diese Regel wird zur Erzeugung von VPN-Regeln herangezohen
Aktion: übetragen
Quelle: 192.168.3.0/255.255.255.0
Ziel: 192.168.1.0/255.255.255.0
Dienste: alle Dienste
Das Ganze wird sehr schnell unübersichtlich, weshalb du sinnvoller mit "zusammengefaßten" Netzen arbeitest. Im obigem Beispiel könntest du die Netze zu 192.168.x.x zusammenfassen. In diesem Fall trägst du in den Filialen nur eine Route ein - nämlich eine, die das 192.168.x.x Netz auf den VPN-Tunnel legt:
Code: Alles auswählen
FilialeX:
192.168.0.0 255.255.0.0 => ZENTRALE
In der Zentrale brauchst du dann nur noch eine "jeder darf mit jedem" Regel:
Code: Alles auswählen
Name: FilialeX->FilialeY
[x] Diese Regel wird zur Erzeugung von VPN-Regeln herangezohen
Aktion: übetragen
Quelle: 192.168.0.0/255.255.0.0
Ziel: 192.168.0.0/255.255.0.0
Dienste: alle Dienste
Backslash