Konfiguration externer Router

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
zickzack111
Beiträge: 21
Registriert: 09 Apr 2017, 15:49

Konfiguration externer Router

Beitrag von zickzack111 »

Hallo,

ich habe mal eine Frage bezüglich einer Konfiguration an die Profis hier im Forum,

ich habe einen Lancom Router mit mehreren Vlans im Einsatz. Der Lancom dient als Gateway ins Internet und stellt mehrere VPN Zugänge in die verschiedenen Vlans bereit.

Jetzt möchte ich anstelle des Lancoms einen anderen Router als DHCP, Gateway und Routing zwischen den VLans im Netzwerk verwenden. Der Lancom soll aber weiter die VPN Zugänge bereitstellen. Wie muss ich denn nun die VPN Konfig anpassen damit die VPN Clients in die anderen VLans am anderen Router kommen? Muss ich da was im VPN CLient einstellen oder in der Routing Tabelle am Lancom? Ich suche die Tabelle entfernte Netzwerke. Irgendwie fehlt mir da gerade etwas der Überblick.

Danke schon mal für eure Hilfe

Grüße
zickzack111
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: Konfiguration externer Router

Beitrag von Dr.Einstein »

Hey zickzack111,

kommt auf dein Design an, hast du folgendes gebaut?:

Lancom --192.168.1.0/24 -- L3 Switch/Router/Firewall --- 192.168.2.0/24 + 192.168.3.0/24 + 192.168.4.0/24 +...

Wenn ja, sollte das gar nicht weiter schwer sein. Du hast dann im Lancom Router die Netze, die sich jetzt hinterm L3 Swich / anderen Router befinden,im Lancom Router entfernt und dafür jeweils eine statische Route angelegt, die auf die Adresse des L3 Switches verweist (1er Netz). Deine VPN Clients müssen jetzt jedoch eine LAN IP aus dem 1er bekommen, oder du vergibst komplett andere Bereiche, die du intern gar nicht verwendest. In den Clients sollten mMn die Einstellungen identisch bleiben, da hier als entferntes Netz weiterhin das 2er 3er oder 4er hinterlegt ist.

Wo genau klemmt es denn aktuell?

Gruß Dr.Einstein
zickzack111
Beiträge: 21
Registriert: 09 Apr 2017, 15:49

Re: Konfiguration externer Router

Beitrag von zickzack111 »

Hallo Einstein,

danke für die Anregung, ich hatte da an folgendes Setup gedacht.

Ich wollte den Lancom in jedem Vlan als Mitglied mit einer eigenen IP lassen, nur den DCHP deaktivieren. Ich dachte mir das ich dann weiter ganz normal die VPN Zugänge in den einzelnen Vlans drin habe, das einzige was ich halt noch breuchte wäre die Möglichkeit das der eine oder andere VPN Zugang noch andere Vlans erreichen soll, würde es da reichen in der Routing Tabelle vom Lancom die anderen Netzwerke und als Router den neuen Router einzutragen?

Deine Lösung ist auch ganz interessant, da habe ich nicht dran gedacht. Aber wie kann ich denn dann die einzelnen VPN Zugänge in die verschiedenen Vlans an neuen Router routen?, und vor allem sollen sich diese untereinander nicht erreichen können, wie kann ich das denn im selben Subnetz vom Lancom machen?

Gruß
zickzack111
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: Konfiguration externer Router

Beitrag von Dr.Einstein »

Hey zickzack111,
zickzack111 hat geschrieben: 19 Jun 2018, 21:19 Ich wollte den Lancom in jedem Vlan als Mitglied mit einer eigenen IP lassen, nur den DCHP deaktivieren. Ich dachte mir das ich dann weiter ganz normal die VPN Zugänge in den einzelnen Vlans drin habe, das einzige was ich halt noch breuchte wäre die Möglichkeit das der eine oder andere VPN Zugang noch andere Vlans erreichen soll, würde es da reichen in der Routing Tabelle vom Lancom die anderen Netzwerke und als Router den neuen Router einzutragen?
Eher die Firewall, als die Routing Tabelle. Du kannst neben VPN Regeln in der Firewall, auch ganz normale Firewallregeln schreiben. Einfach Quelle VPN Client 1 Ziel Alle Aktion : DROP. VPN Client 1 Ziel Netz 1 + Netz 2, Aktion: ACCEPT. Nach dem Muster solltest du alles erreichen können, was du brauchst.Aufpassen musst du nur, wenn du Netzwerk-Tags verwendest. Dann solltest du diese auch in den Firewallregeln verwenden (Quell/Ziel Tag)
zickzack111 hat geschrieben: 19 Jun 2018, 21:19 Deine Lösung ist auch ganz interessant, da habe ich nicht dran gedacht. Aber wie kann ich denn dann die einzelnen VPN Zugänge in die verschiedenen Vlans an neuen Router routen?, und vor allem sollen sich diese untereinander nicht erreichen können, wie kann ich das denn im selben Subnetz vom Lancom machen?
Genauso wie oben, einfach Firewallregeln erstellen, die deine Anforderungen erfüllen. Über die Routing Tabelle machst du im ersten Schritt die Netze untereinander erreichbar, verhinderst dann aber mittels Regeln ungewollte Kommunikationsrichtungen.

Gruß Dr.Einstein
zickzack111
Beiträge: 21
Registriert: 09 Apr 2017, 15:49

Re: Konfiguration externer Router

Beitrag von zickzack111 »

Hallo Einstein,

ich habe jetzt den Router neu konfiguriert und deinen Vorschlag folgendermaßen konfiguriert.

1> Für jedes Lan hinter der Firewall habe ich eine Route mit dem Gateway der FW in der Routingtabelle angelegt.
2> die VPN Clients bekommen jetzt alle eine feste IP aus dem Transfernetz
3> In der Firewall des Lancom Routers habe ich mit Regeln für die einzelnen Clients erst mal alles verboten und dann jeweils das Lan hinter der zweiten Firewall erlaubt. Das funktioniert jetzt auch alles soweit so wie es soll.

Jetzt hätte ich noch 2 Fragen, reicht das um die Zugänge sicher von einander zu trennen? Wie müsste ich denn das ganze konfigurieren um die gewünschten FW Regeln auf der neuen FW einstellen zu können. Wenn ich im Lancom alles bis auf die IP der neuen FW verbiete, kriege ich keine Verbindung mehr zustande, mache ich da einen Gedankenfehler?

Grüße
zickzack111
Antworten