lancom ikev2 extranet

[richie1985]

hi,

ich soll eine neue vpn auf ikev2 aufbauen. wir haben lokal einige netze die wir hinter einer host adresse naten sollen. war bei ikev1 kein problem (da gibts das feld extranet). bei ikev2 such ich danach aber vergebens

Wie kann ich das umsetzen?

Gruss!

Erik

[Dr.Einstein]

IP-WAN Liste nutzen auf die IPSec Verbindung und Maskierung in der Routing Tabelle anschalten.

Gruß Dr.Einstein

[MDCYP]

Wo finde ich das genau? IP-WAN Liste? Sehe auch gerade das mir "Extranet IP" bei IKEv2 fehlt..

[Dr.Einstein]

Hey,

unter Kommunikation / Protokolle / IP-Parameter einen Eintrag basierend auf deinem VPN Verbindungsnamen anlegen, nur IP + Subnet 255.255.255.255, Rest ignorieren.

Über die IPv4 Routing Tabelle sagst du bei allen Einträgen, die auf diese VPN Verbindung zeigen Maskierung aktivieren.

Danach einmal den VPn neu aufbauen lassen.

Gruß Dr.Einstein

[MDCYP]

Super - danke, funktioniert

[MDCYP]

Eine Frage noch.. wenn ich jetzt einen Dienst auf dieser IP (die ich als extranet IP sozusagen) angegeben habe, bereitstellen möchte. Wie würde ich das umsetzen ?

Also z.B.

10.140.20.19 auf port 443 soll weitergeleitet werden am LANCOM auf 192.168.3.4 443

[Dr.Einstein]

Ich wüsste nicht, wie du das Praxisbezogen mit Lancom nutzen können sollst. Lancom kann bei einer VPN Verbindung nur alles maskieren oder nichts (zumindest von dem selben Quellnetz).

Wenn die VPN Verbindung ausschließlich von der Quelle zu dem Ziel soll, dann könntest du eine Route zu dem Ziel anlegen mit einem Routing Tag, dass bisher nicht vergeben ist. Dazu kommt eine Firewallregel Quelle / Ziel (port), die auf das neu vergebene Routing Tag zeigt. Aber wie gesagt, ich glaube nicht, dass es das ist, was du suchst.

Gruß Dr.Einstein

[MDCYP]

Danke für deine Antwort - also vielleicht hab ich mich unpräzise ausgedrückt...

Ich möchte einfach bei diesem Side2Side VPN auf der extranet IP die wir haben und damit beim Kunden aufschlagen - auf dieser IP möchte ich auf Port 443 dann den Webserver verfügbar machen, der beim Lancom auf der 192.168.3.14 läuft. Quasi das der Kunde unsere Extranet IP aufruft und Port 443 dann den definierten Webserver erreicht auf unsere Seite.

Also quasi ein NAT von der VPN IP auf die LAN IP - geht das nicht?

[backslash]

Hi MDCYP,

da Extranet-VPN nichts anderes als eine Maskierung ist richtest du einfach ein Portforwarding ein, daß nur auf der VPN-Verbindung gelten soll.
Und, falls du in der Fierwall eine Deny-All-Strategie fährst, natürlich eine Firewallregel, die das erlaubt...


Gruß
Backslash

[MDCYP]

-

[MDCYP]

Hi MDCYP,

da Extranet-VPN nichts anderes als eine Maskierung ist richtest du einfach ein Portforwarding ein, daß nur auf der VPN-Verbindung gelten soll.
Und, falls du in der Fierwall eine Deny-All-Strategie fährst, natürlich eine Firewallregel, die das erlaubt...


Gruß
Backslash

@backslash: Ah, ok danke - dann geht das doch rel. einfach so wie ich dachte... einfach dann z.B.in der Port-Forwarding Tabelle:

Aktiv - Anfangs Port 443 - End-Port 443 - Gegenstelle VPNNAME - Adresse 192.168.3.14 - Map Port 443 - Protokoll TCP - WAN Adresse 0.0.0.0 ?

[backslash]

Hi MDCYP

Aktiv - Anfangs Port 443 - End-Port 443 - Gegenstelle VPNNAME - Adresse 192.168.3.14 - Map Port 443 - Protokoll TCP - WAN Adresse 0.0.0.0 ?

ja... den Map-Port kannst du dir i.Ü. auch sparen, wenn - wie hier - kein Portmapping statfinden soll...

Gruß
Backslash