lancom ikev2 extranet

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
richie1985
Beiträge: 45
Registriert: 22 Jun 2012, 15:34

lancom ikev2 extranet

Beitrag von richie1985 »

hi,

ich soll eine neue vpn auf ikev2 aufbauen. wir haben lokal einige netze die wir hinter einer host adresse naten sollen. war bei ikev1 kein problem (da gibts das feld extranet). bei ikev2 such ich danach aber vergebens :(

Wie kann ich das umsetzen?

Gruss!

Erik
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: lancom ikev2 extranet

Beitrag von Dr.Einstein »

IP-WAN Liste nutzen auf die IPSec Verbindung und Maskierung in der Routing Tabelle anschalten.

Gruß Dr.Einstein
MDCYP
Beiträge: 187
Registriert: 22 Okt 2015, 11:31
Wohnort: Dortmund

Re: lancom ikev2 extranet

Beitrag von MDCYP »

Wo finde ich das genau? IP-WAN Liste? Sehe auch gerade das mir "Extranet IP" bei IKEv2 fehlt..
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: lancom ikev2 extranet

Beitrag von Dr.Einstein »

Hey,

unter Kommunikation / Protokolle / IP-Parameter einen Eintrag basierend auf deinem VPN Verbindungsnamen anlegen, nur IP + Subnet 255.255.255.255, Rest ignorieren.

Über die IPv4 Routing Tabelle sagst du bei allen Einträgen, die auf diese VPN Verbindung zeigen Maskierung aktivieren.

Danach einmal den VPn neu aufbauen lassen.

Gruß Dr.Einstein
MDCYP
Beiträge: 187
Registriert: 22 Okt 2015, 11:31
Wohnort: Dortmund

Re: lancom ikev2 extranet

Beitrag von MDCYP »

Super - danke, funktioniert
MDCYP
Beiträge: 187
Registriert: 22 Okt 2015, 11:31
Wohnort: Dortmund

Re: lancom ikev2 extranet

Beitrag von MDCYP »

Eine Frage noch.. wenn ich jetzt einen Dienst auf dieser IP (die ich als extranet IP sozusagen) angegeben habe, bereitstellen möchte. Wie würde ich das umsetzen ?

Also z.B.

10.140.20.19 auf port 443 soll weitergeleitet werden am LANCOM auf 192.168.3.4 443
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: lancom ikev2 extranet

Beitrag von Dr.Einstein »

Ich wüsste nicht, wie du das Praxisbezogen mit Lancom nutzen können sollst. Lancom kann bei einer VPN Verbindung nur alles maskieren oder nichts (zumindest von dem selben Quellnetz).

Wenn die VPN Verbindung ausschließlich von der Quelle zu dem Ziel soll, dann könntest du eine Route zu dem Ziel anlegen mit einem Routing Tag, dass bisher nicht vergeben ist. Dazu kommt eine Firewallregel Quelle / Ziel (port), die auf das neu vergebene Routing Tag zeigt. Aber wie gesagt, ich glaube nicht, dass es das ist, was du suchst.

Gruß Dr.Einstein
MDCYP
Beiträge: 187
Registriert: 22 Okt 2015, 11:31
Wohnort: Dortmund

Re: lancom ikev2 extranet

Beitrag von MDCYP »

Danke für deine Antwort - also vielleicht hab ich mich unpräzise ausgedrückt...

Ich möchte einfach bei diesem Side2Side VPN auf der extranet IP die wir haben und damit beim Kunden aufschlagen - auf dieser IP möchte ich auf Port 443 dann den Webserver verfügbar machen, der beim Lancom auf der 192.168.3.14 läuft. Quasi das der Kunde unsere Extranet IP aufruft und Port 443 dann den definierten Webserver erreicht auf unsere Seite.

Also quasi ein NAT von der VPN IP auf die LAN IP - geht das nicht?
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: lancom ikev2 extranet

Beitrag von backslash »

Hi MDCYP,

da Extranet-VPN nichts anderes als eine Maskierung ist richtest du einfach ein Portforwarding ein, daß nur auf der VPN-Verbindung gelten soll.
Und, falls du in der Fierwall eine Deny-All-Strategie fährst, natürlich eine Firewallregel, die das erlaubt...


Gruß
Backslash
MDCYP
Beiträge: 187
Registriert: 22 Okt 2015, 11:31
Wohnort: Dortmund

Re: lancom ikev2 extranet

Beitrag von MDCYP »

-
Zuletzt geändert von MDCYP am 29 Apr 2020, 16:38, insgesamt 1-mal geändert.
MDCYP
Beiträge: 187
Registriert: 22 Okt 2015, 11:31
Wohnort: Dortmund

Re: lancom ikev2 extranet

Beitrag von MDCYP »

backslash hat geschrieben: 29 Apr 2020, 11:27 Hi MDCYP,

da Extranet-VPN nichts anderes als eine Maskierung ist richtest du einfach ein Portforwarding ein, daß nur auf der VPN-Verbindung gelten soll.
Und, falls du in der Fierwall eine Deny-All-Strategie fährst, natürlich eine Firewallregel, die das erlaubt...


Gruß
Backslash
@backslash: Ah, ok danke - dann geht das doch rel. einfach so wie ich dachte... einfach dann z.B.in der Port-Forwarding Tabelle:

Aktiv - Anfangs Port 443 - End-Port 443 - Gegenstelle VPNNAME - Adresse 192.168.3.14 - Map Port 443 - Protokoll TCP - WAN Adresse 0.0.0.0 ?
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: lancom ikev2 extranet

Beitrag von backslash »

Hi MDCYP
Aktiv - Anfangs Port 443 - End-Port 443 - Gegenstelle VPNNAME - Adresse 192.168.3.14 - Map Port 443 - Protokoll TCP - WAN Adresse 0.0.0.0 ?
ja... den Map-Port kannst du dir i.Ü. auch sparen, wenn - wie hier - kein Portmapping statfinden soll...

Gruß
Backslash
Antworten