Hallo zusammen,
gibt es die Möglichkeit pro SA mehrere Netze auszuhandeln oder ist pro Netzwerk, das durch den Tunnel soll, zwingend eine eigene SA erforderlich?
Hintergrund:
- VPN-Kopplung gegen Fremdgegenstelle
- auf der LANCOM-Seite sind zwei Netze anzusprechen
- Gegenstelle versucht 2 Netze pro SA auszuhandeln; der LANCOM akzeptiert nur das erste
Danke und Gruß
G.
LANCOM VPN - Mehrere Netze pro SA?
Moderator: Lancom-Systems Moderatoren
-
gustavgarstig
- Beiträge: 6
- Registriert: 24 Jun 2010, 10:06
Hallo
Du kannst mehrer Netze durch einen Tunnel schicken, das ist kein Problem.
Es ist so das pro Netz ein SA Paar (senden/empfangen) erzeugt wird
So weit ich das weis, ist das Standart bei VPN Aufbau egal welcher Hersteller .
Du musst im Lancom das Netz Einrichten inkl. der SA-Aushandlung. Vielleicht läuft da was schief.
Meine Glaskugel ist defekt gib ma ein bischen Input wie Du das Konfiguriert hast, welche Netze erreicht werden sollen auf welcher Seite.
Dann kann man es besser Erklären was eingerichtet werden muß
Trace VPN Status wäre noch interressant wenn die Aussenstelle versucht auf den Lancom zu kommen.
Bis dahin .....
Du kannst mehrer Netze durch einen Tunnel schicken, das ist kein Problem.
Es ist so das pro Netz ein SA Paar (senden/empfangen) erzeugt wird
So weit ich das weis, ist das Standart bei VPN Aufbau egal welcher Hersteller .
Du musst im Lancom das Netz Einrichten inkl. der SA-Aushandlung. Vielleicht läuft da was schief.
Meine Glaskugel ist defekt gib ma ein bischen Input wie Du das Konfiguriert hast, welche Netze erreicht werden sollen auf welcher Seite.
Dann kann man es besser Erklären was eingerichtet werden muß
Trace VPN Status wäre noch interressant wenn die Aussenstelle versucht auf den Lancom zu kommen.
Bis dahin .....
Hi gustavgarstig,
ich vermute mal, du verwechselst Tunnel mit SAs... Pro Netz, wird - wie schon ft2002 schierb - ein SA-Paar ausgehandelt. Welche SAs ausgehandelt werden dürfen, hängt von den VPN-Regeln ab. Die kannst du einsehen, wenn du per Telnet auf deas Gerät gehst und show vpn eingibst.
Wenn die Gegenseite zusätzliche Netze fordert, dann mußt du manuell weitere VPN-Regeln anlegen. Wie das geht, steht hier: http://www2.lancom.de/kb.nsf/1275/232DB ... enDocument
Gruß
Backslash
ich vermute mal, du verwechselst Tunnel mit SAs... Pro Netz, wird - wie schon ft2002 schierb - ein SA-Paar ausgehandelt. Welche SAs ausgehandelt werden dürfen, hängt von den VPN-Regeln ab. Die kannst du einsehen, wenn du per Telnet auf deas Gerät gehst und show vpn eingibst.
Wenn die Gegenseite zusätzliche Netze fordert, dann mußt du manuell weitere VPN-Regeln anlegen. Wie das geht, steht hier: http://www2.lancom.de/kb.nsf/1275/232DB ... enDocument
Gruß
Backslash
-
gustavgarstig
- Beiträge: 6
- Registriert: 24 Jun 2010, 10:06
Hi,
nein - da wird nix verwechselt. Es ist nicht zwingend notwendig, pro Netzwerk eine SA auszuhandeln, Ich bin es von anderen Herstellern (Cisco, Juniper, AVM, ...) gewohnt, auch mehrere Netze pro SA ansprechen zu können. Das funktioniert auch super. Bloß beim LANCOM habe ich die Einstellung noch nicht gefunden.
Wo ich den Rest im LANCOM konfiguriere (VPN-Regeln anlegen, ...) habe ich schon herausgefunden und mit mehreren SAs funktioniert auch alles super.
Vielleicht habt Ihr ja noch einen Tip für mich, oder kann der LANCOM so etwas einfach nicht?
Gruß
Gustav
nein - da wird nix verwechselt. Es ist nicht zwingend notwendig, pro Netzwerk eine SA auszuhandeln, Ich bin es von anderen Herstellern (Cisco, Juniper, AVM, ...) gewohnt, auch mehrere Netze pro SA ansprechen zu können. Das funktioniert auch super. Bloß beim LANCOM habe ich die Einstellung noch nicht gefunden.
Wo ich den Rest im LANCOM konfiguriere (VPN-Regeln anlegen, ...) habe ich schon herausgefunden und mit mehreren SAs funktioniert auch alles super.
Vielleicht habt Ihr ja noch einen Tip für mich, oder kann der LANCOM so etwas einfach nicht?
Gruß
Gustav
-
gustavgarstig
- Beiträge: 6
- Registriert: 24 Jun 2010, 10:06
Hallo gustavgarstig,
also für mich mal , wie tief bist Du mit der VPN Materie vertraut .
Denn ich mach das schon ein paar Tage, ich will ja nicht sagen das man nicht was dazulernen kann . Aber es wäre mir neu wenn nicht pro Netzbeziehung ein paar SA ausgehandelt wird, denn die SA`s sind für die Netzbeziehung und nicht für den Tunnel verantwortlich.
Also bis jetzt kenne ich nur Gerät die pro Netzbeziehung ein paar SA aushandeln und auch bei Cisco als Gegenstelle hab ich das vor nichtalzulanger Zeit in meinem Lancom so gemacht.
Ich hab einen VPN-Tunnel eingerichtet mit 2 Netzbeziehungen und im Lancom sind das nunmal pro Netzbeziehung ein paar SA
Was ist den das für ein Router inkl Modell mit dem Du Dich verbinden willst ?
Mach mal Show VPN und poste es inkl. ein Trace vom VPN Status wäre noch interressant wenn die Aussenstelle versucht auf den Lancom zu kommen
Auch die zu erreichenden Netze sind interresant.
Kurz mal aufschreiben.
Bis die Tage
also für mich mal , wie tief bist Du mit der VPN Materie vertraut .
Denn ich mach das schon ein paar Tage, ich will ja nicht sagen das man nicht was dazulernen kann . Aber es wäre mir neu wenn nicht pro Netzbeziehung ein paar SA ausgehandelt wird, denn die SA`s sind für die Netzbeziehung und nicht für den Tunnel verantwortlich.
Also bis jetzt kenne ich nur Gerät die pro Netzbeziehung ein paar SA aushandeln und auch bei Cisco als Gegenstelle hab ich das vor nichtalzulanger Zeit in meinem Lancom so gemacht.
Ich hab einen VPN-Tunnel eingerichtet mit 2 Netzbeziehungen und im Lancom sind das nunmal pro Netzbeziehung ein paar SA
Was ist den das für ein Router inkl Modell mit dem Du Dich verbinden willst ?
Mach mal Show VPN und poste es inkl. ein Trace vom VPN Status wäre noch interressant wenn die Aussenstelle versucht auf den Lancom zu kommen
Auch die zu erreichenden Netze sind interresant.
Kurz mal aufschreiben.
Bis die Tage
-
gustavgarstig
- Beiträge: 6
- Registriert: 24 Jun 2010, 10:06
Moin,
ein wenig Durchblick habe ich da schon.
Bei Geräten von Zyxel und AVM kann man zum Beispiel pro SA mehrere Netze ansprechen. Zyxel kann sowohl als auch; AVM aber nicht und genau um AVM geht es.
Der LANCOM hat das Netz 192.168.2.0/24; dahinter verbergen sich (unter 192.168.2.100) die Netze 192.168.1.0/24 und 192.168.6.0/24.
Die Gegenstelle (AVM) soll nun auf alle 3 Netze zugreifen können.
Bei dem Netz 2.x klappt das auch wunderbar; wenn der LANCOM die SAs für die anderen beiden Netze hochzieht, werden diese von AVM nicht angenommen.
Als Workarround könnte man ja in der Phase 2 sich mit dem Netz 192.168.0.0/16 identifizieren; bei AVM kann ich die Identitäten für localid und remoteid separat einstellen.
Klappt das auch beim LANCOM? Oder kommt der in Phase 2 immer mit seinem lokalen Netz (in meinem Fall 2.x)? Eine Einstellmöglichkeit für localid in Phase 2 habe ich beim LANCOM bisher nicht gefunden.
Danke und Gruß
Gustav
ein wenig Durchblick habe ich da schon.
Bei Geräten von Zyxel und AVM kann man zum Beispiel pro SA mehrere Netze ansprechen. Zyxel kann sowohl als auch; AVM aber nicht und genau um AVM geht es.
Der LANCOM hat das Netz 192.168.2.0/24; dahinter verbergen sich (unter 192.168.2.100) die Netze 192.168.1.0/24 und 192.168.6.0/24.
Die Gegenstelle (AVM) soll nun auf alle 3 Netze zugreifen können.
Bei dem Netz 2.x klappt das auch wunderbar; wenn der LANCOM die SAs für die anderen beiden Netze hochzieht, werden diese von AVM nicht angenommen.
Als Workarround könnte man ja in der Phase 2 sich mit dem Netz 192.168.0.0/16 identifizieren; bei AVM kann ich die Identitäten für localid und remoteid separat einstellen.
Klappt das auch beim LANCOM? Oder kommt der in Phase 2 immer mit seinem lokalen Netz (in meinem Fall 2.x)? Eine Einstellmöglichkeit für localid in Phase 2 habe ich beim LANCOM bisher nicht gefunden.
Danke und Gruß
Gustav
Ah wir kommen der Sache näher, welche Fritzbox hast Du denn.
Müsste ich mal in meinem Sammelsorium nachschauen , hirgendwann hatte ich das schon mal.
Schreib mal welche Box genau das ist.
Mann kann sich auf den Lancom als Client einwählen und es wird dann zur Fritzbox alles unter einer Adresse Maskiert. Wenn Du nur von AVM zum Lancom willst ist das ok aber dann hat man ein problem zum Client auf der AVM Seite.
Sag mal kurz was Du erreichen willst und dann schau ich mal kurz ob ich was Passendes hab.
Bis die Tage
Müsste ich mal in meinem Sammelsorium nachschauen , hirgendwann hatte ich das schon mal.
Schreib mal welche Box genau das ist.
Mann kann sich auf den Lancom als Client einwählen und es wird dann zur Fritzbox alles unter einer Adresse Maskiert. Wenn Du nur von AVM zum Lancom willst ist das ok aber dann hat man ein problem zum Client auf der AVM Seite.
Sag mal kurz was Du erreichen willst und dann schau ich mal kurz ob ich was Passendes hab.
Bis die Tage
-
gustavgarstig
- Beiträge: 6
- Registriert: 24 Jun 2010, 10:06
ja wenn Du unter VPN-Verbindungsliste die Gegenstelle auswählst und dort
von Automatik auf Hand umstellst.
dann einen Routingeintrag auf die Gegenstelle und eine Firewallregell generieren
VPN-Regel:
1. Reiter hacken bei 2 und 4
2. Reiter Accept
3. Reiter von Dein Netz (192.168.x.x) an die Netze der Gegenstell
4. Reiter
nur so wird für jede Netzbeziehung eine SA-Paar erzeugt.
Dum musst ja auch im AVM Fritzbox das Routing anpassen da ja sonst die Rückroute nicht funktioniert !
Wie machst Du das zumal Du hier von mehreren Boxen sprichst ?
_____________________________________________________________
Mann kann sich in die Problematik nicht reindenken wenn mann keine Info hat.
Du willst nee Sache machen die nicht von der Stange kommt und machst Dir nicht mal die Mühe Info`s zu geben wie z.B. eine Zeichnung mit IP-Kreisen und welche erreicht werden sollen.
Ich versuche gern zu helfen nur ist mir dann irgendwann die Zeit zu schade. Sorry
Viel Spaß beim Fragen stellen.......
von Automatik auf Hand umstellst.
dann einen Routingeintrag auf die Gegenstelle und eine Firewallregell generieren
VPN-Regel:
1. Reiter hacken bei 2 und 4
2. Reiter Accept
3. Reiter von Dein Netz (192.168.x.x) an die Netze der Gegenstell
4. Reiter
nur so wird für jede Netzbeziehung eine SA-Paar erzeugt.
Dum musst ja auch im AVM Fritzbox das Routing anpassen da ja sonst die Rückroute nicht funktioniert !
Wie machst Du das zumal Du hier von mehreren Boxen sprichst ?
_____________________________________________________________
Mann kann sich in die Problematik nicht reindenken wenn mann keine Info hat.
Du willst nee Sache machen die nicht von der Stange kommt und machst Dir nicht mal die Mühe Info`s zu geben wie z.B. eine Zeichnung mit IP-Kreisen und welche erreicht werden sollen.
Ich versuche gern zu helfen nur ist mir dann irgendwann die Zeit zu schade. Sorry
Viel Spaß beim Fragen stellen.......
-
gustavgarstig
- Beiträge: 6
- Registriert: 24 Jun 2010, 10:06
Hi gustavgarstig
Udn damit steht fest: Du verwechselst sehr wohl Tunnel mit SAs...
Gruß
Backslash
Genau dieses Szenario ist in dem vom mir angegebenen Link beschrieben.Der LANCOM hat das Netz 192.168.2.0/24; dahinter verbergen sich (unter 192.168.2.100) die Netze 192.168.1.0/24 und 192.168.6.0/24.
Udn damit steht fest: Du verwechselst sehr wohl Tunnel mit SAs...
ja, aber nur wenn du für die Gegenstelle die automatische Regelerzeung abschaltest und manuell eine VPN-Regel in der Firewall einträgst:Als Workarround könnte man ja in der Phase 2 sich mit dem Netz 192.168.0.0/16 identifizieren; (...) Klappt das auch beim LANCOM? Oder kommt der in Phase 2 immer mit seinem lokalen Netz (in meinem Fall 2.x)?
Code: Alles auswählen
[x] Diese Regel wird zur Erzeugung von VPN-Regeln herangezogen
Aktion übertragen
Quelle: 192.168.0.0/255.255.0.0
Ziel: VPN-gegenstelle
Dienste: alle Diensteschau mal unter VPN -> IKE-Azth. -> IKE-Schlüssel und Identitäten nachbei AVM kann ich die Identitäten für localid und remoteid separat einstellen. (...) Eine Einstellmöglichkeit für localid in Phase 2 habe ich beim LANCOM bisher nicht gefunden.
Gruß
Backslash