Moin,
folgendes Szenario:
Ein bestehendes Site-to-Site Vpn mit jeweils einem Lancom 1721 Router an den Endpunkten.
Nun soll bei einem Standort der Traffic über eine Firewall geführt werden.
Ist:
LAN1 --> VPN mit Lancom1 Public IP --> Internet --> VPN mit Lancom2 Public IP --> LAN2
Soll:
LAN1 --> VPN mit Lancom1 Public IP --> Firewall (Fortinet) Public IP --> Internet --> VPN mit Lancom2 Public IP --> LAN2
Hierzu folgende Frage:
Muss auf dem Lancom die Public IP erhalten bleiben, damit keine Neukonfiguration der VPNs nötig wird?
Gruss und Danke
Günter
Lancom wandert hinter Firewall
Moderator: Lancom-Systems Moderatoren
Re: Lancom wandert hinter Firewall
Hi Günther,VHSGM hat geschrieben: 02 Aug 2023, 14:03 Moin,
folgendes Szenario:
Ein bestehendes Site-to-Site Vpn mit jeweils einem Lancom 1721 Router an den Endpunkten.
Nun soll bei einem Standort der Traffic über eine Firewall geführt werden.
Ist:
LAN1 --> VPN mit Lancom1 Public IP --> Internet --> VPN mit Lancom2 Public IP --> LAN2
Soll:
LAN1 --> VPN mit Lancom1 Public IP --> Firewall (Fortinet) Public IP --> Internet --> VPN mit Lancom2 Public IP --> LAN2
Hierzu folgende Frage:
Muss auf dem Lancom die Public IP erhalten bleiben, damit keine Neukonfiguration der VPNs nötig wird?
Gruss und Danke
Günter
Wenn Lancom 1 das VPN aufbaut, gibts du dem einen IP i LAN der Firewall und erlaubst nur ausgehen IPSEC Traffic auf der Firewall.
Wenn der Lancom 2 das VPN aufbaut, dann gibts du wieder dem Lancom i am Public Interface eine IP aus dem LAN der Firewall,
gibts der Firewall die Public IP und macht dann nioch in der Firewall Portforwarding für die Ports 500 und ggf 4500 auf die neue IP am
public Interface des Lancom.
Viele Grüße
ts
TakeControl: Config Backup für LANCOM Router, WLC, APs, Firewalls und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
Re: Lancom wandert hinter Firewall
Moin besten Dank,
ich werde es so umsetzen und berichten
Gruss Günter
ich werde es so umsetzen und berichten
Gruss Günter
Re: Lancom wandert hinter Firewall
gerneVHSGM hat geschrieben: 03 Aug 2023, 15:19 Moin besten Dank,
ich werde es so umsetzen und berichten
Gruss Günter
Welche Firewall nimmst Du da eigentlich?
Viele Grüße
ts
TakeControl: Config Backup für LANCOM Router, WLC, APs, Firewalls und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
Re: Lancom wandert hinter Firewall
Hallo,
Firewall ist eine Fortigate.
Kurze Nachfrage:
Ich muss dem Lancom auf der WAN-Schnittstelle eine lokale IP geben,
damit der VPN-Traffic von der Firewall dorthin geleitet werden kann, korrekt?
Gruss Günter
Firewall ist eine Fortigate.
Kurze Nachfrage:
Ich muss dem Lancom auf der WAN-Schnittstelle eine lokale IP geben,
damit der VPN-Traffic von der Firewall dorthin geleitet werden kann, korrekt?
Gruss Günter
Re: Lancom wandert hinter Firewall
Ja eine IP aus dem LAN der Fortigate.VHSGM hat geschrieben: 08 Aug 2023, 12:57 Hallo,
Firewall ist eine Fortigate.
Kurze Nachfrage:
Ich muss dem Lancom auf der WAN-Schnittstelle eine lokale IP geben,
damit der VPN-Traffic von der Firewall dorthin geleitet werden kann, korrekt?
Gruss Günter
Also brauchst du dafür ein kleines Zwischen IP Netz
Viele Grüße
ts
TakeControl: Config Backup für LANCOM Router, WLC, APs, Firewalls und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
Re: Lancom wandert hinter Firewall
Hallo Günter,
im Zusammenhang mit deiner Frage würde mich interessieren was der Grund für diesen Schritt ist.
Hat der Lancom Router noch irgendwelche Services welche die Fortigate nicht bietet ?
Persönlich habe ich mir eher Probleme geschaffen statt gelöst mit solchen "Reihenschaltungen" .
Magst Du uns (mich) dazu erhellen
Beste Grüße
kl
im Zusammenhang mit deiner Frage würde mich interessieren was der Grund für diesen Schritt ist.
Hat der Lancom Router noch irgendwelche Services welche die Fortigate nicht bietet ?
Persönlich habe ich mir eher Probleme geschaffen statt gelöst mit solchen "Reihenschaltungen" .
Magst Du uns (mich) dazu erhellen
Beste Grüße
kl
Re: Lancom wandert hinter Firewall
Ich bin zwar nicht der OP, aber wir fahren an unseren Außenstellen ein ähnliches Konzept, nur in umgekehrter Reihenfolge.
Dort, wo wir noch auf DSL angewiesen sind, ist es meistens ein LANCOM, der die ganze lokale Telefonie abfrühstückt und die DMZ an eine HW-Firewall weiterleitet.
Das macht Sinn, da die Außenstellen wirtschaftlich selbständig sind und den Anschluß (inklusive von der Telekom gebundletem Router) nach unseren Vorgaben auf eigene Rechnung selbst beauftragen.
An anderen Orten ist es ein lokaler Netzbetreiber mit z.B. einer Compal Kabelbox oder ein Glasfasersystem.
DSL-Neuanschlüsse sind ohnehin selten (ländliche Gebiete), oft ist schnelleres verfügbar und auch die Bestandsanschlüsse sterben langsam aus.
In jedem Fall kommt danach eine Sophos, welche die Site2Site-Tunnel aufbaut. Wir haben zwar auch mit dem von Sophos verfügbaren SFP-DSL-Modem experimentiert, aber damit kriegen wir die Telefonie nicht sauber abgebildet.
Einen anderen als den vom Provider vorgeschlagenen Router zu verwenden ist in jedem Fall mehr Aufwand und im Supportfall oft ungünstig.
Auch ist es (durch das Bundling) oft die billigste Lösung. Fritz!Boxen laufen als "Premium-Router" und sind in der Miete bzw. Anschaffung teurer.
Letztendlich brauchen wir nur IP auf einem RJ45, alles andere muß der VNB vorkonfigurieren.
Das ist eine klare Schnittstelle und im Ernstfall schnell prüfbar.
Dort, wo wir noch auf DSL angewiesen sind, ist es meistens ein LANCOM, der die ganze lokale Telefonie abfrühstückt und die DMZ an eine HW-Firewall weiterleitet.
Das macht Sinn, da die Außenstellen wirtschaftlich selbständig sind und den Anschluß (inklusive von der Telekom gebundletem Router) nach unseren Vorgaben auf eigene Rechnung selbst beauftragen.
An anderen Orten ist es ein lokaler Netzbetreiber mit z.B. einer Compal Kabelbox oder ein Glasfasersystem.
DSL-Neuanschlüsse sind ohnehin selten (ländliche Gebiete), oft ist schnelleres verfügbar und auch die Bestandsanschlüsse sterben langsam aus.
In jedem Fall kommt danach eine Sophos, welche die Site2Site-Tunnel aufbaut. Wir haben zwar auch mit dem von Sophos verfügbaren SFP-DSL-Modem experimentiert, aber damit kriegen wir die Telefonie nicht sauber abgebildet.
Einen anderen als den vom Provider vorgeschlagenen Router zu verwenden ist in jedem Fall mehr Aufwand und im Supportfall oft ungünstig.
Auch ist es (durch das Bundling) oft die billigste Lösung. Fritz!Boxen laufen als "Premium-Router" und sind in der Miete bzw. Anschaffung teurer.
Letztendlich brauchen wir nur IP auf einem RJ45, alles andere muß der VNB vorkonfigurieren.
Das ist eine klare Schnittstelle und im Ernstfall schnell prüfbar.