Lancom wandert hinter Firewall

[VHSGM]

Moin,

folgendes Szenario:
Ein bestehendes Site-to-Site Vpn mit jeweils einem Lancom 1721 Router an den Endpunkten.
Nun soll bei einem Standort der Traffic über eine Firewall geführt werden.

Ist:
LAN1 --> VPN mit Lancom1 Public IP --> Internet --> VPN mit Lancom2 Public IP --> LAN2

Soll:
LAN1 --> VPN mit Lancom1 Public IP --> Firewall (Fortinet) Public IP --> Internet --> VPN mit Lancom2 Public IP --> LAN2

Hierzu folgende Frage:
Muss auf dem Lancom die Public IP erhalten bleiben, damit keine Neukonfiguration der VPNs nötig wird?

Gruss und Danke
Günter

[tstimper]

Moin,

folgendes Szenario:
Ein bestehendes Site-to-Site Vpn mit jeweils einem Lancom 1721 Router an den Endpunkten.
Nun soll bei einem Standort der Traffic über eine Firewall geführt werden.

Ist:
LAN1 --> VPN mit Lancom1 Public IP --> Internet --> VPN mit Lancom2 Public IP --> LAN2

Soll:
LAN1 --> VPN mit Lancom1 Public IP --> Firewall (Fortinet) Public IP --> Internet --> VPN mit Lancom2 Public IP --> LAN2

Hierzu folgende Frage:
Muss auf dem Lancom die Public IP erhalten bleiben, damit keine Neukonfiguration der VPNs nötig wird?

Gruss und Danke
Günter

Hi Günther,

Wenn Lancom 1 das VPN aufbaut, gibts du dem einen IP i LAN der Firewall und erlaubst nur ausgehen IPSEC Traffic auf der Firewall.
Wenn der Lancom 2 das VPN aufbaut, dann gibts du wieder dem Lancom i am Public Interface eine IP aus dem LAN der Firewall,
gibts der Firewall die Public IP und macht dann nioch in der Firewall Portforwarding für die Ports 500 und ggf 4500 auf die neue IP am
public Interface des Lancom.

Viele Grüße

ts

[VHSGM]

Moin besten Dank,

ich werde es so umsetzen und berichten

Gruss Günter

[tstimper]

Moin besten Dank,

ich werde es so umsetzen und berichten

Gruss Günter

gerne

Welche Firewall nimmst Du da eigentlich?

Viele Grüße

ts

[VHSGM]

Hallo,

Firewall ist eine Fortigate.

Kurze Nachfrage:
Ich muss dem Lancom auf der WAN-Schnittstelle eine lokale IP geben,
damit der VPN-Traffic von der Firewall dorthin geleitet werden kann, korrekt?

Gruss Günter

[tstimper]

Hallo,

Firewall ist eine Fortigate.

Kurze Nachfrage:
Ich muss dem Lancom auf der WAN-Schnittstelle eine lokale IP geben,
damit der VPN-Traffic von der Firewall dorthin geleitet werden kann, korrekt?

Gruss Günter

Ja eine IP aus dem LAN der Fortigate.

Also brauchst du dafür ein kleines Zwischen IP Netz

Viele Grüße

ts

[XJ8]

Hallo Günter,

im Zusammenhang mit deiner Frage würde mich interessieren was der Grund für diesen Schritt ist.

Hat der Lancom Router noch irgendwelche Services welche die Fortigate nicht bietet ?

Persönlich habe ich mir eher Probleme geschaffen statt gelöst mit solchen "Reihenschaltungen" .

Magst Du uns (mich) dazu erhellen

Beste Grüße

kl

[sixty]

Ich bin zwar nicht der OP, aber wir fahren an unseren Außenstellen ein ähnliches Konzept, nur in umgekehrter Reihenfolge.

Dort, wo wir noch auf DSL angewiesen sind, ist es meistens ein LANCOM, der die ganze lokale Telefonie abfrühstückt und die DMZ an eine HW-Firewall weiterleitet.

Das macht Sinn, da die Außenstellen wirtschaftlich selbständig sind und den Anschluß (inklusive von der Telekom gebundletem Router) nach unseren Vorgaben auf eigene Rechnung selbst beauftragen.

An anderen Orten ist es ein lokaler Netzbetreiber mit z.B. einer Compal Kabelbox oder ein Glasfasersystem.
DSL-Neuanschlüsse sind ohnehin selten (ländliche Gebiete), oft ist schnelleres verfügbar und auch die Bestandsanschlüsse sterben langsam aus.

In jedem Fall kommt danach eine Sophos, welche die Site2Site-Tunnel aufbaut. Wir haben zwar auch mit dem von Sophos verfügbaren SFP-DSL-Modem experimentiert, aber damit kriegen wir die Telefonie nicht sauber abgebildet.
Einen anderen als den vom Provider vorgeschlagenen Router zu verwenden ist in jedem Fall mehr Aufwand und im Supportfall oft ungünstig.
Auch ist es (durch das Bundling) oft die billigste Lösung. Fritz!Boxen laufen als "Premium-Router" und sind in der Miete bzw. Anschaffung teurer.

Letztendlich brauchen wir nur IP auf einem RJ45, alles andere muß der VNB vorkonfigurieren.
Das ist eine klare Schnittstelle und im Ernstfall schnell prüfbar.