LC1722 <-> Netgear FVS318 mit Besonderheit

mp45 · Beitrag von **mp45** » 11 Mai 2007, 22:37

Hallo zusammen!
Ich habe eine VPN-Strecke aufgesetzt, die ein wenig komliziert von statten gehen soll. Hier erst einmla der schematische Aufbau:

Code: Alles auswählen

LANh:  Heimatnetz
LANpU: privates Netzsegment im "Firmennetz"
       a.b. = öffentliches Class B Netz

                     "LAN": a.b.252.246/29  
192.168.1.0/24       "WAN": pub. stat IP         172.17.177.0/24
LANh------LC1711-----Kundenrouter-----FVS318-----LANpU----
          LAN: 192.168.1.254/24       LAN: 172.17.177.1  |
          WAN: dyn. pub. IP           WAN: a.b.252.139   |
                                                         |
                <==VPN=====================VPN==>        |
                                                         |
                                                         |
                                                         |
                                            /       172.17.177.254
                                           |          Gateway
                                           |             |
                         nachgeschaltete  /              |
                         Netze            \        a.b.0.0/16
                                           |       172.16.0.0/12
                                           |       10.0.0.0/8
                                            \        Firmennetz

Aus Sicherheitsgründen mussten die öffentlichen IPs raus.
Aber zum Problem: Für den Bereich des Firmennetzes möchte ich hinter dem Netgear das Gateway im privaten 172er Netz ansprechen. Ich hatte bereits einmal hier im Forum einen kurzen ANriss zum Extranet gelesen und mal im LC die 172.17.177.40 eingetragen. Ein Ping aus dem Heimat-LAN an eine öffentliche IP im Firmennetz scheitertet. Zugriff aus dem privaten in das öffentliche Netz ist vom Gateway gestattet.
Die Routingtabelle habe ich natürlich angepasst gehabt:

Code: Alles auswählen

255.255.255.255 / 0.0.0.0           DEFAULT
a.b.0.0         / 255.255.0.0       VPN
a.b.252.240     / 255.255.255.240   DEFAULT  (*)
a.b.252.9       / 255.255.255.248   DEFAULT  (*)
172.16.0.0      / 255.224.0.0       VPN
10.0.0.0        / 255.0.0.0         VPN

(*)= ausgenommene öffentliche Sub-Netze im Firmennetz um das VPN-Gateway ohne Probleme erreichen zu können.

Jetzt die Frage, was kann ich machen? Leider lässt sich dei Gerätekonfiguration nicht tauschen...

Vielen Dank im voraus!
Michael.

eddia · Beitrag von **eddia** » 12 Mai 2007, 10:57

Hallo Michael,

Für den Bereich des Firmennetzes möchte ich hinter dem Netgear das Gateway im privaten 172er Netz ansprechen. Ich hatte bereits einmal hier im Forum einen kurzen ANriss zum Extranet gelesen und mal im LC die 172.17.177.40 eingetragen.

dann muss im Netgear eine Hostroute mit dieser IP zum maskierten Heimnetz existieren und Proxy-ARP unterstützt werden. Also genau so, als ob man einen VPN-Client anbinden würde. Eine Route zum Heimnetz (192.168.1.0/24) muss entfernt werden.

Zusätzlich müssen die VPN Netzbeziehungen stimmen. Sieh Dir mal die erzeugten VPN-Regeln am Lancom mit show vpn an. Das muss am Netgear äquivalent konfiguriert werden.

Gruß

Mario

mp45 · Beitrag von **mp45** » 13 Mai 2007, 11:14

Hallo Mario!

Danke erst einmal für den groben Überblick. Problem an der Sache ist nur, ich bin relativ neu in der Materie, ich kann zwar die Tunnel aufsetzten, aber mehr auch nicht. Zudem habe ich auch nur v1 des FVS318 zur Verfügung, an der ich so gut wie nichts konfigurieren kann...

Hat vielleicht jemand eine günstige Alternative für den FVS318 parat? Sollte sich im Rahmen unter 100eur bewegen und entsprechend das amchen können, was ich brauche. Ein Versuch mir OpenSWAN scheiterte bereits (Policy der IT-Abt.: keine PSK an diesen Servern...).
Ich habe mal vor längerer Zeit an einen "bintec VPN Access 5" gedacht, hat damit vieleicht jemand Erfahrungen (auch wenn dieses hier ein Lancom-Forum ist)?

Danke,
Michael.

eddia · Beitrag von **eddia** » 13 Mai 2007, 11:27

Hallo Michael,

Problem an der Sache ist nur, ich bin relativ neu in der Materie, ich kann zwar die Tunnel aufsetzten, aber mehr auch nicht. Zudem habe ich auch nur v1 des FVS318 zur Verfügung, an der ich so gut wie nichts konfigurieren kann...

bei den Netgears liegt doch immer ein VPN-Client mit bei. Falls es dafür einen Assistenten zur Konfiguration des Routers gibt, kannst Du den einfach ausführen.

Hat vielleicht jemand eine günstige Alternative für den FVS318 parat? Sollte sich im Rahmen unter 100eur bewegen und entsprechend das amchen können, was ich brauche.

Du könntest versuchen, einen gebrauchten Lancom 1611 zu erwerben. Mit 100€ könnte das allerdings schwierig werden.

Gruß

Mario

mp45 · Beitrag von **mp45** » 13 Mai 2007, 12:54

Hmmm...
Der Netgear war blank, ohne alles. Auch zur Zeit nur ein Leihgerät.
Was ich noch vergessen habe zu erwähnen: sobald ich in das Extranet eine Adresse eingebe, klappt garnichts mehr. Der Tunnel wird zudem nicht richtig aufgebaut.
Ein andere Gedankengang: besteht die Möglichkeit, im Lancom einen "Router" zu definieren, der das VPN als Interface nurtzt? Dann könnte ich diesem ja die PArameter für das 172er Netz mitgeben und könnte auf das Gateway inm 172er zugreifen. Den Rest könnte man über die Routingtabelle abspeisen!?

Michael.

backslash · Beitrag von **backslash** » 13 Mai 2007, 18:46

Hi mp45

wieso willst du mit Extranet-VPN arbeiten? Das einzige was du machen mußt, ist im 1711 bei dir zu Hause die Routen in die gewünschten Netze auf den VPN-Tunnel zu legen.

Im Netgear mußt du passende IPSec-Regeln erstellen - in FreeSWAN Notation:

left: a.b.0.0/16
right: 192.168.1.0/24

left: 172.16.0.0/12
right: 192.168.1.0/24

left: 10.0.0.0/8
right: 192.168.1.0/24

und noch die passenden lokalen Routen legen:

a.b.0.0/16 -> 172.17.177.254
172.16.0.0/12 -> 172.17.177.254
10.0.0.0/8 -> 172.17.177.254

fertig...

Gruß
Backslash