Hallo Zusammen,
ich habe zwei Lancom 1781-4G als möglichen Ersatz für unsere derzeitigen Juniper SSG5en in unseren Aussenstandorten bekommen. Ich habe auch einen VPN Tunnel (über UMTS) zwischen dem Lancom und unserer Juniper SSG in der Zentrale herstellen können. Leider muss ich mehrere verschiedene Subnetze durch den VPN Tunnel schieben. Ich möchte es gerne vermeiden mehrere VPN Tunnel zwischen den Devices zu bauen. Bei Juniper <> Juniper Devices kann man einfach alle Netze Richtung Tunnel IF routen und es funktioniert. Ich habe festgestellt, dass es zwischen Lancom und Juniper nicht so einfach ist. Laut einem debug Ike auf der SSG in der Zentrale möchte der Lancom immer eine zwei SA für das zweite Netz aufbauen. Wie bereits erwähnt wäre ein weiterer Tunnel für jedes weitere Netz sehr unvorteilhaft.
Gibt es irgendeine Möglichkeit die beiden Netze durch einen Tunnel zu schieben?
Vielen Dank in voraus!
Schönen Abend noch!
Mehrere Netze zwischen Lancom 1781-4G <> Juniper SSG
Moderator: Lancom-Systems Moderatoren
-
shift_function
- Beiträge: 3
- Registriert: 16 Jul 2012, 23:54
Mehrere Netze zwischen Lancom 1781-4G <> Juniper SSG
Security is just an illusion
Hi shift_function,
jenachdem, auf welcher Seite die beiden Netze sind ist das recht einfach oder etwas komplizierter...
Wenn die beiden Netze auf der Juniper-Seite sind mußt du im LANCOM einfach nur eine getaggte Default-Route an die VPN-Gegenstelle binden und über die Firewall dafür sorgen, daß der Traffic in Richtung Juniper mit dem passenden Tag markiert wird.
Wenn die beiden Netze auf der LANCOM seite sind, mußt du in der Firewall eine Regel erstellen, die zuläßt, daß die Juniper eine SA für ihre Defaultroute aushandelt:
Du kannst die beiden natürlich auch kombinieren und so beliebige Netze in beiden Richtungen übertragen... Aber wo ist eigentlich dein Problem, wenn für jedes Netz einzelne SAs ausgehandelt werden? Letztenlich macht dies das Ganze sicherer
Gruß
Backslash
jenachdem, auf welcher Seite die beiden Netze sind ist das recht einfach oder etwas komplizierter...
Wenn die beiden Netze auf der Juniper-Seite sind mußt du im LANCOM einfach nur eine getaggte Default-Route an die VPN-Gegenstelle binden und über die Firewall dafür sorgen, daß der Traffic in Richtung Juniper mit dem passenden Tag markiert wird.
Code: Alles auswählen
[x] Diese Regel ist für die Firewall aktiv
[ ] Diese Regel wird zur Erzeugung von VPN-Regeln herangezogen
Routing-Tag: Tag der Defaultroute zur Juniper
Aktion: übertragen
Quelle: alle Stationen
Ziel: Netze hinter der Juniper
Dienste: alle DiensteCode: Alles auswählen
[ ] Diese Regel ist für die Firewall aktiv
[x] Diese Regel wird zur Erzeugung von VPN-Regeln herangezogen
Aktion: übertragen
Quelle: alle Stationen
Ziel: VPN-Gegenstelle
Dienste: alle DiensteGruß
Backslash
-
shift_function
- Beiträge: 3
- Registriert: 16 Jul 2012, 23:54
Hi Backslash,
erstmal besten Dank für Deine Antwort. Alle Netze befinden sich hinter der zentralen Juniper. Wenn ich es so mache wie Du beschrieben hast (Diese Regel ist für die Firewall aktiv) funktioniert das ganze nicht. Wenn ich die Konfiguration mittels Deines zweiten Tipps vornehme (Diese Regel wird zur Erzeugung von VPN-Regeln herangezogen) funktioniert alles, wenn ich auf der Juniper zwei weitere SAs konfiguriere. ABER: Ich kann von der Lancom Seite alle Netze (Beispiel: 10.1.0.0/16 und 10.2.0.0/16) der Zentrale erreichen, ich erreiche allerdings nicht das Netz hinter dem Lancom Router (Beispiel: 10.3.0.0/16) von der Zentrale aus.
Nun zu Deiner Frage. Wenn ich für jedes Netz 1 SA verbrauche und jeder zusätzlichen SA ein weiteres Tunnelinterface zuweise, bin ich Lizentechnisch bei der Juniper u.U. schnell am Limit, da bei Juniper die Anzahl der VPN Tunnel durch die Anzahl der Tunnelinterfaces beschränkt wird. Am liebsten wäre es mir wie Juniper es macht: Als Proxy ID local: 0.0.0.0 remote 0.0.0.0 und der Rest wird durchs Routing an den Gateways vorgenommen.
Ist Dein erster Tipp (Diese Regel ist für die Firewall aktiv) möglicherweise sowas in der Art?
Besten Dank für Deine Hilfe!
S_F
erstmal besten Dank für Deine Antwort. Alle Netze befinden sich hinter der zentralen Juniper. Wenn ich es so mache wie Du beschrieben hast (Diese Regel ist für die Firewall aktiv) funktioniert das ganze nicht. Wenn ich die Konfiguration mittels Deines zweiten Tipps vornehme (Diese Regel wird zur Erzeugung von VPN-Regeln herangezogen) funktioniert alles, wenn ich auf der Juniper zwei weitere SAs konfiguriere. ABER: Ich kann von der Lancom Seite alle Netze (Beispiel: 10.1.0.0/16 und 10.2.0.0/16) der Zentrale erreichen, ich erreiche allerdings nicht das Netz hinter dem Lancom Router (Beispiel: 10.3.0.0/16) von der Zentrale aus.
Nun zu Deiner Frage. Wenn ich für jedes Netz 1 SA verbrauche und jeder zusätzlichen SA ein weiteres Tunnelinterface zuweise, bin ich Lizentechnisch bei der Juniper u.U. schnell am Limit, da bei Juniper die Anzahl der VPN Tunnel durch die Anzahl der Tunnelinterfaces beschränkt wird. Am liebsten wäre es mir wie Juniper es macht: Als Proxy ID local: 0.0.0.0 remote 0.0.0.0 und der Rest wird durchs Routing an den Gateways vorgenommen.
Ist Dein erster Tipp (Diese Regel ist für die Firewall aktiv) möglicherweise sowas in der Art?
Besten Dank für Deine Hilfe!
S_F
Security is just an illusion
Hi shift_function
Eine getaggte Defaultroute an die VPN-Verbindung zur Uniper binden, und über die eine Regekl auswäglen, welcher Traffic dann wirklich zur Uniper gesendet wird. Durch die Defalutroute fordert das LANCOM von der Uniper eine SA an, die (aus LANCOM sicht) alle Stationen als Ziel hat.
Über die zweite Regel, die zur VPN-Regelerzegung genutzt wird, forderst du das LANCOM auf, eine SA auszuhandeln, die (aus LANCOM-sicht) alle Stationen als Quelle hat.
Ergebnis: das LANCOM fordert eine SA an, die sowohl als Quelle, als auch als Ziel alle Stationen hat (0.0.0.0/0:0 <-> 0.0.0.0/0:0)
Gruß
Backslash
das wäre letztendlich die Kombination aus beiden Firewallregeln...Am liebsten wäre es mir wie Juniper es macht: Als Proxy ID local: 0.0.0.0 remote 0.0.0.0 und der Rest wird durchs Routing an den Gateways vorgenommen.
Ist Dein erster Tipp (Diese Regel ist für die Firewall aktiv) möglicherweise sowas in der Art?
Eine getaggte Defaultroute an die VPN-Verbindung zur Uniper binden, und über die eine Regekl auswäglen, welcher Traffic dann wirklich zur Uniper gesendet wird. Durch die Defalutroute fordert das LANCOM von der Uniper eine SA an, die (aus LANCOM sicht) alle Stationen als Ziel hat.
Über die zweite Regel, die zur VPN-Regelerzegung genutzt wird, forderst du das LANCOM auf, eine SA auszuhandeln, die (aus LANCOM-sicht) alle Stationen als Quelle hat.
Ergebnis: das LANCOM fordert eine SA an, die sowohl als Quelle, als auch als Ziel alle Stationen hat (0.0.0.0/0:0 <-> 0.0.0.0/0:0)
Gruß
Backslash
-
shift_function
- Beiträge: 3
- Registriert: 16 Jul 2012, 23:54
Hi Backslash,
ich muss zugeben, dass ich nun etwas verwirrt bin. Welche FW Regeln bräuchte ich denn ganz genau. Kannste das an folgendem Szenario erklären:
Lancom Netz: 10.3.0.0/16
Juniper Netz: 10.1.0.0/16 und 10.2.0.0/16
Die Variante mit 0.0.0.0/0 <-> 0.0.0.0/0 wäre meiner Meinung nach der Königsweg. Wir haben noch einen Kunden der offizielle IPs *grrrrrr* intern nutzt. Diese Variante würde ja auch - eine passende FW Regel voraus gesetzt - dieses offizielle Netz durch den Tunnel schieben.
Danke Dir
Gruß
S_F
ich muss zugeben, dass ich nun etwas verwirrt bin. Welche FW Regeln bräuchte ich denn ganz genau. Kannste das an folgendem Szenario erklären:
Lancom Netz: 10.3.0.0/16
Juniper Netz: 10.1.0.0/16 und 10.2.0.0/16
Die Variante mit 0.0.0.0/0 <-> 0.0.0.0/0 wäre meiner Meinung nach der Königsweg. Wir haben noch einen Kunden der offizielle IPs *grrrrrr* intern nutzt. Diese Variante würde ja auch - eine passende FW Regel voraus gesetzt - dieses offizielle Netz durch den Tunnel schieben.
Danke Dir
Gruß
S_F
Security is just an illusion