Hallo Forum,
ich habe folgendes Problem:
wir haben mehrere Niederlassungen mit unterschiedlichen IP-Bereichen per VPN LAN-LAN Kopplung mit der Zentrale verbunden - alles Ok.
Der zentrale Lancom ist mittels LAN-LAN mit einem Dienstleister gekoppelt, dessen Dienste in allen anderen Netzwerken bereitstehen müssen.
Bisher war der Dienstleister bereit, alle unsere Netze in seinem Routing abzubilden.
Nun möchte ich mich aber vom Dienstleister dahingehend unabhängig machen, dass der Dienstleister nur noch die Verbindung/das Routing zum zentralen Lancom kennen muss und das interne Routing dorthin über die Zentrale gehändelt wird!
Kann man das evtl. über eine N:N Mapping Tabelle händeln?
Vielen Dank für eure Lösungsvorschläge!!!
N:N Mapping hilfreich?
Moderator: Lancom-Systems Moderatoren
-
garfield0815
Re: N:N Mapping hilfreich?
normahlerweise müste das aber auch über wan-RIP gehen
Re: N:N Mapping hilfreich?
Hi garfield0815,
@checkdata
es würde mit N:N-NAT gehen, wenn du private Netze verwendest, denn dann könntest du dem Dienstleisterz.B. sagen, daß er das ganze 192.168.x.x-Netz zu dir routen soll und du könntest dann deine Netze per N:N-NAT auf Subnetze des 192.168.x.x-Netz mappen
Wenn der Dienstleister aber z.B. nur Serverdienste bereitstellt und gar nicht auf dein Netz zugreifen muß, dann könntest du auch einfach zum Dienstleister hin ein Extranet-VPN aufbauen... Das ist eine maskierte Verbindung (wie die Internetverbindung), bei der der Dienstleister nur eine IP-Adresse von dir sieht - und die könnte er sogar dynamisch vergeben, wenn das LANCOM als Config-Mode-Client läuft...
Gruß
Backslash
aber nur, wenn du über den VPN-Tunnel noch einen PPTP- oder L2TP-Tunnel stapelst, denn für das VPN müssen die Netzbeziehungen vor dem Verbindungsaufbau statisch konfiguriert sein - es sei denn der Dienstleister setzt auch ein LANCOM ein und nutzt die "vereinfachte Einwahl mit Zertifikaten" und hat auch noch "der Gegenstelle die Auswahl des entfernten Netrzes erlauben" aktiviert. In beiden Fällen müßte der Dienstleister dir aber vertrauen, daß du keinen Schindluder treibst.normahlerweise müste das aber auch über wan-RIP gehen
@checkdata
es würde mit N:N-NAT gehen, wenn du private Netze verwendest, denn dann könntest du dem Dienstleisterz.B. sagen, daß er das ganze 192.168.x.x-Netz zu dir routen soll und du könntest dann deine Netze per N:N-NAT auf Subnetze des 192.168.x.x-Netz mappen
Wenn der Dienstleister aber z.B. nur Serverdienste bereitstellt und gar nicht auf dein Netz zugreifen muß, dann könntest du auch einfach zum Dienstleister hin ein Extranet-VPN aufbauen... Das ist eine maskierte Verbindung (wie die Internetverbindung), bei der der Dienstleister nur eine IP-Adresse von dir sieht - und die könnte er sogar dynamisch vergeben, wenn das LANCOM als Config-Mode-Client läuft...
Gruß
Backslash
Re: N:N Mapping hilfreich?
wie müsste denn diese Konfiguration aussehen?
Unsere Konstellation sieht z.Z. so aus:
Zentraler Lancom Router 10.0.3.1 (=Z)
Der Router Z hält 5 weitere Netze 10.0.10.0; 10.0.20.0; 10.0.30.0 usw.
Niederlassung A 10.0.6.1 (=A)
Niederlassung B 10.020.1 (=B)
Dienstleister D 192.168.x.x (=D) ,auch Lancom
A und B verbinden sich über Z mit D
D hat die Rück/Routen zu A B Z bei sich eingetragen. (Dieses sollte entfallen und nur noch eine Route auf Z)
Z A B haben jeweils FW-Regel zu D.
HomeOffice User verbinden sich per VPN über Z mit D.
(D stellt einen Terminalserver mit DB-Anwendungen bereit mit Drucker-Output ins jeweilige Netz)
Ich hoffe, ich habe mein Problem verständlich dargelegt!?
Unsere Konstellation sieht z.Z. so aus:
Zentraler Lancom Router 10.0.3.1 (=Z)
Der Router Z hält 5 weitere Netze 10.0.10.0; 10.0.20.0; 10.0.30.0 usw.
Niederlassung A 10.0.6.1 (=A)
Niederlassung B 10.020.1 (=B)
Dienstleister D 192.168.x.x (=D) ,auch Lancom
A und B verbinden sich über Z mit D
D hat die Rück/Routen zu A B Z bei sich eingetragen. (Dieses sollte entfallen und nur noch eine Route auf Z)
Z A B haben jeweils FW-Regel zu D.
HomeOffice User verbinden sich per VPN über Z mit D.
(D stellt einen Terminalserver mit DB-Anwendungen bereit mit Drucker-Output ins jeweilige Netz)
Ich hoffe, ich habe mein Problem verständlich dargelegt!?
Zuletzt geändert von checkdata am 11 Mai 2015, 15:57, insgesamt 1-mal geändert.
Re: N:N Mapping hilfreich?
Hallo Backslash,
"Wenn der Dienstleister aber z.B. nur Serverdienste bereitstellt und gar nicht auf dein Netz zugreifen muß, dann könntest du auch einfach zum Dienstleister hin ein Extranet-VPN aufbauen... Das ist eine maskierte Verbindung (wie die Internetverbindung), bei der der Dienstleister nur eine IP-Adresse von dir sieht - und die könnte er sogar dynamisch vergeben, wenn das LANCOM als Config-Mode-Client läuft..."
was meinst Du mit Config-Mode-Client?
"Wenn der Dienstleister aber z.B. nur Serverdienste bereitstellt und gar nicht auf dein Netz zugreifen muß, dann könntest du auch einfach zum Dienstleister hin ein Extranet-VPN aufbauen... Das ist eine maskierte Verbindung (wie die Internetverbindung), bei der der Dienstleister nur eine IP-Adresse von dir sieht - und die könnte er sogar dynamisch vergeben, wenn das LANCOM als Config-Mode-Client läuft..."
was meinst Du mit Config-Mode-Client?
Re: N:N Mapping hilfreich?
Hi,
Unter Setup/vpn/vpn-peers/ findet sich die Spalte IKE-CFG.
Unter Setup/vpn/vpn-peers/ findet sich die Spalte IKE-CFG.
Gruß2.19.9.11 IKE configuration
When configuring VPN dial-in connections, there is as an alternative to fixed IP addresses for the remote sites that dial
in, in that a pool of IP addresses can be made available to them. To this end, the "IKE-CFG" mode is additionally added
to the entries in the connection list.
Telnet path:
/Setup/VPN/VPN-Peers
Possible values:
Off: If the IKE-CFG mode is switched off, no IP addresses will be assigned for the connection. Fixed IP addresses must
be defined for both ends of the connection.
Client: With this setting, the device functions as the client for this VPN connection and requests an IP address from
the remote site (server). The device acts in a similar manner to a VPN client.
Server: With this setting, the device functions as the server for this VPN connection. The assignment of an IP address
to the client can take place in two ways:
If the remote site is entered in the routing table, the IP address defined here will be assigned to the client.
If the remote site is not entered in the routing table, an IP address which is available from the IP pool will be taken
for the dial-in connections.
Default:
Off
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Re: N:N Mapping hilfreich?
Vielen Dank für diese Information
aber sorry ... mir fehlt die Idee, wie ich diese Funktion im gewünschten Sinn anwenden kann?
Hilfreich wäre ein Konfigurations-Tip ...
Vielen Dank
aber sorry ... mir fehlt die Idee, wie ich diese Funktion im gewünschten Sinn anwenden kann?
Hilfreich wäre ein Konfigurations-Tip ...
Vielen Dank
Re: N:N Mapping hilfreich?
Hi checkdata
Damit bleiben dir nur zewei Möglcihkeiten: entweder alles so lassen, wie es ist und der Provider muß jedes Netz einzeln nachpflegen oder aber du teilst dem Provider ein richtig großes Netz mit in das er routen soll und mapst auf deiner Seite deine Netze in Subnetze des großen Netzes:
Wenn du dem Provider z.B. sagst, daß bei dir das Netz 10.0.0.0/16 ist, dann kannst du per N:N-NAT 256 Netze darauf mappen (10.0.0.x .. 10.0.255.x):
Du muß dann zusätzlich die VPN-Regelerzeugung auf manuell umstellen und in der Firewall eine VPN-Regel erstellen:
Gruß
Backslash
d.h. der Drucker steht dann wieder bei dir? Dann kannst du das mit dem Extranet eh vergessen...(D stellt einen Terminalserver mit DB-Anwendungen bereit mit Drucker-Output ins jeweilige Netz)
Damit bleiben dir nur zewei Möglcihkeiten: entweder alles so lassen, wie es ist und der Provider muß jedes Netz einzeln nachpflegen oder aber du teilst dem Provider ein richtig großes Netz mit in das er routen soll und mapst auf deiner Seite deine Netze in Subnetze des großen Netzes:
Wenn du dem Provider z.B. sagst, daß bei dir das Netz 10.0.0.0/16 ist, dann kannst du per N:N-NAT 256 Netze darauf mappen (10.0.0.x .. 10.0.255.x):
Code: Alles auswählen
Ziel-Gegenstelle: Name der VPN-Verbindung
Original Quell-IP-Adressse: 1. umzusetzendes Netz
Netzmaske: 255.255.255.0
Umges. Quell-IP-Adressse: 10.0.1.0
Ziel-Gegenstelle: Name der VPN-Verbindung
Original Quell-IP-Adressse: 2. umzusetzendes Netz
Netzmaske: 255.255.255.0
Umges. Quell-IP-Adressse: 10.0.2.0
Ziel-Gegenstelle: Name der VPN-Verbindung
Original Quell-IP-Adressse: 3. umzusetzendes Netz
Netzmaske: 255.255.255.0
Umges. Quell-IP-Adressse: 10.0.3.0
...Code: Alles auswählen
[ ] diese Regel ist für die Firewall aktiv
[x] diese Regel wird zur Erzeugung von VPN-Regeln herangezogen
Aktion: übertragen
Quelle: Netz 10.0.0.0 / 255.255.0.0
Ziel: Netz des Providers
Dienste: alle DiensteBackslash
Re: N:N Mapping hilfreich?
Hi Backslash,
großen Dank schon Mal!
großen Dank schon Mal!