Hey,
ich überlege ggf von Cisco zu Lancom unzusteigen. Der Cisco-Router in der Zentrale hat derzeit ne Config von ca. 7 DinA4-Seiten. Das wird mir auf Dauer zu unübersichtlich. vorallem da ich da nur alle Schaltjahr was ändern und mich immer erst wieder in die Config "einlesen" muss. Zudem hab ich solangsam kein Bock mehr immer erst die ConfigParameter nachschlagen zu müßen nur weil ich ein "Policy-based-Routing" konfigurieren mächte.
Vorab habe ich aber 1,2 Fragen zum Thema Lancom und VPN, die für unsere Umgebung sehr wichtig sind.
1. Sind irgendwelche Probleme bei s2s-IpSec-VPNs zwischen Lancom Routern und MS Forefront TMGs bekannt? Ggf jemand so etwas in Betrieb und kann einen reibungslosen und vorallem stabilen Betrieb bestätigen?
2. Eigentlich viel wichtiger: Ist es mit Lancom Routern möglich NAT VOR IPSec zu betreiben?
z.B:
LAN1 = 192.168.100.0/24 ---> Router local Int 192.168.100.1 --> Route Zielnetz 192.168.300.0/24 --> Nat local LAN 192.168.100.0/24 in z.B 192.168.200.0/24 --> Route zu IPSec-Tunnel zu 192.168.300.0/24
Order einfacher ausgedrückt gibts es erweiterte NAT-Regeln (Quell- & Zielnetz-match), die vor IPSec anwenden werden?
Wäre echt cool, falls jemand was dazu sagen kann. Dank euch schon mal.
Gruss Gense
NAT vor IPSec & Ip-Sec mit Forefront TMG
Moderator: Lancom-Systems Moderatoren
Hi gense
Gruß
Backslash
zu MS Forefront TMG kann ich nicht viel sagen, no soviel: solange da kein L2TP dabei ist, sollte das funktionieren (L2TP wird von LANCOMs nicht unterstützt).1. Sind irgendwelche Probleme bei s2s-IpSec-VPNs zwischen Lancom Routern und MS Forefront TMGs bekannt? Ggf jemand so etwas in Betrieb und kann einen reibungslosen und vorallem stabilen Betrieb bestätigen?
Bei LANCOMs gibt es dazu die N:N-NAT-Tabelle in der für jede Gegenstelle das Mapping der Quellnetze eingetragen werden kann, d.h. bei Paketen die zu der Gegenstelle gesendet werden, wird die Quelladresse und bei von der Gegenstelle empfangenen Paketen die Zieladresse gemappt. Ein Zielnetz-NAT (Zieladresse bei gesendeten und Quelladresse bei empfangenen Paketen mappen) wird hingegen nicht unterstützt.2. Eigentlich viel wichtiger: Ist es mit Lancom Routern möglich NAT VOR IPSec zu betreiben?
z.B:
LAN1 = 192.168.100.0/24 ---> Router local Int 192.168.100.1 --> Route Zielnetz 192.168.300.0/24 --> Nat local LAN 192.168.100.0/24 in z.B 192.168.200.0/24 --> Route zu IPSec-Tunnel zu 192.168.300.0/24
Order einfacher ausgedrückt gibts es erweiterte NAT-Regeln (Quell- & Zielnetz-match), die vor IPSec anwenden werden?
Gruß
Backslash
Hey Backslash!
Danke für deinen Hinweis! Offensichtlich gibts dazu auch einen KB-Eintrag bei Lancom, der das Szenario genau beschreibt!
Der Vollständigkeit wegen und falls jemand mit gleichem Anliegen die Suchfunktion bemüht hier der Link http://www2.lancom.de/kb.nsf/1275/4669F ... enDocument
Gruss Gense
Danke für deinen Hinweis! Offensichtlich gibts dazu auch einen KB-Eintrag bei Lancom, der das Szenario genau beschreibt!
Der Vollständigkeit wegen und falls jemand mit gleichem Anliegen die Suchfunktion bemüht hier der Link http://www2.lancom.de/kb.nsf/1275/4669F ... enDocument
Gruss Gense