Rechner aus Filialnetz via Zentrale im Internet verfügbar machen

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
sjusjöner
Beiträge: 1
Registriert: 01 Feb 2023, 18:01

Rechner aus Filialnetz via Zentrale im Internet verfügbar machen

Beitrag von sjusjöner »

Lieber LANCOM-Routing-Kenner,

erst einmal ein freundliches Hallo!
Ich habe in der Vergagnheit schon häufiger gute Anregungen hier im Forum gefunden,bin aber mit meiner Suche nicht weitergekommen.
DAher nun mein erster Post und wie auch sonst : natürlich mit einer Frage :D

folgendes Kontrukt liegt vor und läuft sauber:
Zentrale (172.16.1.x) ,Filiale 1 (172.16.2.x), Filiale x(172.16.x.x) (jeweils 1900E, teilweise auch noch 1782VPN)

Dabei verfügt lediglich die Zentrale über eine feste IP (/29er). Die Verbidnung zwischen den Filialen läuft über die Zentrale.

Nun habe ich in einer Filiale ein NAS auf das wir im internen Netz gut zugreifen können. Die Hauptlast (Bandbreite) liegt aber in der Filiale, so dass ein Umzug in die Zentrale nicht vlever erscheint.
Ich möchte nun das Gerät am liebsten auch im Internet verfügbar machen, eine feste IP habe ich in der Zentrale dafür frei.

Ich weiß, wie ich Dienste aus der Zentrale ins Internet bekomme, kriege es aber nicht hin, das Gerät (erstmal zb nur mit Port22) über die Zentrale ins Internet zu bringen.
Bisher nutze ich dazu Maskierung bei der ich konkertes lokale IPs/Port an externe IPs binde. Dazu passende Firewall-Regeln und es rennt.

Wenn ich an dieser Stelle aber im Zentral-Netz (172.16.1.x) eine Maskierung auf (172.16.2.x) vornehme gelingt das nicht.

Nach einer Reihe von Test beschleicht mich das Gefühl, das der Router zwar die Umsetzung vornimmt, dann das Paket aber nicht mehr routet, weil er mit dem Paket "durch" ist...

Ist das Konstrukt überhaupt darstellbar und wenn ja wie?
Ich bin für jeden Hinweis dankbar.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Rechner aus Filialnetz via Zentrale im Internet verfügbar machen

Beitrag von backslash »

Hi sjusjöner,

damit das funktioniert brauchst du in der Filiale eine Default-Route, die in die Zentrale zeigt. Der Route gibst ein beliebiges Routung-Tag ungleich 0 (und ungleich aller anderen Routing-Tags, die in der Filale sonst noch verwendet werden). Die Route dient primär dazu, die Firewall ruhig zu stellen, damit das IDS nicht meckert, wenn Pakete mit öffentlichen Adresssen durch den VPN-Tunnel kommen.

Nun mußt du noch dafür sorgen, daß im VPN überhaupt SAs für den "Internet-Traffic" aufgebaut werden. Dazu mußt du in der Filale und der Zentrale unter VPN -> Allgemein -> Netzwerkregeln -> IPv4-Regeln jeweils eine Regel aufnehmen, die sich aber hinsichtlich der Nertze "spiegeln"):

in der Filiale:

Code: Alles auswählen

Name:                ALLOW-INTERNET-FROM-ZENTRALE
lokale Netzwerke:    172.168.2.0/24   (Netz der Filale)
entfernte Netzwerke: 0.0.0.0/0        ("Internet")

in der Zentrale

Code: Alles auswählen

Name:                ALLOW-INTERNET-TO-FILIALE
lokale Netzwerke:    0.0.0.0/0        ("Internet")
entfernte Netzwerke: 172.168.2.0/24   (Netz der Filale)

Diese Regeln veknüpfst du mit den VPN-Gegenstellen unter VPN -> IKEv2/IPSec -> Verbindungsliste -> VPN-Gegenselle -> IPv4-Regeln.

Wenn du dort bereits Regelns verknüpft hast, mußt du die bestehende und die neue Regel unter VPN -> Allgemein -> Netzwerkregeln -> IPv4-Regelliste zu einer Liste vereinen, die du dstatt der einen Regel in ver VPN.Gegenstelle referenzierst.

Dann reicht ein einfaches Portforwarding auf der Internetverbindung der Zentrale zur IP-Adresse des NAS in der Filiale. Du brauchst keine Maskierung zwischen Zentrale und Filiale

Aber bist du sicher, daß du das überhaupt willst, denn in dem Fall läuft der Traffic des Servers zweimal über die Internetleitung der Zentrale. Jenachdem wie frequentiert der Server ist blockiert dieser Traffic die Zentrale...

Gruß
Backslash
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: Rechner aus Filialnetz via Zentrale im Internet verfügbar machen

Beitrag von Dr.Einstein »

sjusjöner wollte mittels Firewall NAT benutzen und eine IP-Adresse aus seinem /29 auf die Filiale umsetzen.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Rechner aus Filialnetz via Zentrale im Internet verfügbar machen

Beitrag von backslash »

Hi Dr.Einstein
sjusjöner wollte mittels Firewall NAT benutzen und eine IP-Adresse aus seinem /29 auf die Filiale umsetzen.
kann er ja gerne machen... Ob er nun in der Zentrale auf der Internetverbindung eine Maskierung mit Portforwarding oder ein N:N-NAT für eine der öffentlichen Adressen macht (Achtung: da muß dann die Maskierungsoption auf der Internetverbindung auf "nur Intranet maskieren" stehen), macht für die VPN-Konfig zwischen Zentrale und Filiale keinen Unterschied...

Abber bitte, zusätzlich noch die Konfiguration der Zentrale bezüglich Routing und N:N.NAT:

Unter IPv4 -> Allgemein -> IP-Netzwerke Intranet und DMZ anlegen:

Code: Alles auswählen

Netzwerk-Name: DMZ
IP-Adresse:    x.x.x.x  (die öffentliche IP, die Zentrale auch auf der WAN-Seite hat)
Netzmaske:     255.255.255.248
Netzwerktyp:   DMZ
....


Netzwerk-Name: INTRANET
IP-Adresse:    172.16.1.x (IP der Znetrale im VPN-Netz)
Netzmaske:     255.255.255.0
Netzwerktyp:   Intranet
....
Unter IP-Router -> Routing -> IPv4-Routing-Tabelle die Maskierungsoption der Defaultrote richtig setzen (unter der Annahme die Internetverbindung heißt "INTERNET"):

Code: Alles auswählen

IP-Adresse:    255.255.255.255
Netzmaske:     0.0.0.0
Routing-Tag:   0
Router:        INTERNET
IP-Maskierung: Nur Intranet maskieren
und unter IP-Router -> N:N-Mapping -> N:N-NAT-Tabelle einen Eintrag für den Server aufnehmen (unter der Annahme die Internetverbindung heißt "INTERNET")

Code: Alles auswählen

Ziel-Gegenstelle:           INTERNET
Original-Quell-IP-Adresse:  Addresse des Servers in der Filiale
Netzmaske:                  255.255.255.255
Umges.Quell-IP-Adrersse:    Adresse aus dem öffentlichen /29 Netz unter der der Server aus dem Internet erreichbar sein soll
fertig...

Gruß
Backslash
Antworten