Hallo,
ich bin dabei bei einem Kunden eine VPN Standortvernetzung zu installieren. Zum Einsatz kommt ein Lancom 1611+ und auf der Gegenstelle ein Lancom 1721.
Der Kunde hat auf der Seite des 1611+ eine von einem Dienstleister administrierte Firewall, die den gesamten Internetzugang regelt.
Für mich wurde eine DMZ ausserhalb des Firmen-Lan's eingerichtet.
Firmen-Lan: 192.168.30.0
meine zugewiesene DMZ-IP: 192.168.10.2
Gateway in der DMZ: 192.168.10.1
Diese Daten stehen mir zur Verfügung.
Ich habe nun auf dem 1611+ eine Internet-Verbingung über Plain Ethernet eingerichtet und habe somit eine Gegenstelle "INTERNET" mit den IP-Parametern IP-Adresse: 192.168.10.2; Standard-Gateway: 192.168.10.1; Netzmaske: 255.255.255.0 erstellt.
Das Routing in das Internet läuft auch über diesen "Router" "INTERNET"
Mit diesen Einstellungen ist es mir gelungen eine Verbindung ins Internet sowie eine Verbindung zur VPN Gegenstelle (192.168.210.0) zu erstellen. Soweit läuft also alles.
Nun kommt mein Problem mit dem Routing:
Auf der externen Firewall wurde eine Route angelegt, das alle Anfragen aus dem Netz 192.168.30.0 in das Netz 192.168.210.0 über das Gateway 192.168.0.2 geroutet werden. Diese IP-Adresse hat mein Lancom ja auf der Internet-Schnittstelle. Von dem Lancom kommt jetzt aber die Meldung zurück, das ein Routing nicht möglich ist.
Um die Verbindung zu testen habe ich dem Lancom als LAN-IP eine Adresse im 192.168.30.0 Netz gegeben. Lege ich (z.B. auf einem PC) mit route ADD 192.168.210.x 192.168.30.<Lancom-Router> wird die Verbindung richtig und wie erwartet geroutet.
Nur das Routing der Firewall über die DMZ Ip-Adresse 192.168.210.2 funktioniert nicht.
Kann das überhaupt funktionieren? Wie müsste das Routing dann aussehen? Reicht es meine DMZ IP-Adresse (192.168.10.2) nur in den IP-Parametern der Gegenstelle "INTERNET" zu konfigurieren oder muss ich diese Adresse noch an anderen Stellen eintragen?
Für Eure Ideen, wie ich das Problem lösen bzw. richtig konfigurieren kann, wäre ich dankbar.
mfg
Sascha
Routing in einer DMZ (Lancom 1611+)
Moderator: Lancom-Systems Moderatoren
Hi mdsi01
Hier stimmt der ganze Netzaufbau nicht....
Korrekt wäre:
- Das Firmennetz hängt an einem Interface der Firewall.
- Das LANCOM hängt an einem weitern Interface der Firewall (z.B. der DMZ)
- Das Internet hängt an einem dritten Interface der Firewall und die Defaultroute der Firewall ist auch an dieses dritte Interface gebunden
Gruß
Backslash
Ich dachte das LANCOM hätte die 192.168.10.2. Dann ist es doch egal, wenn die Firewall alles auf die 192.168.0.2 routet.Auf der externen Firewall wurde eine Route angelegt, das alle Anfragen aus dem Netz 192.168.30.0 in das Netz 192.168.210.0 über das Gateway 192.168.0.2 geroutet werden. Diese IP-Adresse hat mein Lancom ja auf der Internet-Schnittstelle
natürlich... Wenn das LANCOM tatsächlich die Pakete von der Firewall bekommt, dann muß es diese zurückweisen, weil für das LANCOM der nächste Hop ja wieder die Firewall ist.Von dem Lancom kommt jetzt aber die Meldung zurück, das ein Routing nicht möglich ist
Hier stimmt der ganze Netzaufbau nicht....
Korrekt wäre:
- Das Firmennetz hängt an einem Interface der Firewall.
- Das LANCOM hängt an einem weitern Interface der Firewall (z.B. der DMZ)
- Das Internet hängt an einem dritten Interface der Firewall und die Defaultroute der Firewall ist auch an dieses dritte Interface gebunden
Solange das LANCOM auf seiner Defaultroute maskiert (und genau das geschieht, wenn du den Internetzugang mit dem Wizard einstellst), ist das die einzige Stelle, an der diese Adresse auftaucht. Um mehr brauchst du dich auch nicht zu kümmern - alles weitere ist ein Problem des Admins der Firewall...Reicht es meine DMZ IP-Adresse (192.168.10.2) nur in den IP-Parametern der Gegenstelle "INTERNET" zu konfigurieren oder muss ich diese Adresse noch an anderen Stellen eintragen?
Gruß
Backslash
Hi backslash,
Danke für Deine schnelle Antwort.
Leider ist es mir als halben Laien nicht wirklich gelungen mein Problem verständlich darzustellen. Bei den IP-Adressen (Dein erstes Zitat) handelt es sich natürlich um einen Tippfehler...
Der Netzaufbau ist wie Du beschrieben hast:
Firewall 1. Netzwerkkarte -> Internet
Firewall 2. Netzwerkkarte -> LAN
Firewall 3. Netzwerkkarte -> DMZ
In dieser DMZ hat die Firewall die IP 192.168.10.1 und ich habe über die Gegenstelle "INTERNET" die IP 192.168.10.2 (verbunden über die Schnittstelle WAN)
Nun möchte der Admin der Firewall alle Anfragen aus dem LAN an meine VPN Gegenstelle (192.168.210.0) über die 192.168.10.2 (also meiner DMZ-IP-Adresse) routen. Das funktioniert nicht.
Um hier die Firewall zu umgehen habe ich den Lancom temporär über die Schnittstelle ETH1 zusätzlich in das LAN gehängt und auf den Rechnern eine manuelle Route (wie oben beschrieben) angelegt. So funktioniert der Zugriff auf die VPN-Gegenstelle.
Natürlich möchte ich diese Lösung nicht weiter verfolgen, weil ich dort ja die Firewall aushebele.
Wie muss ich den Lancom konfigurieren, das die Firewall, die im LAN das Standard-Gateway ist, alle Anfragen aus dem LAN in das Remote-VPN-Netz über den Lancom 192.168.10.2 routen kann? Mit meiner originalen Konfiguration (Der 1611 ist hier nur über die WAN Schnittstelle mit der DMZ-Netzwerkkarte an der Firewall verbunden) funktioniert das leider noch nicht.
Ist diese Konfiguration überhaupt möglich / richtig?
mfg,
Sascha
Danke für Deine schnelle Antwort.
Leider ist es mir als halben Laien nicht wirklich gelungen mein Problem verständlich darzustellen. Bei den IP-Adressen (Dein erstes Zitat) handelt es sich natürlich um einen Tippfehler...
Der Netzaufbau ist wie Du beschrieben hast:
Firewall 1. Netzwerkkarte -> Internet
Firewall 2. Netzwerkkarte -> LAN
Firewall 3. Netzwerkkarte -> DMZ
In dieser DMZ hat die Firewall die IP 192.168.10.1 und ich habe über die Gegenstelle "INTERNET" die IP 192.168.10.2 (verbunden über die Schnittstelle WAN)
Nun möchte der Admin der Firewall alle Anfragen aus dem LAN an meine VPN Gegenstelle (192.168.210.0) über die 192.168.10.2 (also meiner DMZ-IP-Adresse) routen. Das funktioniert nicht.
Um hier die Firewall zu umgehen habe ich den Lancom temporär über die Schnittstelle ETH1 zusätzlich in das LAN gehängt und auf den Rechnern eine manuelle Route (wie oben beschrieben) angelegt. So funktioniert der Zugriff auf die VPN-Gegenstelle.
Natürlich möchte ich diese Lösung nicht weiter verfolgen, weil ich dort ja die Firewall aushebele.
Wie muss ich den Lancom konfigurieren, das die Firewall, die im LAN das Standard-Gateway ist, alle Anfragen aus dem LAN in das Remote-VPN-Netz über den Lancom 192.168.10.2 routen kann? Mit meiner originalen Konfiguration (Der 1611 ist hier nur über die WAN Schnittstelle mit der DMZ-Netzwerkkarte an der Firewall verbunden) funktioniert das leider noch nicht.
Ist diese Konfiguration überhaupt möglich / richtig?
mfg,
Sascha
Hi mdsi01
Gruß
Backslash
jetzt verstehe ich... Das kann auch nicht funktionieren, da das LANCOM auf der Defaultroute maskiert (zumindest wenn du die Internetverbindung mit dem Wizard eingeichtet hast). Damit das funktioniert mußt du einerseits die Maskierung auf der Deafultroute entfernen und andererseits eine passende Firewallregel erstellen, damit überhaupt IPSec-Regeln für die Verbindung zwischen Firmenlan und der VPN-Gegenstelle erzeugt werden:Nun möchte der Admin der Firewall alle Anfragen aus dem LAN an meine VPN Gegenstelle (192.168.210.0) über die 192.168.10.2 (also meiner DMZ-IP-Adresse) routen. Das funktioniert nicht.
Code: Alles auswählen
Quelle: 192.168.30.0/255.255.255.0
Ziel: 192.168.210.0/255.255.255.0
Dienste: alle Dienste
Aktion: übertragen
[x] Diese Regel wird zur Erzeugung von VPN-Regeln herangezogenBackslash