Hallo,
ich hab da ein Problem wo mir keine Lösung einfällt.
Gegeben sind LAN A und LAN B beide in meiner Hand. Lan A hat einen DSL Anschluss mit nem 1722 und LAN B geht über Elsa 1000 Router ins Internet.
Zwischen beiden Lans besteht eine WLAN-Funkstrecke einer Dritt-Firma, die ich gnädiger weise an meinen DSL Anschluss ranlassen werde;=) - der Preis dafür ist, dass ich die WLAN Strecke zur Kopplung der beiden LAN missbrauchen darf;=)
Die Funkstrecke besteht aus 2 Access Points Marke unbekannt, der Monteur hat sich in dieser Hinsicht auch ziemlich bedeckt gehalten. Das einzige was ich weiss ist dass das System auf 2.4 GHz arbietet und scheinbar mehr als einen Kanal zur Kopplung der beiden APs benutzt.
AP1 hab ich zum Test an einen Port des LC1722 gehängt und ihm den Zugriff aus Internet freigeschaltet. Der AP2 ist ne Black Box die das Signal von AP1 empängt und mit der gleichen Antenne (60er Parabol) auch das Gelände versorgt das spärter mal als Public Spot genutzt werden soll.
Trotz der einen Antenne im AP2 ist die Versorgung des PublicSpot Bereiches absolut super. Das LAN B liegt mitten im Empfangsbereich des Public-Spots.
Mein Problem ist, das Device-X das ich anschaffen muss (L54?) ist ja dann quasi ein öffentlicher Teilnehmer. Ich melde mich ja wie jeder Public Spot Nutzer am AP2 an. Wie bekomm ich mit derr Wahnsinns-Konstruktion aber ein sicheres Routing zwischen den beiden LAN A und B auf die Reihe das nicht jeder mitlesen kann?
Bekomm ich mit den Features der Lancoms da sowas wie einen gesicherten Tunnel hin? Auf AP1 und AP2 hab ich ja keinen grossen Einfluss.
Wenn ich das ganze Geräte interne Routing mal ausser Acht lasse;=)
Im LAN A könnte ich doch mit Hilfe des 1722 ein VPN Einwahl zulassen, quasi auf DSL Seite. Den L54 kann ich dann öffentlich am AP2 anmelden und damit ins Internet gehen, kann dann der L54 sich über einen Dyndns Provider via VPN auf den 1722 connecten? Denke mal das das nicht geht. Oder muss ich mir Device-X selber basteln (Alt-PC plus PCMCIA Adapter mit einer LC-11 und Aussenantenne sowie Windoof und VPN Client im Dauerbetrieb mit Internetfreigabe? Das ist irgenwie unelegant und instabil;=)
Oder Variante 2 - ich nehme einen L54 den lass ich als Client laufen und dahinter setzte ich einen VPN fähigen Router von LC den ich als Kabelrouter missbrauche. Dann ist das ein richtiges dyn.VPN aber sicher sehr ineffizient da alles zur T-Com hin und wieder zurück geroutet wird.
Bekommt man das nicht mit nur einen L54 gebacken? VPN mässig ist der doch total unwissen, oder?
Für Inspiration bin ich Dankbar;=)
sichere LAN-LAN Kopplung über Public-Spot Zugang
Moderator: Lancom-Systems Moderatoren
sichere LAN-LAN Kopplung über Public-Spot Zugang
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Pengiun
Hi Pengiun
Am sinnvollsten ersetzt du den LC1000 durch ein 1811 (da du ja über ISDN ins Internet gehst, schaltest du den DSL-Port einfach als 5. LAN-Port). Der kann sich dann in AP2 einbuchen und einen VPN-Tunnel zum 1722 aufbauen.
Und wenn du Netz B irgendwann mal über ADSL anbinden willst, dann schaltest du den WAN-Port einfach wieder auf DSL und hängst das Modem des Providers dran...
Gruß
Backslash
Du kannst den VPM Tunnel auch auf der LAN-Seite des LC1722 terminieren. Aber mit einem L54 geht das nicht - der beherrscht kein VPN.Im LAN A könnte ich doch mit Hilfe des 1722 ein VPN Einwahl zulassen, quasi auf DSL Seite. Den L54 kann ich dann öffentlich am AP2 anmelden und damit ins Internet gehen, kann dann der L54 sich über einen Dyndns Provider via VPN auf den 1722 connecten?
Am sinnvollsten ersetzt du den LC1000 durch ein 1811 (da du ja über ISDN ins Internet gehst, schaltest du den DSL-Port einfach als 5. LAN-Port). Der kann sich dann in AP2 einbuchen und einen VPN-Tunnel zum 1722 aufbauen.
Und wenn du Netz B irgendwann mal über ADSL anbinden willst, dann schaltest du den WAN-Port einfach wieder auf DSL und hängst das Modem des Providers dran...
Gruß
Backslash
Hallo,
wow - das ging ja schnell;=)
Ich fasse nochmal zusammen, damit ich das richtig verstanden habe:
Der LC1000 wird auf einen LC1811 modernisiert. Der ist dann Router mit VPN Funktion für das LAN-B und gleichzeitg dank des eingebauten AP kann er den Fremd AP als Internetzugang benutzen. Der 1811 läuft dann als WLAN-Client am AP2?
Was mir nicht klar war, ich hatte son Ding noch nicht in der Hand;=) der 1811 kann das integierte WLAN Modul benutzen um über einen anderen AP ins Internet zu gehen? Kling gut;=) Und wenn er dann dort abgehend eine VPN Sitzung aufbauen kann dann ist das ja meine Lösung;=)
Und obendrauf gibt dann noch den Backup via ISDN.
Was spricht aus Deiner Sicht gegen eine Kombination von L54 und 1711 am Standort B - ? Lassen wir mal den Preis der Komponenten aussen vor. Die Antenne sollte aufs Dach und die Technik ist komplett im EG. Am liebsten würde ich mit nur 1mal Ethernet zum Antennenstandort gehen. Spricht etwas gegen so eine zweiteilung der Aufgaben? Der 1711 hat ja auch VPN. Oder geht das nur mit dem 1811.
wow - das ging ja schnell;=)
Ich fasse nochmal zusammen, damit ich das richtig verstanden habe:
Der LC1000 wird auf einen LC1811 modernisiert. Der ist dann Router mit VPN Funktion für das LAN-B und gleichzeitg dank des eingebauten AP kann er den Fremd AP als Internetzugang benutzen. Der 1811 läuft dann als WLAN-Client am AP2?
Was mir nicht klar war, ich hatte son Ding noch nicht in der Hand;=) der 1811 kann das integierte WLAN Modul benutzen um über einen anderen AP ins Internet zu gehen? Kling gut;=) Und wenn er dann dort abgehend eine VPN Sitzung aufbauen kann dann ist das ja meine Lösung;=)
Und obendrauf gibt dann noch den Backup via ISDN.
Was spricht aus Deiner Sicht gegen eine Kombination von L54 und 1711 am Standort B - ? Lassen wir mal den Preis der Komponenten aussen vor. Die Antenne sollte aufs Dach und die Technik ist komplett im EG. Am liebsten würde ich mit nur 1mal Ethernet zum Antennenstandort gehen. Spricht etwas gegen so eine zweiteilung der Aufgaben? Der 1711 hat ja auch VPN. Oder geht das nur mit dem 1811.
Wenn ich das richtig verstehe... das VPN endet dann am Standort A auf einem internem Port und wird nicht ins reale Internet weitergeleitet? Wie finden die beiden dann zueinander? Muss ich dann "nur" im 1711 im LAN-A einen Namen für den 1711 definieren damit der 1811 sich dann hausintern via DNS-Auflösung über den LC1711 auf ihn verbinden kann, oder sind da abartige Kunstgriffe notwendig?Du kannst den VPM Tunnel auch auf der LAN-Seite des LC1711 terminieren. Aber mit einem L54 geht das nicht - der beherrscht kein VPN.
Pengiun
Hi Pengiun
Der 1811 kann auf dem WLAN nicht maskieren und daher auch keinen "vollwertigen" Internetzugang bereitstellen.
Du wolltest ja auch nicht den Internetzugang über die Strecke machen, sondern nur die VPN-Kopplung (das geht auch ohne Maskierung).
Du mußt das WLAN-Interface fest an die DMZ binden und die DMZ passend zu dem Netz das APs auf dem sich der 1811 einbucht konfigurieren (er benötigt eine feste Adresse aus dem Netz).
Ebenso hängst du den AP am 1722 auch in dessen DMZ - damit kann die Firma dazwischen schonmal nicht in dein Netz (zumindest wenn du das korrekt konfigurierst). Die DMZ des 1722 sollte (wie die des 1811) das gleiche Netz verwenden, wie die Firma. Da dadurch alle Beteiligten im gleichen Netz hängen kannst du den VPN-Tunnel ohne weitere Routing-Einträge einrichten (bis auf die VPN-Route selbst).
Du könntest den Tunnel sogar so einrichten, daß dein gesamter Internet-Traffic darüber läuft (dürfte schneller sein als über ISDN...). Es könnte nur sein, daß sich die Firma dazwischen beschwert, daß sie kaum Bandbreite hat, weil sie durch deinen Traffic belegt ist.
Gruß
Backslash
Ganz so funktioniert es leider nicht...Der LC1000 wird auf einen LC1811 modernisiert. Der ist dann Router mit VPN Funktion für das LAN-B und gleichzeitg dank des eingebauten AP kann er den Fremd AP als Internetzugang benutzen. Der 1811 läuft dann als WLAN-Client am AP2?
Was mir nicht klar war, ich hatte son Ding noch nicht in der Hand;=) der 1811 kann das integierte WLAN Modul benutzen um über einen anderen AP ins Internet zu gehen? Kling gut;=) Und wenn er dann dort abgehend eine VPN Sitzung aufbauen kann dann ist das ja meine Lösung;=)
Der 1811 kann auf dem WLAN nicht maskieren und daher auch keinen "vollwertigen" Internetzugang bereitstellen.
Du wolltest ja auch nicht den Internetzugang über die Strecke machen, sondern nur die VPN-Kopplung (das geht auch ohne Maskierung).
Du mußt das WLAN-Interface fest an die DMZ binden und die DMZ passend zu dem Netz das APs auf dem sich der 1811 einbucht konfigurieren (er benötigt eine feste Adresse aus dem Netz).
Ebenso hängst du den AP am 1722 auch in dessen DMZ - damit kann die Firma dazwischen schonmal nicht in dein Netz (zumindest wenn du das korrekt konfigurierst). Die DMZ des 1722 sollte (wie die des 1811) das gleiche Netz verwenden, wie die Firma. Da dadurch alle Beteiligten im gleichen Netz hängen kannst du den VPN-Tunnel ohne weitere Routing-Einträge einrichten (bis auf die VPN-Route selbst).
Du könntest den Tunnel sogar so einrichten, daß dein gesamter Internet-Traffic darüber läuft (dürfte schneller sein als über ISDN...). Es könnte nur sein, daß sich die Firma dazwischen beschwert, daß sie kaum Bandbreite hat, weil sie durch deinen Traffic belegt ist.
Gruß
Backslash
Hallo backslash,
hm - da haben wir uns jetzt falsch verstanden;=)
Also LAN-A und LAN-B gehören zum gleichen Laden.
Die LANs dürfen und sollen zusammen.
LAN-B will ich wegen den ISDN-Zugangskosten den Internetzugang über LAN-A ermöglichen. Hautpsächlich wegen einem internen Mailserver der im Lan-B steht und das Zeug via Dial-Up abholt und ausliefert. Ansonsten ein bischen SMB basierender Dateizugriff, VNC sowie VmWare Console Anwendungen. Also def. kein voluminösen Dateizugriffe auf einen Server oder so.
Dummereise kann ich nicht direkt auf die Wlan Strecke zugreiffen sondern muss mich am AP2 als Client anmelden, wie Hinz&Kunz im PublicSpot Bereich. Ohne Verschlüsselung und quasi mit runtergelassenen Hosen. Das ist mir wegen der via VPN getunnelten Daten aber egal;=)
Unter diesen Voraussetzungen müsste es doch leichter sein, oder?
Ich will ja nix trennen.
Im Moment wird der AP1 am 1722 über einen auf DMZ definierten Port versorgt. Damit hab ich später die Kommunikation des Public-Spot Bereichs schon mal abgetrennt.
Die Kombi L54/1711 oder den 1811 kann ich doch im Client Modus als P2P-Verbindung gegenüber dem AP2 laufen lassen, oder? Dann ist das Device-X aus dem Public Spot schonmal nicht zu erreichen.
Ein L54 als Client ist doch nix anderes als ne externe WLAN-Karte mit Ethernetanschluss. Den dahinter liegenden 1711 brauch ich doch dann nur wegen der Maskierung und der Erzeugung des VPN Tunnels. Oder ist das immer noch ein Denkfehler von mir, das sowas mit dem L54/1711 oder 1811 nicht geht.
Ich habe mit den LCs noch keine Netze permanent mit VPN gekoppelt. Wir benutze immer den VPN+ Client für Aussendienstler oder Heimarbeitsplätze und die haben dann immer den totalen Zugriff auf das Firmennetz incl. des Internetzuganges dort.
Ich werd mal ne Trockenübung machen und versuchen mich mit einen 1722 und einem L54ag an einem normalen Access Point anzumelden.
Gestern Abend, war schon etwas später;=) hab ich mir mal die Konfig Optionen für den 1722 angeschaut, wie kann man denn da das VPN auf einen internen DMZ Port binden? Serienmässig lauert er doch auf eigende Daten via WAN/DSL Anschluss? Für obiges Szenario muss ich das dann auf den internen DMZ Port definieren, oder?
Oder denke ich da wieder zu kompliziert und gebe als Gegenstelle für die VPN Verbindung einfach die IP des internen DMZ-Ports an? Und der Lancom ist VPN-Ready auf allen Ports, intern extern als auch DMZs?
Danke mal für die Mühe, die Du Dir mit mir machst;=)
Gruss
hm - da haben wir uns jetzt falsch verstanden;=)
Also LAN-A und LAN-B gehören zum gleichen Laden.
Die LANs dürfen und sollen zusammen.
LAN-B will ich wegen den ISDN-Zugangskosten den Internetzugang über LAN-A ermöglichen. Hautpsächlich wegen einem internen Mailserver der im Lan-B steht und das Zeug via Dial-Up abholt und ausliefert. Ansonsten ein bischen SMB basierender Dateizugriff, VNC sowie VmWare Console Anwendungen. Also def. kein voluminösen Dateizugriffe auf einen Server oder so.
Dummereise kann ich nicht direkt auf die Wlan Strecke zugreiffen sondern muss mich am AP2 als Client anmelden, wie Hinz&Kunz im PublicSpot Bereich. Ohne Verschlüsselung und quasi mit runtergelassenen Hosen. Das ist mir wegen der via VPN getunnelten Daten aber egal;=)
Unter diesen Voraussetzungen müsste es doch leichter sein, oder?
Ich will ja nix trennen.
Im Moment wird der AP1 am 1722 über einen auf DMZ definierten Port versorgt. Damit hab ich später die Kommunikation des Public-Spot Bereichs schon mal abgetrennt.
Die Kombi L54/1711 oder den 1811 kann ich doch im Client Modus als P2P-Verbindung gegenüber dem AP2 laufen lassen, oder? Dann ist das Device-X aus dem Public Spot schonmal nicht zu erreichen.
Ein L54 als Client ist doch nix anderes als ne externe WLAN-Karte mit Ethernetanschluss. Den dahinter liegenden 1711 brauch ich doch dann nur wegen der Maskierung und der Erzeugung des VPN Tunnels. Oder ist das immer noch ein Denkfehler von mir, das sowas mit dem L54/1711 oder 1811 nicht geht.
Ich habe mit den LCs noch keine Netze permanent mit VPN gekoppelt. Wir benutze immer den VPN+ Client für Aussendienstler oder Heimarbeitsplätze und die haben dann immer den totalen Zugriff auf das Firmennetz incl. des Internetzuganges dort.
Ich werd mal ne Trockenübung machen und versuchen mich mit einen 1722 und einem L54ag an einem normalen Access Point anzumelden.
Gestern Abend, war schon etwas später;=) hab ich mir mal die Konfig Optionen für den 1722 angeschaut, wie kann man denn da das VPN auf einen internen DMZ Port binden? Serienmässig lauert er doch auf eigende Daten via WAN/DSL Anschluss? Für obiges Szenario muss ich das dann auf den internen DMZ Port definieren, oder?
Oder denke ich da wieder zu kompliziert und gebe als Gegenstelle für die VPN Verbindung einfach die IP des internen DMZ-Ports an? Und der Lancom ist VPN-Ready auf allen Ports, intern extern als auch DMZs?
Danke mal für die Mühe, die Du Dir mit mir machst;=)
Gruss
Pengiun
Hi Pengiun
Da du das Internet über die WLAN-Strecke laufen lassen willst, kannst du den 1811 nicht nehmen, sondern mußst schon die von dir vorgeschlagene Kombi L54/1711 verwenden - wegen der Maskierung halt. Dabei klemmst du das L54 an einen WAN-Port des 1711.
Gruß
Backslash
Gerade wegen der Mails, solltest du den gesamten Internet-Traffic durch den VPN-Tunnel schicken - es "kommt nicht gut", wenn Paßwörter und Firemgeheimnisse unverschlüsselt durch ein WLAN geschickt werden...LAN-B will ich wegen den ISDN-Zugangskosten den Internetzugang über LAN-A ermöglichen. Hautpsächlich wegen einem internen Mailserver der im Lan-B steht und das Zeug via Dial-Up abholt und ausliefert. Ansonsten ein bischen SMB basierender Dateizugriff, VNC sowie VmWare Console Anwendungen. Also def. kein voluminösen Dateizugriffe auf einen Server oder so.
Ob P2P gegen einen unbekannten AP läuft ist immer Glückssache (siehe dazu auch die dieversen Postings von alf29...), aber eine Anmeldung als Client sollte immer funktionieren.Die Kombi L54/1711 oder den 1811 kann ich doch im Client Modus als P2P-Verbindung gegenüber dem AP2 laufen lassen, oder?
Da du das Internet über die WLAN-Strecke laufen lassen willst, kannst du den 1811 nicht nehmen, sondern mußst schon die von dir vorgeschlagene Kombi L54/1711 verwenden - wegen der Maskierung halt. Dabei klemmst du das L54 an einen WAN-Port des 1711.
Da L54 muß shcon aus dem Public-Spot Netz erreichbar sein, da sonst die Rückroute aus dem Internet zum 1711 nicht funktionieren würde... Aber zumindest den Zugriff auf die Konfiguration aus dem Public-Spot Netz kannst du beim L54 und auch 1711 abklemmen. Beim L54 verbietest du einfach die Konfiguration über WLAN und beim 1711 über WAN...Dann ist das Device-X aus dem Public Spot schonmal nicht zu erreichen.
genau so ist es.Ein L54 als Client ist doch nix anderes als ne externe WLAN-Karte mit Ethernetanschluss. Den dahinter liegenden 1711 brauch ich doch dann nur wegen der Maskierung und der Erzeugung des VPN Tunnels.
Die LANCOMs hören auf allen Ports auf VPN (sonst würde z.B. IPSec over WLAN nicht funktionieren). Das einzige, was interressiert ist die Adresse der jeweiligen VPN-Partners (remote Gateway). Dazu mußt du im 1711 die DMZ-Adresse des 1722 eintragen und im 1722 die WAN-Adresse des 1711.Gestern Abend, war schon etwas später;=) hab ich mir mal die Konfig Optionen für den 1722 angeschaut, wie kann man denn da das VPN auf einen internen DMZ Port binden? Serienmässig lauert er doch auf eigende Daten via WAN/DSL Anschluss? Für obiges Szenario muss ich das dann auf den internen DMZ Port definieren, oder?
Gruß
Backslash