Site2Site - Tunnelaufbau von jeder Seite aus ?

[firefox_i]

Hallo zusammen,
schon vorab sorry, falls ich blöde Fragen stellen sollte...ich hab mit VPN noch nicht sooo viel Erfahrung.

Randbedingungen

Standort 1
*********
1781VA, aktuellste FW
IP: 10.72.20.1, Maske 255.255.255.0

Standort 2
*********
1783VAW, aktuellste FW
IP: 10.72.10.1, Maske 255.255.255.0


Ziel:
- Egal in welchem Standort ich bin, der andere soll erreicht werden können.

hier nun die einzelnen Themen
"Wie seh ich beide Router im LANconfig"
*****************************
in den Screenshots ist immer ganz toll zu sehen, dass alle Router angezeigt werden.
Das habe ich nur dadurch erreicht, dass ich beide Router physikalisch an denselben Switch angeschlossen habe und dann meinem Rechner (Win 7) 2 IP Adressen gegeben habe.
ist das normal so oder gibts da noch ne andere Möglichkeit ?
Wenn ich den Rechner nur in einem IP Kreis habe, dann kann ich den Router im anderen ja nicht anpingen....
Also ich geh mal davon aus, dass das so passt.


"die Konfig als solche"
*****************
Ich habe es nun so verstanden dass ich mit dem 1-Click Assistenten einen Router "auf den anderen" ziehe und dadurch einen VPN Tunnel definiere.
Nachdem die Verbindung ja immer von einem der beiden initiiert wird, geh ich davon aus, dass ich dieses "ich zieh einen auf den anderen" 2 mal machen muss...einmal A auf B und dann B auf A.
Oder hab ich da was missverstanden ?

"Haltezeit"
*******
Ich versteh die Haltezeit so
- 0 --> Tunnel wird nicht abgebaut, aber bei einem nicht vorhandenen Tunnel erst wieder aufgebaut, wenn Daten ausgetauscht werden sollen.
- 9999 --> Tunnel wird nach einem Abbau sofort wieder aufgebaut
- alles dazwischen : nach dieser Zeit ohne Traffic wird der Tunnel abgebaut und bei Bedarf wieder aufgebaut

hab ich das so richtig überrissen ?
Dann wäre doch für meine Anforderung irgendwas außer 0 und 9999 sinnvoll, also z.B. 60 oder ?


"Beide Richtungen"
*************
Wenn nun Standort 1 eine Ip aus Standort 2 anpingt, dann baut sich ja (hoffentlich) der Tunnel auf.
Wenn nun bei bestehendem Tunnel eine Station aus Standort 2 eine IP von Standort 1 anspricht....wird dann der zweite Tunnel aufgebaut oder der bestehene genutzt?


Ich hoffe dass ich eingermaßen verständlich rübergebracht habe, was ich möchte und dass die Fragen nicht total doof sind

Danke und Gruß
S.

[Jirka]

1) Falsch, d. h. nein, es passt so nicht.
2) Falsch, d. h. ja, Du hast da was missverstanden.
3) Richtig, aber was für Deine Anforderung sinnvoll ist, kann man aus dem, was Du geschrieben hast nicht sagen. Vielleicht ist es ein Stückweit auch Ansichtssache.
4) Es geht alles über einen Tunnel, also nach Deiner Logik wird der bereits "bestehende" benutzt.

Viele Grüße,
Jirka

[firefox_i]

1) Falsch, d. h. nein, es passt so nicht.
2) Falsch, d. h. ja, Du hast da was missverstanden.
3) Richtig, aber was für Deine Anforderung sinnvoll ist, kann man aus dem, was Du geschrieben hast nicht sagen. Vielleicht ist es ein Stückweit auch Ansichtssache.
4) Es geht alles über einen Tunnel, also nach Deiner Logik wird der bereits "bestehende" benutzt.

Viele Grüße,
Jirka

Danke für die minimalistische Antwort.
Bekomm ich heute den zweiten Teil noch mit roter Schleife drum oder mus ich mir da jetzt selber meinen Reim draus machen ?

Nachdem meine Fragen wohl doch auf binäre Antworten ausgerichtet zu sein scheinen frag ichi eben nochmal anders:

"LANconfig"
*********
Ein Router hat 10.72.10.1, der andere Router 10.72.20.1, der Konfig Rechner 10.72.10.100.
Was muss ich machen, um den 1-Click Assistenten nutzen zu können?
Dazu muss ich scheinbar beide sehen und das Durchsuchen entfernter netze funktioniert bei mir nicht.
Dass ich beide Router dadurch erreiche, meiner Netzwerkkarte via Windows in beide Netze zu nehmen ist ja wohl falsch.



Betreff des Beitrags: Site2Site - Tunnelaufbau von jeder Seite aus ? Mit Zitat antworten
Hallo zusammen,
schon vorab sorry, falls ich blöde Fragen stellen sollte...ich hab mit VPN noch nicht sooo viel Erfahrung.

Randbedingungen

Standort 1
*********
1781VA, aktuellste FW
IP: 10.72.20.1, Maske 255.255.255.0

Standort 2
*********
1783VAW, aktuellste FW
IP: 10.72.10.1, Maske 255.255.255.0


Ziel:
- Egal in welchem Standort ich bin, der andere soll erreicht werden können.

hier nun die einzelnen Themen
"Wie seh ich beide Router im LANconfig"
*****************************
in den Screenshots ist immer ganz toll zu sehen, dass alle Router angezeigt werden.
Das habe ich nur dadurch erreicht, dass ich beide Router physikalisch an denselben Switch angeschlossen habe und dann meinem Rechner (Win 7) 2 IP Adressen gegeben habe.
ist das normal so oder gibts da noch ne andere Möglichkeit ?
Wenn ich den Rechner nur in einem IP Kreis habe, dann kann ich den Router im anderen ja nicht anpingen....
Also ich geh mal davon aus, dass das so passt.


"die Konfig als solche"
*****************
Ich hatte bisher die VPN Verbindungen so verstanden dass durch das "wen ziehe ich worauf" festgelegt wird, wer den Tunnel aufbaut.
Deshalb bin ich zu der wohl falschen Annahme gelangt, dass ich 2 VPN Verbindungen konfigurieren muss.
Das scheint ja dann ein Missverständnis zu sein.
Wie ist es denn richtig ?
Wie lege ich fest, dass beide Seiten den Tunnel aufbauen können sofern eine IP des entfernten Netzes angepingt wird?


Danke für jede Antwort die über "ja ich könnte dir antworten" hinausgeht

S.

[powder8]

Kurz vom iPhone

Lanconfig von entfernten Netzen zulassen einschalten ssh https im Router.

Dann via der öffentlichen ip über lanconfig auf die Router zugreifen.

Dann hast du Router im lanconfig.

[Bernie137]

Hallo firefox_i,

Danke für die minimalistische Antwort.
Bekomm ich heute den zweiten Teil noch mit roter Schleife drum oder mus ich mir da jetzt selber meinen Reim draus machen ?

Manchmal sind die minimalistischen Antworten einfach das Beste, da gleich die Kernaussage ankommt. Und es ist sicherlich nicht persönlich gemeint. Ich wiederum kann mich meistens nicht so kurz fassen und versuche Dir mal zu antworten.

"LANconfig"
*********
Ein Router hat 10.72.10.1, der andere Router 10.72.20.1, der Konfig Rechner 10.72.10.100.
Was muss ich machen, um den 1-Click Assistenten nutzen zu können?
Dazu muss ich scheinbar beide sehen und das Durchsuchen entfernter netze funktioniert bei mir nicht.
Dass ich beide Router dadurch erreiche, meiner Netzwerkkarte via Windows in beide Netze zu nehmen ist ja wohl falsch.

Wie powder8 schon schrieb, den entfernten Router per Öffntlicher IP übers Internet ansprechen = Sicherheitsrisiko! Und danach unbedingt die Zugriffe aus dem Internet wieder abschalten.

Oder aber den Setup-Assistenten "zwei lokale Netze verbinden (VPN)" verwenden. Damit kann man auch als Neuling recht gut umgehen und bekommt das VPN ans Laufen. Nachteil, man muss es von beiden Seiten aus konfigurieren, sofern man nicht ánderweitig Zugriff auf die Gegenseite hat (Rechner im LAN per TeamViewer).

Ziel:
- Egal in welchem Standort ich bin, der andere soll erreicht werden können.

Genau das tut VPN, egal über welchen Weg die Erstkonfiguration erfolgte.

Ich hatte bisher die VPN Verbindungen so verstanden dass durch das "wen ziehe ich worauf" festgelegt wird, wer den Tunnel aufbaut.
Deshalb bin ich zu der wohl falschen Annahme gelangt, dass ich 2 VPN Verbindungen konfigurieren muss.
Das scheint ja dann ein Missverständnis zu sein.
Wie ist es denn richtig ?

Ja, das ist ein Missverständnis. Es handelt sich um ein und dieselbe Verbindung, welche zunächst wechselseitig "angerufen" werden kann.

"Haltezeit"
*******
Ich versteh die Haltezeit so
- 0 --> Tunnel wird nicht abgebaut, aber bei einem nicht vorhandenen Tunnel erst wieder aufgebaut, wenn Daten ausgetauscht werden sollen.
- 9999 --> Tunnel wird nach einem Abbau sofort wieder aufgebaut
- alles dazwischen : nach dieser Zeit ohne Traffic wird der Tunnel abgebaut und bei Bedarf wieder aufgebaut

hab ich das so richtig überrissen ?

Ja, so weit richtig.

Dann wäre doch für meine Anforderung irgendwas außer 0 und 9999 sinnvoll, also z.B. 60 oder ?

Das ist eher nicht sinnvoll. In seltensten Fällen macht man eine VPN Standort Vernetzung als Verbindung on demand, sondern richtet sie in Zeiten von Volumentarifen stattdessen als dauerhaft gehalten ein, Wert 9999. Warum?
- Im Normalfall dauert die Herstellung eines VPN Tunnel nur wenige Sekunden, wenn aber die (schon bestehenden) Internetanschlüsse stark ausgelastet sind oder generell die Leitung einmal haspelt, dann kann das schon mal länger dauern und die Verbindung bekommt ihren Ruf weg als schlecht funktionierend
- eine dauerhaft gehaltene VPN Verbindung überwacht man mittels Dauerping und zeichnet diesen grafisch auf, z.B. mit der Freeware PRTG. Damit bekommt man ein Gefühl, wie die Verbindung gehalten und auch ausgelastet ist und kann Gegenmaßnahmen ergreifen.

"Beide Richtungen"
*************
Wenn nun Standort 1 eine Ip aus Standort 2 anpingt, dann baut sich ja (hoffentlich) der Tunnel auf.
Wenn nun bei bestehendem Tunnel eine Station aus Standort 2 eine IP von Standort 1 anspricht....wird dann der zweite Tunnel aufgebaut oder der bestehene genutzt?

Dein Trugschlußß, siehe weiter oben.

vg Bernie

[firefox_i]

Hallo zusammen,
vielen Dank für die schnellen Antworten.
Ich hab das auch keineswegs persönlich aufgefasst sondern hab es mit Humor genommen
Wenn mich einer fragt ob ich ihm sagen kann wie spät es ist kommt von mir auch nur ein "ja"

Danke für die vielen hilfreichen Anmerkungen.
Das hilft mir schonmal super weiter.

Das mit dem Ansprechen des entfernten Routers muss ich mal schauen wie ich das mit der öffentlichen IP hinbekomme.
Ansonsten eben über den Setup-Assistenten, das schaff ich

Was mich da eben verwundert hat ist der Hinweis in der KB, dass dadurch welchen Router ich auf welchen ziehe quasi eine Richtung vorgegeben wird:
"Sie können das LANCOM 1-Click-VPN ganz einfach nutzen, indem Sie in Ihrem LANconfig, ein LANCOM VPN-Gerät mittels Drag & Drop auf das andere ziehen.
Die Richtung dieser Aktion gibt hier implizit an, in welche Richtung der Tunnelaufbau erfolgen soll: "

Das hatte ich eben so verstanden, dass eine so angelegte Verbindung von A nach B geht und eben nicht umgekehrt....

Das mit der Haltezeit muss ich mal schauen.
Es ist tatsächlich nur während einer bestimmten Zeit notwendig den VPN Tunnel offen zu haben, deshalb die Idee mit der Haltezeit.

Danke
Sven

[backslash]

Hi firefox_i

Die Richtung dieser Aktion gibt hier implizit an, in welche Richtung der Tunnelaufbau erfolgen soll: "

Das hatte ich eben so verstanden, dass eine so angelegte Verbindung von A nach B geht und eben nicht umgekehrt....

nein... Das gibt letztendlich nur an, auf welcher Seite die Haltezeit 9999 und auf welcher sie 0 ist...

Gruß
Backslash

[firefox_i]

@backslash
Danke für die Info.

Mir scheint die Doku ist nicht nur an dieser Stelle etwas mehr als suboptimal.
Also wenn ich in der Doku was suche finde ich so gut wie nie was und wenn man dann die Berschreibung liest......naja...also dass man bei einer Option als Doku liest "hier können Sie xxx einstellen" aber nicht mehr, dann ist das.....hui

Also wenn unsere Dokumenter hier sowas abliefern würden würde ich die nochmal in die Runde schicken....

S.

[MariusP]

Hi,
Ich weis nicht ob den Leuten mit einer 5000 Seiten Dokumentation geholfen wäre.
Gruß

[firefox_i]

Hmmm lieber 5000 Seiten in denen alles relevante tatsächlich sinnvoll beschrieben ist als Dokumentation in der Einstellungen nicht beschrieben (oder eben dass im Feld xx der Parameter xx eingestellt werden kann - was relativ sinnfrei ist wenn die Auswirkungen dieses Parameters nirgends erklärt sind) oder Optionen beschrieben werden die es nicht mehr gibt.

Oder seh ich das zu eng ?

Dass die Lancom Produkte viel können steht außer Frage.
Dass man aber ohne Dritthilfe eine Konfiguration nahezu unmöglich ist für einen der noch nie mit Lancom gearbeitet hat finde ich suboptimal.

S.