solved: Lacnom 1721 VPN, VPN Site2Site, SAs für nur ein Netz

[Bernie137]

Hallo,

ich habe seit wenigen Tagen einen neuen Remote Standort dazu bekommen. Dort habe ich nun einen vorhandenen Lancom 1721 VPN neu eingerichtet, LCOS 8.80. Der VPN Tunnel steht und funktioniert, aber ich habe zwei kleinere Probleme:

1. In der Filiale gibt es historisch im Moment 3 IP Netze, die auch alle der 1721 hat - keine Tags, sondern LAN1-ETH1+ETH2, LAN3-ETH3, LAN4-ETH4. Nur ein Netz (LAN1) soll aber per VPN Tunnel agieren. Daher habe ich auch nur dieses eine Netz angegeben. Nun pfuit es ständig im LANmonitor, kein übereinstimmendes Proposal gefunden, weil er die anderen beiden Netze mit einbezieht, was er aber gar nicht soll. Wie stelle ich das ab? Show vpn listet auch alle 3 Netz mit auf.

2. Vom 1721 in der CLI kann ich nichts jenseits des VPN Tunnels pingen und ich vermute das hängt mit 1. zusammen (was nimmt er als Absende IP?). Nicht mal die LAN IP vom 1781EF der Gegenstelle, jedoch ist der 1721 von allen Clients in der Zentrale anpingbar auf LAN1. Daraus resultiert, dass der 1721 als lokaler DNS Server vor Ort keine Weiterleitung in die Zentrale macht. Hat da jemand eine Idee? Firewall im 1721 ist DENY_ALL; Allow LAN1 <-> Zentrale, alle Ports; Allow Zentrale <-> LAN1, alle Ports.

Wenn noch Angaben benötigt werden, lasst es mich wissen.

vg Heiko

[passi]

Zu 1., Regelerzeugung steht auf automatisch? Stell die Verbindung auf manuelle Regelerzeugung und leg eine VPN Regel in der Firewall für die Netzbeziehung an.

Zu 2. -a <ip-address> set source address

[Jirka]

Hallo Heiko,

wenn Du die VPN-Regeln automatisch erstellen lässt, funktioniert das so nicht. Entweder Du bleibst bei der automatischen Erstellung, musst dann aber entweder auf der gegenüberliegenden Seite in der Routing-Tabelle auch die anderen Netze des 1721 angeben (womit die auch über VPN erreichbar sind, wenn man das nicht will, ist das natürlich nichts) oder aber Du arbeitest mit Schnittstellen-Tags und da muss dann das Intranet auf LAN-1 mit einem Schnittstellen-Tag gekennzeichnet werden, was die beiden anderen Intranets nicht haben, damit am Ende der Eintrag in der Routing-Tabelle nur eben für dieses Intranet gilt und nicht für alle. Das hat wiederum zur Folge, dass dieses Intranet nicht mehr auf die anderen Intranets zugreifen darf und umgekehrt, was man aber wieder mit einer Firewall-Regel erlauben kann, sofern es denn gewünscht ist. Oder aber Du stellst um von der automatischen Erstellung der Regeln auf manuelle Erstellung und machst Dir Deine Regel in der Firewall-Tabelle selber...

Viele Grüße,
Jirka

[Bernie137]

Hallo ihr beiden,

wenn Du die VPN-Regeln automatisch erstellen lässt, funktioniert das so nicht.

Ja, steht auf automatisch.

Zu 1., Regelerzeugung steht auf automatisch? Stell die Verbindung auf manuelle Regelerzeugung und leg eine VPN Regel in der Firewall für die Netzbeziehung an.

Zu 2. -a <ip-address> set source address

Genau das war mein erster Gedanke. Die Rules habe ich im Prinzip ja schon in der Firewall, nur das Häckchen für Regelerzeugung muste ich noch setzen. Das ganze hat dann nicht funktioniert mit manueller Regel, es kam kein Tunnel zu Stande.

oder aber Du arbeitest mit Schnittstellen-Tags und da muss dann das Intranet auf LAN-1 mit einem Schnittstellen-Tag gekennzeichnet werden, was die beiden anderen Intranets nicht haben, damit am Ende der Eintrag in der Routing-Tabelle nur eben für dieses Intranet gilt und nicht für alle. Das hat wiederum zur Folge, dass dieses Intranet nicht mehr auf die anderen Intranets zugreifen darf und umgekehrt, was man aber wieder mit einer Firewall-Regel erlauben kann, sofern es denn gewünscht ist.

Exakt das hat zum Erfolg geführt. Für irgendwas müssen ja die Tags auch mal gut sein. Ich habe die bisher nicht benötigt bei allem was ich mit Lancom zu tun hatte

vg Heiko