Hallo zusammen,
hab mal 'ne Frage in Richtung "Best Practice". Das betreffende Netzwerk schaut folgendermaßen aus:
192.168.3.0/24 -> 192.168.3.100/24 (ISA-LAN) 192.168.2.3/24 (ISA-DMZ) ->192.168.2.1 (Lancom) -> Internet -> 192.168.1.0/24 (Außenstelle mit Lancom)
Also ähnlich wie <<HIER>>
zur Standortverbindung habe ich bisher den Lancom (Außenstelle) per VPN mit dem ISA verbunden.
Nun dachte ich mir, man könnte ja auch die beiden Lancom miteinander verbinden (was m.M.n. besser läuft als Lancom und ISA). Die Besonderheit ist die, dass im LAN eine Anwendung erfordert, dass die nutzenden Clients eine IP aus eben diesem LAN sowie eine Route in das Anwendungsnetz (oben nicht erwähnt) besitzen. Daher mussten sich die Clients in der Außenstelle nur für diese Anwendung per VPN einwählen (trotz bestehender Standort-Verbindung), um eine passende IP zu bekommen.
Ich finde das unpraktisch und könnte mir vorstellen, dass es dafür elegantere Lösungen gibt. Vielleicht in der Art, dass bestimmte Clients der Außenstelle immer maskiert werden und eine passende IP erhalten. Ist so etwas möglich, oder kennt jemand einen Weg, das eleganter zu lösen?
Danke und Gruß
Standortverbindung mit 2xLancom vor ISA
Moderator: Lancom-Systems Moderatoren
Hi BOFH
Richte zunächst eine zweite VPN-Verbindung zur Zentrale, die auf dem ISA terminiert, ein und laß dieser vor dort über den Config-Mode eine IP-Adresse aus dem Zentralnetz zuweisen (In der VPN-Verbindungs-Liste für die Verbindung IKE-CFG auf "Client" stellen) - so wie bei einer Einwahl über einen VPN-Client auch...
Dann erstellst du eine zweite Route zum Zentralnetz, die du mit einem Routing-Tag ungleich 0 versiehst und an die zweite VPN-Verbindung bindest. Bei dieser Route mus die Maskierungs-Option auf "Intranet und DMZ maskieren" stehen.
Und nun kannst du über Firewallregeln festlegen, daß alle Anfragen für die fragliche Anwendung über die neue Route gehen, in dem du eine passende Regel erstellst und dieser das Routing-Tag zuweist, daß du in der Routing-Tabelle der neuen Route zugewiesen hast:
Gruß
Backslash
Hier ist das Schlagwort: Policy-Based-Routing...Ich finde das unpraktisch und könnte mir vorstellen, dass es dafür elegantere Lösungen gibt. Vielleicht in der Art, dass bestimmte Clients der Außenstelle immer maskiert werden und eine passende IP erhalten.
Richte zunächst eine zweite VPN-Verbindung zur Zentrale, die auf dem ISA terminiert, ein und laß dieser vor dort über den Config-Mode eine IP-Adresse aus dem Zentralnetz zuweisen (In der VPN-Verbindungs-Liste für die Verbindung IKE-CFG auf "Client" stellen) - so wie bei einer Einwahl über einen VPN-Client auch...
Dann erstellst du eine zweite Route zum Zentralnetz, die du mit einem Routing-Tag ungleich 0 versiehst und an die zweite VPN-Verbindung bindest. Bei dieser Route mus die Maskierungs-Option auf "Intranet und DMZ maskieren" stehen.
Und nun kannst du über Firewallregeln festlegen, daß alle Anfragen für die fragliche Anwendung über die neue Route gehen, in dem du eine passende Regel erstellst und dieser das Routing-Tag zuweist, daß du in der Routing-Tabelle der neuen Route zugewiesen hast:
Code: Alles auswählen
Name: bloede-Anwendung
Routing-Tag: Tag der neuen Route zur Zentrale
Aktion: übertragen
Quelle: alle Stationen im lokalen Netz
Ziel: Server der blöden Anwendung in der Zentrale
Dienste: alle Dienste (oder eingeschränkt auf die blöde Anwendung)Backslash
Danke für die schnelle Antwort backslash !
Hab die letzten Tage mit anderen Problemchen vertrödelt. (Zum Glück is das Außenbüro nicht immer besetzt *g*). Nun geht's wieder an die VPN-Verbindung.
Ich befürchte, ich hab ned richtig verstanden, wie Du das meintest. Wenn ich jetzt zu der bestehenden Lancom<->Lancom-Verbindung eine 2. hinzufüge (Lancom<->ISA), benötige ich dann eine weitere externe IP? Weil derzeit kommen beide Verbindungen auf einer Leitung am Lancom Zentrale an, im Trace auf dem Lancom Zentrale sehe ich die 2. Verbindung ebenfalls. Daher bekommt der ISA von der 2. Verbindung garnichts mit. *verwirrtschau*
Kannst Du vielleicht etwas weiter ausholen?
Besten dank und Gruß
bofh
Hab die letzten Tage mit anderen Problemchen vertrödelt. (Zum Glück is das Außenbüro nicht immer besetzt *g*). Nun geht's wieder an die VPN-Verbindung.
Ich befürchte, ich hab ned richtig verstanden, wie Du das meintest. Wenn ich jetzt zu der bestehenden Lancom<->Lancom-Verbindung eine 2. hinzufüge (Lancom<->ISA), benötige ich dann eine weitere externe IP? Weil derzeit kommen beide Verbindungen auf einer Leitung am Lancom Zentrale an, im Trace auf dem Lancom Zentrale sehe ich die 2. Verbindung ebenfalls. Daher bekommt der ISA von der 2. Verbindung garnichts mit. *verwirrtschau*
Kannst Du vielleicht etwas weiter ausholen?
Besten dank und Gruß
bofh
Hi BOFH,
der ISA muß den zweiten Tunnel natürlich vom ersten Unterscheiden können. Du könntest den zweiten Tunnel z.B. im Aggressive-Mode laufen lassen (so wie eine VPN-Client-Einwahl auch) und dabei natürlicg eine anderere Identity nutzen als beim ersten Tunnel. Oder aber du baust den zweiten Tunnel "durch" den ersten auf, d.h. als Remote-Gateway trägst du die interne IP des ISA ein - dann hat der zweite Tunnel als Absender-IP deine interne IP und der ISA kann beide auch im Main-Mode mit PSK unterscheiden.
Gruß
Backslash
der ISA muß den zweiten Tunnel natürlich vom ersten Unterscheiden können. Du könntest den zweiten Tunnel z.B. im Aggressive-Mode laufen lassen (so wie eine VPN-Client-Einwahl auch) und dabei natürlicg eine anderere Identity nutzen als beim ersten Tunnel. Oder aber du baust den zweiten Tunnel "durch" den ersten auf, d.h. als Remote-Gateway trägst du die interne IP des ISA ein - dann hat der zweite Tunnel als Absender-IP deine interne IP und der ISA kann beide auch im Main-Mode mit PSK unterscheiden.
Gruß
Backslash
Hallo backslash,
ok, dass die Tunnel sich irgendwie unterscheiden müssen, leuchtet ein. Gerade habe ich, um auch selber besser zu verstehen, was passiert, die VPN-Verbindung am Lancom (Außenstelle) komplett gelöscht und neu angelegt.
Die VPN zwischen Lancom (Außenstelle) und ISA (Zentrale) steht wieder.
Anschließend habe ich mit dem Assistenten eine 2. VPN erstellt und habe als Extranet-Adresse eine aus dem Zentralen-Intranet genommen.
Am ISA konnte ich die 2. Verbindung aber nicht konfigurieren, da das Zielnetzwerk bereits existiert. Also hab ich -ungünstigerweise- die 2. VPN am Lancom wieder gelöscht. (Damit wurden die Proposals gelöscht, musste ich von Hand wieder für die 1. VPN anpassen).
Wirklich weiter bin ich damit leider nicht und tu mich gerade echt schwer damit, nachzuvollziehen, wie ich das umsetzen kann.
Grundsätzlich: Sehe ich das richtig, dass ich auch 2 Adressen aus dem Intranet (Zentrale) an die Außenstelle vergeben kann, indem ich eine weitere VPN-Verbindung im Client-Mode aufbauen und dieser eine weitere Adresse zuweise?
Und das Verständnisproblem, welches ich habe:
- 2. VPN zum ISA mit gleichem Netz in der Außenstelle geht nicht.
- Lancom als VPN-Client zum ISA benötigt Benutzernamen und Kennwort. Wo sollte ich diese eingeben? Das war so von Dir sicherlich nicht gemeint, oder?
- Lancom zum LC (Zentrale) hieße ja, dass nur die DMZ der Zentrale erreichbar wäre. Also weiterleiten zum ISA, dann kommt wieder das 1. Problem ?!?!
Vielleicht könntest Du mir da noch einmal auf die Sprünge helfen
Gruß
bofh
ok, dass die Tunnel sich irgendwie unterscheiden müssen, leuchtet ein. Gerade habe ich, um auch selber besser zu verstehen, was passiert, die VPN-Verbindung am Lancom (Außenstelle) komplett gelöscht und neu angelegt.
Die VPN zwischen Lancom (Außenstelle) und ISA (Zentrale) steht wieder.
Anschließend habe ich mit dem Assistenten eine 2. VPN erstellt und habe als Extranet-Adresse eine aus dem Zentralen-Intranet genommen.
Am ISA konnte ich die 2. Verbindung aber nicht konfigurieren, da das Zielnetzwerk bereits existiert. Also hab ich -ungünstigerweise- die 2. VPN am Lancom wieder gelöscht. (Damit wurden die Proposals gelöscht, musste ich von Hand wieder für die 1. VPN anpassen).
Wirklich weiter bin ich damit leider nicht und tu mich gerade echt schwer damit, nachzuvollziehen, wie ich das umsetzen kann.
Grundsätzlich: Sehe ich das richtig, dass ich auch 2 Adressen aus dem Intranet (Zentrale) an die Außenstelle vergeben kann, indem ich eine weitere VPN-Verbindung im Client-Mode aufbauen und dieser eine weitere Adresse zuweise?
Und das Verständnisproblem, welches ich habe:
- 2. VPN zum ISA mit gleichem Netz in der Außenstelle geht nicht.
- Lancom als VPN-Client zum ISA benötigt Benutzernamen und Kennwort. Wo sollte ich diese eingeben? Das war so von Dir sicherlich nicht gemeint, oder?
- Lancom zum LC (Zentrale) hieße ja, dass nur die DMZ der Zentrale erreichbar wäre. Also weiterleiten zum ISA, dann kommt wieder das 1. Problem ?!?!
Vielleicht könntest Du mir da noch einmal auf die Sprünge helfen
Gruß
bofh