Hallo zusammen,
ich habe folgendes Problem und komme hier momentan nicht weiter:
Wir haben u.a. eine Außenstelle mit dem Netzbereich 192.168.25.x (LANCOM 1711+) via VPN an unsere Zentrale mit Netzbereich 192.168.50.x (LANCOM 7111) angebunden.
Alle Geräte sind auf aktuellstem Stand.
Die Server, Rechner, usw. der Außenstelle können via VPN auf die Zentrale und auf andere angebundene Außenstellen zugreifen und umgekehrt.
Hierbei wird bisher lediglich der Traffic geroutet, welcher für die Zentrale oder eine der anderen Außenstellen bestimmt ist.
Der Zugang zum Internet erfolgt jeweils direkt in den Außenstellen, d.h. hier erfolgt kein Routing.
Das alles funktioniert soweit ohne Probleme.
Nun habe ich die Anforderung, dass alle Geräte mit einer bestimmten IP-Adressrange (192.168.25.90 bis 192.168.25.99) aufgrund einer erhöhten Sicherheitsanforderung Ihren gesamten Traffic in die Zentrale routen müssen.
D.h. auch wenn diese Rechner auf das Internet zugreifen möchten, muss dies über das Gateway der Zentrale geschehen.
Es soll kein Netzwerktraffic dieser Rechner mehr über die Außenstelle ins Internet gehen.
Alle anderen Rechner und Geräte der Außenstelle sollen wie bisher behandelt werden, d.h. lokal auf das Internet zugreifen.
Kann mir jemand in kurzen Stichworten erläutern, ob dies zu bewerkstelligen ist und was ich ggfls. wo eintragen muss?
Ich habe bereits mit Routing-Tags herumprobiert, bin aber noch nicht wirklich weiter gekommen...
Danke im Voraus!
Traffic bestimnter PCs in der Außenstelle nur über VPN route
Moderator: Lancom-Systems Moderatoren
Re: Traffic bestimnter PCs in der Außenstelle nur über VPN r
Hi digi,
In den Filialen mußt du eine getaggte Defaultroute aufnehmen und an die VPN-Gegenstelle binden (Achtung: unmaskiert!):
Desweiteren brauchst du dort auch eine Firewallregel, mit der du den Traffic der jeweiligen Stationen umtaggst:
Und nun mußt du die Zentrale noch mit einer VPN-Regel in der Firewall dazu bringen, eine SA aufzubauen, die den Internet-Traffic erlaubt:
das sollte reichen
Gruß
Backslash
Routing-Tags sind schonmal ein Teil der Lösung... Das Problem ist, daß du auch die Netzbeziehungen für die SAs anpassen mußt...Ich habe bereits mit Routing-Tags herumprobiert, bin aber noch nicht wirklich weiter gekommen...
In den Filialen mußt du eine getaggte Defaultroute aufnehmen und an die VPN-Gegenstelle binden (Achtung: unmaskiert!):
Code: Alles auswählen
IP-Address IP-Netmask Rtg-tag Peer-or-IP Distance Masquerade
-----------------------------------------------------------------------------------
192.168.50.0 255.255.255.0 0 ZENTRALE 0 No
255.255.255.255 0.0.0.0 1 ZENTRALE 0 No
255.255.255.255 0.0.0.0 0 INTERNET 0 on Code: Alles auswählen
Aktion: übertragen
Routing-Tag: 1
Quelle: IP des Hosts, dessen Internet-Traffic durch das VPN soll
Ziel: alle Stationen
Dienste: alle DiensteCode: Alles auswählen
[ ] diese Regel ist für die Firewall aktiv
[x] diese Regel wird zur Erzeugung von VPN-Regeln herangezogen
Aktion: übertragen
Quelle: alle Stationen
Ziel: Gegenstelle FILIALE
Dienste: alle DiensteGruß
Backslash
Re: Traffic bestimnter PCs in der Außenstelle nur über VPN r
Hi backslash,
vielen Dank für Deine Step-by-Step Anleitung. Das hat einwandfrei funktioniert.
Ich bin mit folgenden Einstellungen zum Ziel gekommen:
Router Außenstelle
VPN-Regel:
Firewall-Regel:
Router Zentrale
Firewall-Regel:
Damit hat alles bestens funktioniert!
Danke!
vielen Dank für Deine Step-by-Step Anleitung. Das hat einwandfrei funktioniert.
Ich bin mit folgenden Einstellungen zum Ziel gekommen:
Router Außenstelle
VPN-Regel:
Code: Alles auswählen
IP-Address IP-Netmask Rtg-tag Peer-or-IP Distance Masquerade
-----------------------------------------------------------------------------------
192.168.50.0 255.255.255.0 0 ZENTRALE 0 No
255.255.255.255 0.0.0.0 1 ZENTRALE 0 No
255.255.255.255 0.0.0.0 0 INTERNET 0 on Code: Alles auswählen
[x] diese Regel ist für die Firewall aktiv
[ ] diese Regel wird zur Erzeugung von VPN-Regeln herangezogen
Aktion: übertragen
Routing-Tag: 1
Quelle: IP des Hosts, dessen Internet-Traffic durch das VPN soll
Ziel: alle Stationen
Dienste: alle DiensteRouter Zentrale
Firewall-Regel:
Code: Alles auswählen
[ ] diese Regel ist für die Firewall aktiv
[x] diese Regel wird zur Erzeugung von VPN-Regeln herangezogen
Aktion: übertragen
Routing-Tag: 0
Quelle: alle Stationen
Ziel: Gegenstelle FILIALE
Dienste: alle DiensteDamit hat alles bestens funktioniert!
Danke!