VPN HO Netz routen lassen für andere VPNs

[MDCYP]

Hi,

hätte eine Frage bzgl. dem Setup:

- MA haben den LANCOM VPN Client laufen, hat für die Einwahl das Netz 172.16.7.1 als Adress-Pool via IKEv2 - läuft auch alles
- Das Intranet erreicht man auch über den Client und auch andere VPN Server, dessen VPN Verbindungen via NAT angebunden sind klappen

ich würde jetzt gern dieses Netz für die Remote Einwahl (Adress-Pool) , auch für eine andere VPN zu einem Juniper Gerät durch-routen lassen, so dass kein NAT gemacht werden muss.

also wenn man auf dem Server 123.123.123.123 eingelogtg ist, hat man die IP 172.16.7.54 z.B. und nicht eine NAT IP

Könnt ihr mir da einen Tipp geben? Momentan ist es so, dass "show vpn" auf der cli anzeigt bei der VPN für die ich das nutzen, dass das Netz als SA fehlt - also 172.16. taucht nicht auf:

..
Local Network: IPV4_ADDR_SUBNET(any:0, 192.168.2.0/255.255.255.0)
...

damit es richtig geroutet werden könnte, müsste es ja auftauchen dort ja? Also 172.16.7.0./255.255.255.0 oder ?

Eine Trace Ausgabe, während eines Pings von einem MA VPN aus auf die IP von dem VPN Netz lieferte dann auch:

[VPN-Packet] 2018/01/25 16:44:42,693 Devicetime: 2018/01/25 16:44:38,389
no policy found for: 172.16.7.57->212.XX.XX.66 60 ICMP ECHOREQUEST

Bin da jetzt etwas ratlos inzwischen.

Ich hatte die remote VPN für den MA mit dem Assisstenten eingerichtet - falls das als Info hilft.

[MDCYP]

Ich glaube das hilft mir weiter:

https://www.lancom-systems.de/docs/conf ... 46224.html

allerdings bin ich nicht sicher, welche Router IP ich dann für das RAS VPN IPv4 Pool nehmen soll?

[5624]

Ich würde gerne helfen, aber ich versteh nicht, was du bauen willst.

[MDCYP]

Mitarbeiter bekommen beim Home Office eine IP aus dem Netz 172.16.7.0/24

Der LANCOM ist aber im 192.168.2.0/24 Netz

Ich möchte das dieses Netz auch für andere Netze, die wir mittels VPN angebunden haben also z.b. 212.33.42.12/24 erreichbar ist und mein kein NAT brauch.

[GrandDixence]

Wenn der "IKE-CFG"-(Server-)Modus angewendet werden soll, sind die Voraussetzungen:
https://www.lancom-systems.de/docs/LCOS ... _9_11.html

zu beachten und die "VPN-Server"-Konfiguration auf dem LANCOM-Gerät gemäss:
http://www.lancom-forum.de/fragen-zum-t ... tml#p86789
zu erfolgen.

Die für den VPN-Client erforderlichen Routen werden dynamisch bei der Einwahl des VPN-Clients erzeugt und in die Routingtabelle eingetragen. Die aktuelle aktive Routingtabelle ist irgendwo unter /Status/IP-Router ersichtlich (genauer Pfad habe ich nicht im Kopf...).

[5624]

Variante 1: Bitte die Gegenstelle, das Netz zu routen.
Variante 2: Bereich aufteilen, dass ein Teil vom LANCOM und ein Teil vom anderen Gerät verwaltet wird
Variante 3: Prüfen, ob beide Geräte ein dynamisches Routingprotokoll beherrschen, den Pool so konfigurieren, dass die Clients beider Geräte eine /32er-Maske bekommen und die Routingtabelle volllaufen lassen. Wichtig ist aber, dass beide Geräte getrennte Pools für die Vergabe haben, damit es keine Doppelvergabe gibt.

Ich hab Variante 3 in Betrieb, wobei es mittlerweile kein zweites VPN-Gateway mehr gibt, aber Cisco vergibt eh automatisch /32 an die Clients und lässt die auch so in die Routingtabelle laufen.

[MDCYP]

Danke dafür schon mal.

Da ich selber Admin-Zugriff auf das Netz der Gegenseite habe (Juniper SSG140) wollte ich das Netz routen lassen. Einträge auf dem SSG habe ich schon gemacht

Mir ist jetzt nur noch nicht klar, ob ich, wenn ich ein IPv4Pool für die LANCOM VPN Client User verwenden wenn, dann noch die Firewall Regeln einstellen muss (also die Option das diese für eine SA verwendet werden soll). Und ob ich irgendwie einen Routeneintrag auf dem LANCOM noch machen muss?

[MDCYP]

Hab es hinbekommen - fehlte wirklich nur der Firewall Eintrag. Jetzt klappt es so wie es soll