Hallo,
der Lancom kann ja automatisch die VPN-Regeln für andere per VPN angebundene Netze (falls alle diese Netze in der Routingtabelle auf eine VPN-Gegenstelle zeigen) erstellen. Pro Netz wird eine Regel per 'show vpn' angezeigt. Für weitere LANs am Lancom, welche von anderen Netzen über die VPN-Verbindung erreicht werden sollen, muss man das händisch eintragen.
Aber warum mit zwei Regeln (in und out)? Auch hier ist nur ein Eintrag per 'show vpn' zu sehen. Oder ist der Begriff 'VPN-Netzbeziehungen' hier irreführend?
Gruß
Mario
VPN-Regelerzeugung für mehrere Netze
Moderator: Lancom-Systems Moderatoren
Da eine IPSec SA bidirektional arbeitet, Sie muss einmal für eingehenden -als auch für ausgehenden Traffic bei der Netzbeziehung in der SAD/SPD definiert sein, damit der Traffic durch IPSec-Filterung erlaubt ist.
12x 1621 Anx. B-21x 1711 VPN-3x 1722 Anx. B-7x 1723 VoIP-1x 1811 DSL, 1x 7011 VPN-1 x 7111 VPN-1x 8011 VPN-10er Pack Adv. VPN Client (2x V1.3-3x 2.0)-Hotspot Option-Adv. VoIP Client/P250 Handset-Adv.VoIP Option-4x VPN-Option-2x L-54 dual-2x L54ag-2x O-18a
Hallo ittk,
Ich war nur irritiert, da man ja wohl eine VPN-Netzbeziehung kaum einseitig auslegen würde und vermutete, dass der Lancom eventuell aus einer Regel beide Beziehungen erstellen könnte.
Gruß
Mario
danke für das Stichwort. Per 'show vpn spd' sieht man das genau.Da eine IPSec SA bidirektional arbeitet, Sie muss einmal für eingehenden -als auch für ausgehenden Traffic bei der Netzbeziehung in der SAD/SPD definiert sein, damit der Traffic durch IPSec-Filterung erlaubt ist.
Ich war nur irritiert, da man ja wohl eine VPN-Netzbeziehung kaum einseitig auslegen würde und vermutete, dass der Lancom eventuell aus einer Regel beide Beziehungen erstellen könnte.
Gruß
Mario
gerne...
was mir aber im real-life betrieb (6 netzbeziehungungen, wovon aber nur zwei regulär eingerichtet wurden und die restlichen netze mit durch den tunnel erlaubt werden) aufgefallen ist, dass es da schonmal zu problemen mit der ipsec sa lifetime kommt, wenn nicht genau alle proposals mit derselben lifetime eingestellt sind. so hatte ich die nebeneffekte, dass ich teilweise nur die direkt gekoppelten netze erreichen konnte, währendessen die zusätzlichen nicht mehr anpingbar gewesen sind.
was mir aber im real-life betrieb (6 netzbeziehungungen, wovon aber nur zwei regulär eingerichtet wurden und die restlichen netze mit durch den tunnel erlaubt werden) aufgefallen ist, dass es da schonmal zu problemen mit der ipsec sa lifetime kommt, wenn nicht genau alle proposals mit derselben lifetime eingestellt sind. so hatte ich die nebeneffekte, dass ich teilweise nur die direkt gekoppelten netze erreichen konnte, währendessen die zusätzlichen nicht mehr anpingbar gewesen sind.
12x 1621 Anx. B-21x 1711 VPN-3x 1722 Anx. B-7x 1723 VoIP-1x 1811 DSL, 1x 7011 VPN-1 x 7111 VPN-1x 8011 VPN-10er Pack Adv. VPN Client (2x V1.3-3x 2.0)-Hotspot Option-Adv. VoIP Client/P250 Handset-Adv.VoIP Option-4x VPN-Option-2x L-54 dual-2x L54ag-2x O-18a
Hi eddia,
Wenn du in der Firewall eine Deny-All Regel hast, dann brauchst du sowieso beide Regeln damit wahlfreier Zugriff aus beiden Netzen auf die jeweils andere Seite überhaupt möglich ist. Und damit du dir nicht immer überlegen mußt, was denn nun aus VPN-Sicht für das LANCOM lokal und was remote ist, setzt du das Häkchen einfach an beide Regeln...
Das LANCOM filtert diese Regeln noch mit Hilfe der Routing-Tabelle, so daß nur die tatsächlich nötigen VPN-Regeln erzeugt werden
Gruß
Backslash
genaugenommen brauchst du auch nur eine Regel, nur mußt du dir dabei genau überlegen, was Quelle und was Ziel ist. Das wird besonders bei sternförmiger Vernetzung schnell unübersichtlich.Aber warum mit zwei Regeln (in und out)? Auch hier ist nur ein Eintrag per 'show vpn' zu sehen. Oder ist der Begriff 'VPN-Netzbeziehungen' hier irreführend?
Wenn du in der Firewall eine Deny-All Regel hast, dann brauchst du sowieso beide Regeln damit wahlfreier Zugriff aus beiden Netzen auf die jeweils andere Seite überhaupt möglich ist. Und damit du dir nicht immer überlegen mußt, was denn nun aus VPN-Sicht für das LANCOM lokal und was remote ist, setzt du das Häkchen einfach an beide Regeln...
Das LANCOM filtert diese Regeln noch mit Hilfe der Routing-Tabelle, so daß nur die tatsächlich nötigen VPN-Regeln erzeugt werden
Gruß
Backslash