Hallo,
ich habe eine Frage zu der Erzeugung der VPN-Regeln (vgl. show vpn im telnet). Könnte "jemand" vielleicht erläutern, wie diese genau gebildet werden. Also welche Information wird
a) aus der IP-Routing Tabelle genommen
b) aus den Firewall-Regeln (z.B. Routing weiterer Netze über VPN) genommen
c) wie werden diese dann kombiniert.
Schönen Tag,
SEBastian
VPN-Regelerzeugung
Moderator: Lancom-Systems Moderatoren
Hi Sunseb
Zentrale: 192.168.0.x
Filiale 1: 192.168.1.x
Filiale 2: 192.168.2.x
Filiale 3: 192.168.3.x
etc...
Für alle Standorte gibt es nun ein übergeordnetes Netz: 192.168.x.x. Wenn du also in den Filialen eine Route in das 192.168.x.x Netz auf die Zentrale einrichtest, dann können alle Filialen miteibnander reden, so die Zentrale korrekt konfiguriert ist.
Wenn du in der Zentrale allerdings nur die Routen in die Filialen einträgst, dann kann nur die Zentrale mit den Fililane reden, die Filialen untereinader aber nicht. Hierzu brauchst du geeigntete VPN-Regeln, die für jede Filiale zulassen, daß die aus jeder anderen Filiale angesprochen werden darf, d.h. für
Filiale 1: 192.168.x.x <-> 192.168.1.x
Filiale 2: 192.168.x.x <-> 192.168.2.x
Filiale 3: 192.168.x.x <-> 192.168.3.x
etc.
Hier erleichtert das LANCOM dir die Regelerzeugung, da es das Zielnetz noch mit der Routing-Tabelle abgleicht. Deshalb reicht es aus, eine "jeder darf mit jedem" Regel zu erstellen:
192.168.x.x <-> 192.168.x.x
Das LANCOM selbst erzeugt daraus die notwendigendigen Einzelregeln. Das kannst du jederzeit über ein show vpn nachprüfen
Gruß
Backslash
Die Routing-Tabelle erstellt die Verbindung zwischen Zielnetz und VPN-Gegenstellea) aus der IP-Routing Tabelle genommen
aus der Firewallregel werden Quelle und Ziel geholt, dabei wird das Ziel noch mit der Routing-Tabelle abgeglichen. Desweiteren hast du hier die Möglichkeit, die IPSec-Regeln auf bestimmte Dienste einzuschränken. (sinnvoller ist es allerdings, die Beschränkung der Firewall zu überlassen)b) aus den Firewall-Regeln (z.B. Routing weiterer Netze über VPN) genommen
angenommen du hast eine Zentrale und mehrere Filialen, die alle miteinader (über die Zentrale) reden können sollen. Dann sorgst du zunächt einmal dafür, daß es ein übergreifendes Netz gibt, in dem alle liegen (das macht die Regeln deutlich übersichtlicher), z.B.c) wie werden diese dann kombiniert.
Zentrale: 192.168.0.x
Filiale 1: 192.168.1.x
Filiale 2: 192.168.2.x
Filiale 3: 192.168.3.x
etc...
Für alle Standorte gibt es nun ein übergeordnetes Netz: 192.168.x.x. Wenn du also in den Filialen eine Route in das 192.168.x.x Netz auf die Zentrale einrichtest, dann können alle Filialen miteibnander reden, so die Zentrale korrekt konfiguriert ist.
Wenn du in der Zentrale allerdings nur die Routen in die Filialen einträgst, dann kann nur die Zentrale mit den Fililane reden, die Filialen untereinader aber nicht. Hierzu brauchst du geeigntete VPN-Regeln, die für jede Filiale zulassen, daß die aus jeder anderen Filiale angesprochen werden darf, d.h. für
Filiale 1: 192.168.x.x <-> 192.168.1.x
Filiale 2: 192.168.x.x <-> 192.168.2.x
Filiale 3: 192.168.x.x <-> 192.168.3.x
etc.
Hier erleichtert das LANCOM dir die Regelerzeugung, da es das Zielnetz noch mit der Routing-Tabelle abgleicht. Deshalb reicht es aus, eine "jeder darf mit jedem" Regel zu erstellen:
192.168.x.x <-> 192.168.x.x
Das LANCOM selbst erzeugt daraus die notwendigendigen Einzelregeln. Das kannst du jederzeit über ein show vpn nachprüfen
Gruß
Backslash