Hallo,
gegeben sind am Lancom 4 IP Netze an LAN1-4 mit den Tags 1-4 sowie 5 Default-Routen - 4 mit den Tags und eine mit 0 (welche Aus sein soll).
Wie kann ich nun machen das VPN Clients und andere über VPN angebundene Lancom Router auf das Netz mit dem Tag 1 zugreifen können?
Von Routing Tag der VPN Verbindung über WAN Tagging bis hin zu Firewall-Regeln - nichts scheint einen Effekt zu haben, VPN geht nur mit Tag 0.
Wo ist mein Denkfehler?
VPN-Zugang in getaggte Netze am Lancom
Moderator: Lancom-Systems Moderatoren
-
diemoories
- Beiträge: 145
- Registriert: 28 Okt 2010, 15:04
Hallo ugr|dual,
der LANCOM-Router ist selbst auch fleißiger Kommunikator und nutzt Tag 0, dieses muss man berücksichtigen. Daher darf Tag 0 (Routerverkehr) nicht deaktivert sein, sondern muss mit den entsprechenden Routen versehen werden, zumindest mit einer gültigen Default-Route.
Vielleicht hilft das ja schon.
Viele Grüße
Ralf
der LANCOM-Router ist selbst auch fleißiger Kommunikator und nutzt Tag 0, dieses muss man berücksichtigen. Daher darf Tag 0 (Routerverkehr) nicht deaktivert sein, sondern muss mit den entsprechenden Routen versehen werden, zumindest mit einer gültigen Default-Route.
Vielleicht hilft das ja schon.
Viele Grüße
Ralf
-
diemoories
- Beiträge: 145
- Registriert: 28 Okt 2010, 15:04
Wenn ein Netzt getaggt ist, dann nutzt es nur getaggte Routen. Die "Mitbenutzung" ist im Referenzhanbuch etwas mißverständlich ausgedrückt.
Das würde ja in der Konsequenz auch bedeuten, dass die Netze mehrere Defaultrouten nutzen könnten: Ein mit ihrem eigenen Tag und die Tag0-Route, was definitiv nicht möglcih ist. Also insofern bitte umdenken.
Was aber tatsächlich passiert ist z.B. folgendes: Wenn Du auf dem Router Nutzwerkdienste wie z.B. den interenen DNS-Router aktivierst, dann nutzt dieser das Schnittstellen-Tag 0. Daher ist es immer wichtig, für Tag 0 entsprechende Routen vorzusehen.
Soweit mir bekannt ist, kann man diese routerinteren Tag 0 Geschichten auch nicht beeinflussen.
Das würde ja in der Konsequenz auch bedeuten, dass die Netze mehrere Defaultrouten nutzen könnten: Ein mit ihrem eigenen Tag und die Tag0-Route, was definitiv nicht möglcih ist. Also insofern bitte umdenken.
Was aber tatsächlich passiert ist z.B. folgendes: Wenn Du auf dem Router Nutzwerkdienste wie z.B. den interenen DNS-Router aktivierst, dann nutzt dieser das Schnittstellen-Tag 0. Daher ist es immer wichtig, für Tag 0 entsprechende Routen vorzusehen.
Soweit mir bekannt ist, kann man diese routerinteren Tag 0 Geschichten auch nicht beeinflussen.
Hi diemoories
Wenn es für ein Ziel keine getaggte Route gibt, dann wird die am besten passende ungetaggte Route genommen...
Wenn es eine getaggte Defaultroute gibt, dann gibt es ja für jedes Ziel eine getaggte Route und somit gibt es auch keinen Rückfall auf die ungetaggte Defaultroute...
Gruß
Backslash
das ist so nicht ganz richtig...Wenn ein Netzt getaggt ist, dann nutzt es nur getaggte Routen.
Wenn es für ein Ziel keine getaggte Route gibt, dann wird die am besten passende ungetaggte Route genommen...
Wenn es eine getaggte Defaultroute gibt, dann gibt es ja für jedes Ziel eine getaggte Route und somit gibt es auch keinen Rückfall auf die ungetaggte Defaultroute...
Gruß
Backslash
Der Lancom Support sagt dazu:
Um ganze Netze an getaggte Default Routen zu binden, sind in der Firewall entsprechende Accept-Regeln mit den Tags per Netz und Gegenstelle einzurichten. Im Umkehrschluss hier Drop-Regeln, was ich auch nutze.
Soweit so gut, das funktioniert wie es soll.
Weiterhin:
Um VPN Verbindungen über eine getaggte Default Route hereinzunehmen und in ein getaggtes Netz zu geben, ist der Verbindung im VPN Bereich das identische Routing Tag zu setzen.
Das habe ich gesetzt, in meinem Fall 1. Die VPN Verbindungen gehen aber in das ungetaggte IP Netz 0.
Tagge ich das IP Netz 0 auf 1, so geht gar nichts mehr.
Es existieren noch die Default Netze Intranet und DMZ mit 0.0.0.0 und Tag 0. Was ich nicht verstehe ist, ob für den Lancom unbedingt ein IP Netz mit dem Tag 0 vorhanden und konfiguriert sein muss.
Um ganze Netze an getaggte Default Routen zu binden, sind in der Firewall entsprechende Accept-Regeln mit den Tags per Netz und Gegenstelle einzurichten. Im Umkehrschluss hier Drop-Regeln, was ich auch nutze.
Soweit so gut, das funktioniert wie es soll.
Weiterhin:
Um VPN Verbindungen über eine getaggte Default Route hereinzunehmen und in ein getaggtes Netz zu geben, ist der Verbindung im VPN Bereich das identische Routing Tag zu setzen.
Das habe ich gesetzt, in meinem Fall 1. Die VPN Verbindungen gehen aber in das ungetaggte IP Netz 0.
Tagge ich das IP Netz 0 auf 1, so geht gar nichts mehr.
Es existieren noch die Default Netze Intranet und DMZ mit 0.0.0.0 und Tag 0. Was ich nicht verstehe ist, ob für den Lancom unbedingt ein IP Netz mit dem Tag 0 vorhanden und konfiguriert sein muss.