Hallo,
ich komm nun gleich wieder mit etwas vertracktem...
Folgende Lage:
Büro Lancom 1721 VPN mit ADSL
Entfernte Stelle ist eine Hochschule:
Hochschulnetz mit DHCP
Dort stehend:
Unser Subnetz alleinstehend mit fest vergebenen Adressen (weil Industrieanlage)
Wenn ich mich mit dem Notebook ans dortige Netz klemme und mir per DHCP eine IP-Adrese zuweisen lasse kann ich ins Internet. Ok. Klar. Normale Sache.
Fragestellung 1:
Nun möchte ich unser Subnetz ans Web hängen. Hierzu ist ein Lancom 1711 angeschafft worden. Wie bekomme ich das nun gebacken? Der Lancom muss sich doch nun nach außen hin vom Hochschulnetz eine IP zuweisen lassen? Wie mache ich das am Besten? WAN-Anschluß ans Hoschschulnetz vermute ich mal? Ich bin natürlich parallel am probieren und lesen.
Ich muss ganz ehrlich sagen, dass ich da gerade null Plan habe. Einen normalen DSL-Anschluß kann ich ja per Assistenten einrichten. Aber hier ist Ende.
1711 hinter unbekanntem Router mit DHCP
Moderator: Lancom-Systems Moderatoren
-
Angels-Requiem
- Beiträge: 9
- Registriert: 30 Nov 2007, 11:15
Hi,
Bei den IP-Parametern sagst Du "automatisch beziehen", wodurch DHCP auf dem WAN aktiviert wird.
Nun noch das Ethernet vom Hochschulnetz in die WAN-Buchse des 1711 und fertig...
Gruß
TC
Das kannst Du in diesem Szenario auch. Verwende den Internet-Assistenten und wähle den Punkt "Internet-Zugang über Plain Ethernet".Einen normalen DSL-Anschluß kann ich ja per Assistenten einrichten.
Bei den IP-Parametern sagst Du "automatisch beziehen", wodurch DHCP auf dem WAN aktiviert wird.
Nun noch das Ethernet vom Hochschulnetz in die WAN-Buchse des 1711 und fertig...
Gruß
TC
-
Angels-Requiem
- Beiträge: 9
- Registriert: 30 Nov 2007, 11:15
Danke das wars. Nun kämpfe ich mit dem Routing.
192.168.3.100 steht in der Hochscule. Kopplung per VPN over Internet mit 192.168.0.100 in der Firma. Von der Firma aus gehts per ISDN LAN-LAN zu 192.168.2.100 der irgendwo in der Weltgeschichte steht.
3.100 hat eine dynamische IP im Hochschul-LAN und initiiert. 0.100 hat eine feste IP und nimmt an.
Sobald ich im 3.100 ne Route zum Subnet 2.0 definiere (Gegenstelle 0.100) und das dann anpinge, bekomme ich beim 3.100 "Kein überinstimmendes Proposal gefunden (Initiator, IPSec)" und beim 0.100
"Keine Regel für ID's gefunden - unbekannte Verbindung oder fehlerhafte ID (Responder, IPSec)"
Wieso IPSec? Die Verbindung steht doch??? Ohne die Route zum 2.100 habe ich diese Meldungen nicht.
192.168.3.100 steht in der Hochscule. Kopplung per VPN over Internet mit 192.168.0.100 in der Firma. Von der Firma aus gehts per ISDN LAN-LAN zu 192.168.2.100 der irgendwo in der Weltgeschichte steht.
3.100 hat eine dynamische IP im Hochschul-LAN und initiiert. 0.100 hat eine feste IP und nimmt an.
Sobald ich im 3.100 ne Route zum Subnet 2.0 definiere (Gegenstelle 0.100) und das dann anpinge, bekomme ich beim 3.100 "Kein überinstimmendes Proposal gefunden (Initiator, IPSec)" und beim 0.100
"Keine Regel für ID's gefunden - unbekannte Verbindung oder fehlerhafte ID (Responder, IPSec)"
Wieso IPSec? Die Verbindung steht doch??? Ohne die Route zum 2.100 habe ich diese Meldungen nicht.
Angels-Requiem
a) Main-Mode mit Zertifikaten ODER
b) Aggressive-Mode ODER
c) Main-Mode mit preshared Key *UND* Dyn-DNS-Namen ODER
d) Main-Mode mit preshared Key *UND* dynamic VPN (Adreßübermittlung über UDP)
verwenden...
In allen Fällen (bis auf den Dyn-DNS-Fall) kann die Verbindung nur von dem mit der dynamischen Adresse aus aufgebaut werden.
Gruß
Backslash
wenn du mit dynamischen IP-Adressen arbeitest, dann mußst du im VPN entweder3.100 hat eine dynamische IP im Hochschul-LAN und initiiert. 0.100 hat eine feste IP und nimmt an.
a) Main-Mode mit Zertifikaten ODER
b) Aggressive-Mode ODER
c) Main-Mode mit preshared Key *UND* Dyn-DNS-Namen ODER
d) Main-Mode mit preshared Key *UND* dynamic VPN (Adreßübermittlung über UDP)
verwenden...
In allen Fällen (bis auf den Dyn-DNS-Fall) kann die Verbindung nur von dem mit der dynamischen Adresse aus aufgebaut werden.
Gruß
Backslash
-
Angels-Requiem
- Beiträge: 9
- Registriert: 30 Nov 2007, 11:15
Danke Backslash. Es lief kurz vor deinem Post alles. Ich schreibs mal für die Suche:
3.100 initiiert. 0.100 nimmt an.
Main-Mode mit PSK. Dynamisches VPN mit Adresse per UDP. Soweit war ja alles bei meinem letzten Post schon laufend.
Meine Meldungen kamen daher, dass ich versucht habe vom 3.100 auf die Router zuzugreifen, die per LAN-LAN hinter dem 0.100 hängen. Dieser kannte aber keine Regel um mit diesen Anfragen umzugehen.
Nach einigem Suchen hab ich dann den Artikel in der Knowledge-Base gefunden, wie man andere IP-Netze hinter einem VPN-Router erreicht. Da die Routen zu 2.100 und 1.100 (Die beiden 800er hinter der ISDN-Leitung) im 0.100 schon eingerichtet waren, musste ich den beiden Routern nur noch von der Firewall des 0.100 her erlauben mit 3.100 zu kommunizieren.
Firewallregel: Alles durchlassen, von IP-Netz 2.X und 1.X zu Router 3.100.
Damit war mein Problem behoben.
Andere Frage: Irgendjemand eine Idee wie ich mein 3er Netz für die Hochschul-Rechner zumachen kann ohne die Internetverbindung und die VPN Verbindung zu behindern? Wenn ich die Incomings vom Hochschulrouter blocke, dann blocke ich mir damit ja auch die Internet-Verbindung.
3.100 initiiert. 0.100 nimmt an.
Main-Mode mit PSK. Dynamisches VPN mit Adresse per UDP. Soweit war ja alles bei meinem letzten Post schon laufend.
Meine Meldungen kamen daher, dass ich versucht habe vom 3.100 auf die Router zuzugreifen, die per LAN-LAN hinter dem 0.100 hängen. Dieser kannte aber keine Regel um mit diesen Anfragen umzugehen.
Nach einigem Suchen hab ich dann den Artikel in der Knowledge-Base gefunden, wie man andere IP-Netze hinter einem VPN-Router erreicht. Da die Routen zu 2.100 und 1.100 (Die beiden 800er hinter der ISDN-Leitung) im 0.100 schon eingerichtet waren, musste ich den beiden Routern nur noch von der Firewall des 0.100 her erlauben mit 3.100 zu kommunizieren.
Firewallregel: Alles durchlassen, von IP-Netz 2.X und 1.X zu Router 3.100.
Damit war mein Problem behoben.
Andere Frage: Irgendjemand eine Idee wie ich mein 3er Netz für die Hochschul-Rechner zumachen kann ohne die Internetverbindung und die VPN Verbindung zu behindern? Wenn ich die Incomings vom Hochschulrouter blocke, dann blocke ich mir damit ja auch die Internet-Verbindung.
Hi,
Wenn Du von innen heraus eine Session aufmachst, sind die Antwortpakete automatisch auch erlaubt.
Gruß
TC
Die Firewall des LANCOMs arbeitet stateful, d.h. sie kennt die Verbindungszustände. Wenn Du also eine entsprechende Firewall-Regel anlegtst, die die Kommunikation vom Hochschulnetz ind Dein Netz verbietest, gilt dies nur für Verbindungen, die von "aussen kommend" aufgebaut werden.Andere Frage: Irgendjemand eine Idee wie ich mein 3er Netz für die Hochschul-Rechner zumachen kann ohne die Internetverbindung und die VPN Verbindung zu behindern? Wenn ich die Incomings vom Hochschulrouter blocke, dann blocke ich mir damit ja auch die Internet-Verbindung.
Wenn Du von innen heraus eine Session aufmachst, sind die Antwortpakete automatisch auch erlaubt.
Gruß
TC