Hallo zusammen,
ich habe hier gerade eine kleine gedankliche Sperre, vielleicht kann mir jemand helfen?
Folgendes Problem:
Zentrale mit einem 1900EF und der Adresse 192.168.0.254/24
Diverse Außenstellen via VPN angebunden. Alles kein Problem. Da alles selbst eingerichtet immer unterschiedliche IP-Bereiche bzw. anpassbar.
Jetzt kommt aber ein Spezialfall welcher mit einem 1790VA-4G+ via LTE angebunden ist dazu. Problem dabei ist, dass ein PC-System über diesen Weg erreicht werden muss, dessen IP-Konfiguration nicht geändert werden kann. Gleichzeitig akzeptiert dieses Gerät nur Anfragen aus bestimmten IP-Netz-Bereichen. Diese sind allerdings wieder andere als das eigene Subnetz und auch andere als die Zentrale und alle anderen Außenstellen nutzen.
Wie geht man hier am einfachsten vor? Anpassen der tatsächlichen IP-Adressen ist leider keine Option. Also wie kann ich dem PC-Zielsystem "vormachen" dass die Anfragen welche aus der Zentrale von einem PC kommen aus einem anderen - tatsächlich nicht existierendem - IP-Bereich kommen?
Beide beteiligten Lancoms kann ich natürlich konfigurieren, nicht aber die PC-Zielsystem.
Ist das Problem verständlich formuliert? Vielen Dank für Eure Hilfe!
Frage zur Maskierung von IP-Adressen oder N:N Mapping?
Moderator: Lancom-Systems Moderatoren
-
Dr.Einstein
- Beiträge: 2923
- Registriert: 12 Jan 2010, 14:10
Re: Frage zur Maskierung von IP-Adressen oder N:N Mapping?
Hey,
du liegst mit deinen Aussagen richtig.
Angenommen, du musst 192.168.100.0/24 kommen, und willst aus der Zentrale zugreifen, dann erstellt du auf dem Zentralen Lancom Router eine N:N Regel nach dem Muster
Ziel-Gegenstelle: Name der VPN Verbindung zum LTE Lancom
Original Quell IP: 192.168.0.0
Netzmaske: 255.255.255.0
Umge. Quell-IP-Adresse: 192.168.100.0
Bedenke, Subnetmaske von Original Quell- und Manipulierte Quell IP-Netz muss passend sein. Du kannst auch Einzel-IPs konvertieren mittels Angabe der Maske 255.255.255.255.
Die Rückroute im LTE Lancom zeigt dann auf 192.168.100.0/24 -> VPN Zentrale.
Gruß Dr.Einstein
du liegst mit deinen Aussagen richtig.
Angenommen, du musst 192.168.100.0/24 kommen, und willst aus der Zentrale zugreifen, dann erstellt du auf dem Zentralen Lancom Router eine N:N Regel nach dem Muster
Ziel-Gegenstelle: Name der VPN Verbindung zum LTE Lancom
Original Quell IP: 192.168.0.0
Netzmaske: 255.255.255.0
Umge. Quell-IP-Adresse: 192.168.100.0
Bedenke, Subnetmaske von Original Quell- und Manipulierte Quell IP-Netz muss passend sein. Du kannst auch Einzel-IPs konvertieren mittels Angabe der Maske 255.255.255.255.
Die Rückroute im LTE Lancom zeigt dann auf 192.168.100.0/24 -> VPN Zentrale.
Gruß Dr.Einstein
Re: Frage zur Maskierung von IP-Adressen oder N:N Mapping?
Das hat mich weitergebracht! Funktioniert, Vielen Dank.
Jetzt geht die Herausforderung allerdings noch einen Schritt weiter:
Das besagte PC-Zielsystem stammt aus einem kleinen Netzbereich innerhalb von 172.17.0.0/16, zu diesem Netzbereich gibt es eine Software Cisco-VPN Verbindung. Diese wird weiterhin benötigt für andere Systeme.
Das Besagte System hat nun ebenfalls eine Adresse aus diesem Bereich. Sobald die Cisco-VPN Verbindung aufgebaut ist, kann es über die Lancom VPN-Verbindung nicht mehr erreicht werden. Das Split-Tunneling kann (wird uns) im Cisco leider nicht angepasst.
Jetzt ist also die Frage, ob wir im nächsten Schritt über die beiden beteiligten Lancom-Router eine Adresse außerhalb des o.g. Adressbereichs simulieren können. Die Adresse des PC-Zielsystems kann jedoch weiterhin nicht angepasst werden. Doppeltes NAT?!
Jetzt geht die Herausforderung allerdings noch einen Schritt weiter:
Das besagte PC-Zielsystem stammt aus einem kleinen Netzbereich innerhalb von 172.17.0.0/16, zu diesem Netzbereich gibt es eine Software Cisco-VPN Verbindung. Diese wird weiterhin benötigt für andere Systeme.
Das Besagte System hat nun ebenfalls eine Adresse aus diesem Bereich. Sobald die Cisco-VPN Verbindung aufgebaut ist, kann es über die Lancom VPN-Verbindung nicht mehr erreicht werden. Das Split-Tunneling kann (wird uns) im Cisco leider nicht angepasst.
Jetzt ist also die Frage, ob wir im nächsten Schritt über die beiden beteiligten Lancom-Router eine Adresse außerhalb des o.g. Adressbereichs simulieren können. Die Adresse des PC-Zielsystems kann jedoch weiterhin nicht angepasst werden. Doppeltes NAT?!