Hi,
wir haben in der Zentrale einen Lancom 1711 mit einer 100MBit über Plain Ethernet zum Internet und vier Außenstellen mit mit ADSL und Dyn-IP.
Nun unsere Problem, in die Firma kommt jeder aus seiner Außenstelle und zurück aber wenn eine Außenstelle zu einer Außenstelle eine Verbindung aufbauen möchte geht das nicht. Auf den Routern haben wir jeweils die Routen zu den anderen Außenstellen über den VPN-Tunnel "Firma" eingetragen und die Firewall Regeln angepasst.
Haben wir was vergessen oder liegt da ein Denkfehler :? vor und wir müssen von jeder Außenstelle ein VPN-Tunnel zur entsprechenden Außenstelle aufbauen.
Gruß
Daniel
Keine Verbindung zwischen den Außenstellen über VPN möglich
Moderator: Lancom-Systems Moderatoren
Hi bmolko
Du mußt in der Zentrale explizite VPN-Regeln für *alle* möglichen Netzbeziehungen machen, was bei n Filialen zu n*(n-1) Regeln führt...
Diese Anzahl kannst du ggf. durch Zusammenfassen der Netze verringern:
Wenn z.B. alle Beteiligten innerhalb des 192.168.x.y Netzes liegen - also Filiale 1 hat 192.168.1.x, Filiale 2 hat 192.168.2.x, Filiale 3 hat 192.168.3.x usw. und die Zentrale hat 192.168.0.x - dann reicht es aus, in den Filialen eine Route zum 192.168.x.x Netz auf die Zentrale zu legen und in der Zentrale reicht eine einzige VPN-Regel aus - die "Jeder darf mit Jedem" Regel:
Gruß
Backslash
das ist OKAuf den Routern haben wir jeweils die Routen zu den anderen Außenstellen über den VPN-Tunnel "Firma" eingetragen
hier dürfte das Problem sein.und die Firewall Regeln angepasst
Du mußt in der Zentrale explizite VPN-Regeln für *alle* möglichen Netzbeziehungen machen, was bei n Filialen zu n*(n-1) Regeln führt...
Diese Anzahl kannst du ggf. durch Zusammenfassen der Netze verringern:
Wenn z.B. alle Beteiligten innerhalb des 192.168.x.y Netzes liegen - also Filiale 1 hat 192.168.1.x, Filiale 2 hat 192.168.2.x, Filiale 3 hat 192.168.3.x usw. und die Zentrale hat 192.168.0.x - dann reicht es aus, in den Filialen eine Route zum 192.168.x.x Netz auf die Zentrale zu legen und in der Zentrale reicht eine einzige VPN-Regel aus - die "Jeder darf mit Jedem" Regel:
Code: Alles auswählen
Quelle: 192.168.0.0/255.255.0.0
Ziel: 192.168.0.0/255.255.0.0
Aktion: übertragen
Häckchen bei "Diese Regel wird zur Erzeugung von VPN-Regeln herangezogen"Aus Auslastungssicht wäre das eigentlich das Sinnvollste, weil dadurch der Traffic zwischen den Filialen nicht über die Zentrale laufen muß...und wir müssen von jeder Außenstelle ein VPN-Tunnel zur entsprechenden Außenstelle aufbauen
Gruß
Backslash
-
CyberChris
- Beiträge: 53
- Registriert: 21 Jul 2005, 22:13
- Wohnort: Bremen
Hallo,
Genau diese Konstellation habe ich auch, ich habe das oben Beschriebene auch mal versucht. Leider klappt es bei mir nicht.
LCOS überall 6.02.
LAN1 192.186.1.x <-> LAN Firma 192.168.0.x <-> LAN2 192.168.4.x
Die VPN Tunnel sind aufgebaut und funktionieren soweit zwischen den Aussenstellen und der Firma. Wenn ich aber einen Ping von LAN1 auf eine Adresse in LAN2 mache bekomme ich in dem Moment wo der Ping durchgehen sollte im
- LANMonitor des LANCOM's in der Firma für den VPN Tunnel zu LAN2 die Meldung "Kein übereinstimmendes Proposal gefunden (Initiator, IPSec) [0x3102]
- LANMonitor des LANCOM's in LAN2 für den VPN Tunnel zur Firma die Meldung "Keine Regel für ID's gefunden - unbekannte Verbindung oder fehlerhafte ID (z.b. IP-Netzwerkdefinition) (Responder, IPSec) [0x3201]"
- LANMonitor in LAN1 keine Meldung.
Die Tunnel LAN1-Firma und LAN2-Firma bleiben aber bestehen und funktionieren auch weiter. Habe die Routing Einträge und die Regeln jetzt schon mehrfach geprüft kann aber so nicht's finden. Habt's ihr da vieleicht einen Tipp wo ich noch suchen sollte ?
Viele Grüße,
Christian
Code: Alles auswählen
Quelle: 192.168.0.0/255.255.0.0
Ziel: 192.168.0.0/255.255.0.0
Aktion: übertragen
Häckchen bei "Diese Regel wird zur Erzeugung von VPN-Regeln herangezogen"LCOS überall 6.02.
LAN1 192.186.1.x <-> LAN Firma 192.168.0.x <-> LAN2 192.168.4.x
Die VPN Tunnel sind aufgebaut und funktionieren soweit zwischen den Aussenstellen und der Firma. Wenn ich aber einen Ping von LAN1 auf eine Adresse in LAN2 mache bekomme ich in dem Moment wo der Ping durchgehen sollte im
- LANMonitor des LANCOM's in der Firma für den VPN Tunnel zu LAN2 die Meldung "Kein übereinstimmendes Proposal gefunden (Initiator, IPSec) [0x3102]
- LANMonitor des LANCOM's in LAN2 für den VPN Tunnel zur Firma die Meldung "Keine Regel für ID's gefunden - unbekannte Verbindung oder fehlerhafte ID (z.b. IP-Netzwerkdefinition) (Responder, IPSec) [0x3201]"
- LANMonitor in LAN1 keine Meldung.
Die Tunnel LAN1-Firma und LAN2-Firma bleiben aber bestehen und funktionieren auch weiter. Habe die Routing Einträge und die Regeln jetzt schon mehrfach geprüft kann aber so nicht's finden. Habt's ihr da vieleicht einen Tipp wo ich noch suchen sollte ?
Viele Grüße,
Christian