Lancom 1711, 3 verschiedene WAN-Zugänge, 2x DSL 1x LNET

[japper_nrw]

Hallo zusammen,

ich habe hier eine Problemstellung, welches vielleicht keine großes Problem für euch ist..

Unser LANCOM 1711 VPN (Software-Stand: 8.62.0103RU7) hat ZUR ZEIT folgende Konfiguration:
ETH1 = DSL1 = "INTERNET" -> T-DSL Business mit 1x feste öffentliche IP (A.A.A.1)
ETH2 = DSL2 = "INTERNET2" -> T-DSL Business mit 1x feste öffentliche IP (B.B.B.1)

Die jetztige Konfiguration wird genutzt um einen Mail-Server zu betreiben (über "INTERNET"), hier wurde ein entsprechendes Port-Forwarding eingestellt und funktioniert.
Über "INTERNET2" ist eine dauerhafte VPN-Verbindung zu einer Filiale eingerichtet (Filiale nutzt ebenfalls einen 1711) und funktioniert ebenfalls.

Da diese T-DSLer asymmetische sind, haben wir zum testen eine Lösung über Funk als Teststellung erhalten. (10Mbit symmetrisch).
Der Betreiber lieferte einen Router als Netzabschluss seinerseits (MikroTik RouterBoard RB750G), den ich NICHT selbst konfigurieren darf/kann.
Dort habe ich 4 eigene feste öffentliche IPs zur Verfügung. (Gateway-Adresse: C.C.C.97 , Ip-Range zur Verfügung: C.C.C.98-102, Subnet 255.255.255.248)

Habe auf ETH3 dann über den Konfig-Wizard eine neuen WAN Port eingerichtet (IPoE) gem. KB-Eintrag von LANCOM,
In der Maske entsprechend die IPs eingetragen etc.

Um die 4 festen öffentlichen IPs vom Funknetz-Anbieter zu nutzen gibt es die Möglicheit (so wie ich das verstanden habe) eine DMZ für die IP-Range einzurichten und dann per Port-Forwarding entsprechend umzusetzten oder die IPs per N:N-Mapping ohne eine DMZ einzurichten umzusetzten.

Wie gehe ich hier am besten vor ?

Wie kann ich dann unten genannte Szenarien umsetzen ?

-> den symmetrischen Anschluss als Gegenstelle für die VPN-Verbindung über eine der 4 öffentlichen IPs
-> eine andere IP aus dieser Range als VPN-Gegenstelle für unsere Aussendienstler
-> evtl. soll eine weitere IP hiervon für einen FTP-Server benutzt werden.


Vielen Dank im Voraus und Grüße aus dem Sauerland,

Jan

[backslash]

Hi japper_nrw,

gibt es die Möglicheit (so wie ich das verstanden habe) eine DMZ für die IP-Range einzurichten und dann per Port-Forwarding entsprechend umzusetzten oder die IPs per N:N-Mapping ohne eine DMZ einzurichten umzusetzten.

nicht ganz...

Du hast drei Möglichkeiten:

• Du betreibst eine DMZ mit den öffentlichen IPs, d.h. du richtest neues Netz ein und gibst dem LANCOM dort die selbe IP-Adresse und Netzmaske, wie auf der WAN-Seite, z.B. C.C.C.98/255.255.255.248 - dann hast du die Adressen C.C.C.99-102 für deine Server in der DMZ. Die Maskierungs-Option für die zugehörige Default-Route muß auf "nur Intranet maskieren" stehen
• Du betreibst eine DMZ mit privaten IPs z.B. (192.168.0.98/255.255.255.248) und richtest ein N:N-NAT für dieses Netz ein (192.168.0.96/255.255.255.247 -> C.C.C.96) - dann hast du die Adressen 192.168.0.99-102 für deine Server in diesem Netz. Die Maskierungs-Option für die zugehörige Default-Route muß auf "nur Intranet maskieren" stehen
• Du richtest Portforwardings für die öffentlichen Adressen ein. Ob die Ziele in einem eigenen Netz liegen oder sich in deinem Intranet befinden ist dabei egal. In diesem Fall kannst du für alle verfügbareren Adressen (C.C.C.98-102) Portforwardings einrichten. Die Maskierungs-Option für die zugehörige Default-Route muß auf "Intranet und DMZ maskieren" stehen

In den ersten beiden Fällen können die Server auch aktiv Verbindungen nach aussen aufbauen und tauchen dann auch mit ihrer jeweiligen öffentlichen IP-Adresse auf. Im letzten Fall werden alle abgehende Verbindungen der Server hinter der öffentlichen IP, die das Gerät auf der WAN-Seite hat (z.B. C.C.C.98) maskiert.

Gruß
Backsalsh

[japper_nrw]

Hallo und vielen Dank soweit schonmal,

ich richte natürlich für dieses neue WAN dann eine Default_Route ein, meine bisherigen WANs habe ich getaggt (INTERNET -> ROUTING-TAG 0, INTERNET2 -> ROUTING-TAG 1) und habe eine entsprechende Regel in der Firewall um z.B. "WEB-PROTOKOL" mit TAG 1 zu markeiren, damit das sufen über INTERNET2 erfolgt.

Ich würde mit dem "neuen" Internet-Zugang ähnlich vorgehen und die Default-Route für diesen dann mit "TAG 3" versehen.

Wie kann ich nun festlegen, dass der dauerhafte VPN-Tunnel mit unserer Filiale nun ausschlieslich über diese Internet-Verbindung etabliert wird ?

Reicht es, wenn ich in dem Filial-Router als Gegenstelle die "neue" feste IP von unserem "neuen" WAN angebe ?

Um diesen Gedanken dann mal weiterzuspinnen, wie richte ich dann am geschicktesten eine Backup-Möglichkeit für den VPN Tunnel ein ?`(Fall-BAck auf einen "normalen" TDSLer).

Fragen über Fragen.....


Danke und Gruß

Jan

[backslash]

Hi japper_nrw,

Wie kann ich nun festlegen, dass der dauerhafte VPN-Tunnel mit unserer Filiale nun ausschlieslich über diese Internet-Verbindung etabliert wird ?

Reicht es, wenn ich in dem Filial-Router als Gegenstelle die "neue" feste IP von unserem "neuen" WAN angebe ?

Solange die Verbindung immer von der Filiale aus aufgebaut wird: ja
Wenn die Zentrale auch aufbauen soll, dann mußt du der VPN-Verbindung das passende Routing-Tag mitgeben (hier 3) - sinnvollerweise läßt man eine VPN-Verbindung aberr immer nur von der Filiale aus aufbauen und trägt daher in der Zentrale 0.0.0.0 (oder einfach nichts) als "remotes Gateway" ein...

Um diesen Gedanken dann mal weiterzuspinnen, wie richte ich dann am geschicktesten eine Backup-Möglichkeit für den VPN Tunnel ein ?`(Fall-BAck auf einen "normalen" TDSLer).

Dafür sind die "additional Gateways" im VPN da... Einfach in der Filiale die öffentlichen IPs der anderen Leitungen als Ziel hinzufügen und unter "Anfangen mit" "erstem" auswählen...

Da hat aber zunächst den Nachteil, daß es hierbei keinen Rückfall auf die "Hauptleitung" gibt, wenn die in der Zentrale wieder verfüfbar wird. Hierzu mußt du dann in der Zentrale noch ein Script in der Aktionstabelle aufnehmen, das die VPN-Verbindung trennt, sobald die Hauptleitung online geht...

Gruß
Backslash