Hallo
ich habe ein Problem mit den Routen Internes Netz.
VPN Verbindungen stehen.
Folgende Lancom Hardware im Einsatz
Standort A mit einem 8011 IP Adresse 172.16.250.251 (Netz und VPN nach Standort B
Standort B mit eienm 8011 IP Adresse 172.17.250.248 (Netz 172.17.0.0)
vom Standort B sind mehrere VPN Verbindungen in Standorte C mit den IP's 10.... 255.0.0.0
Jetzt zu dem Problem: Da in den Standorten C ein alle Netzwerkgeräte die 10.... haben sind Sie auch erreichbar. 1 Problem ergibt sich bei einer Maschine die ein Backbone hat, mit der IP 172.16.0.0
Hier geht die Route eben nicht auf den Router sondern bleibt im Backbone.
Ich müsste jetzt also die IP aus dem Standort A verstecken (Maskieren) um vom Standort A in die Netze vom Standort C zu kommen.
geht dass und wie geht das?
Danke Jochen Münker
Routen und Maskieren
Moderator: Lancom-Systems Moderatoren
Routen und Maskieren
Gruss Jochen Münker
Hi jomue
wieso mußt du hier maskieren? Du mußt doch nur passende Routen und VPN-Regeln setzen:
Im Standort A mußt du nur eine Route auf das 10.x.x.x Netz setzen und im Standort B mußt du eine VPN-Regel erstellen, die die Kommunikation zwischen Standort A und C erlaubt:
[x] Diese Regel wird zur Erzeugung von VPN-Regeln herangezogen
Aktion: übertragen
Quelle: Netz des Standort A
Ziel: 10.0.0.0/255.0.0.0
Gruß
Backslash
wieso mußt du hier maskieren? Du mußt doch nur passende Routen und VPN-Regeln setzen:
Im Standort A mußt du nur eine Route auf das 10.x.x.x Netz setzen und im Standort B mußt du eine VPN-Regel erstellen, die die Kommunikation zwischen Standort A und C erlaubt:
[x] Diese Regel wird zur Erzeugung von VPN-Regeln herangezogen
Aktion: übertragen
Quelle: Netz des Standort A
Ziel: 10.0.0.0/255.0.0.0
Gruß
Backslash
Nochmal
Hallo an alle!
vielen Dank im Vorraus!
Habe jetzt mal ein Bild gebastelt.
Ziel muss es sein, dass Netzwerk C und D und.... nicht erkennt, dass die Anfrage aus dem 172.16...-er Netz kommt.
Die Problematik liegt da, dass wir eine Maschine in Netzwerk C und D... haben (in den 10....er Netzen), die nur aus dem Netzwerk 172.16...er Netz nicht erreicht werden kann.
Die Maschine ist immer erreichbar von allen anderen Netzen (z.B. 172.18...).
Hoffe dass ist so ersichtlich, wie ich das meine.
Vielen Dank
Gruss Jochen
vielen Dank im Vorraus!
Habe jetzt mal ein Bild gebastelt.
Ziel muss es sein, dass Netzwerk C und D und.... nicht erkennt, dass die Anfrage aus dem 172.16...-er Netz kommt.
Die Problematik liegt da, dass wir eine Maschine in Netzwerk C und D... haben (in den 10....er Netzen), die nur aus dem Netzwerk 172.16...er Netz nicht erreicht werden kann.
Die Maschine ist immer erreichbar von allen anderen Netzen (z.B. 172.18...).
Hoffe dass ist so ersichtlich, wie ich das meine.
Vielen Dank
Gruss Jochen
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Gruss Jochen Münker
Hi jomue
du kannst zwischen A und B ein "Extranet-VPN" einrichten, das du an die Route zum 10er Netz bindest. Dazu richetst du im Router B in der VPN-Verbindungsliste eine neue Verbindung ein und gibst ihr eine Extranet-Adresse, die du aus dem Netz des Routers B (172.17.30.x) wählst. Diese neue VPN-Gegenstelle bindest du an die Route zum 10er Netz
Im Router B richtest du auch eine weitere VPN-Verbindung zwischen A und B ein, die du eine Host-Route für die Extranet-Adresse des Netzes A bindest. Zusätzlich brauchst du in der Firewall noch eine VPN-Regel, die den Zugriff zwischen dem 10er-Netz und der neuen Gegenstelle erlaubt:
Als letztes schaltest du in Router B noch Proxy-ARP ein.
In dieser Konstellation wird das komplette Netz A bei Zugriff auf das 10er Netz hinter der Extranet-Adresse (aus Netz B) maskiert. Der Zugriff zwischen Nen Netzen A und B ist weiterhin transparent möglich
Gruß
Backslash
du kannst zwischen A und B ein "Extranet-VPN" einrichten, das du an die Route zum 10er Netz bindest. Dazu richetst du im Router B in der VPN-Verbindungsliste eine neue Verbindung ein und gibst ihr eine Extranet-Adresse, die du aus dem Netz des Routers B (172.17.30.x) wählst. Diese neue VPN-Gegenstelle bindest du an die Route zum 10er Netz
Im Router B richtest du auch eine weitere VPN-Verbindung zwischen A und B ein, die du eine Host-Route für die Extranet-Adresse des Netzes A bindest. Zusätzlich brauchst du in der Firewall noch eine VPN-Regel, die den Zugriff zwischen dem 10er-Netz und der neuen Gegenstelle erlaubt:
Code: Alles auswählen
[x] Diese Regel wird zur Erzeugung
von VPN-Regeln herangezogen
Aktion: übertragen
Quelle: 10.0.0.0/255.0.0.0
Ziel: neue VPN-Gegenstelle
Dienste: alle DiensteAls letztes schaltest du in Router B noch Proxy-ARP ein.
In dieser Konstellation wird das komplette Netz A bei Zugriff auf das 10er Netz hinter der Extranet-Adresse (aus Netz B) maskiert. Der Zugriff zwischen Nen Netzen A und B ist weiterhin transparent möglich
Gruß
Backslash
Danke für die Antwort,
nur, damit ich dich richtig verstehe. Ich kann den bestehenden VPN Verbindungslisteneintrag zu Netz "C" um die Extranet Adresse erweitern, oder verändern. Die selbe Extranet Adresse kann ich auch dem Verbindungslisteneintrag "D" 10.9..... geben?
wie im Bild dargestellt.
Muss ich jetzt noch eine Zusätzliche VPN zwischen A und B herstllen, obwohl es schon eine Verbindungzwischen A und B gibt?
und das mit der Hostroute, bitte ich dich mir nochmal zu erklären oder vlt. darzustellen.
"""""""""""""""""""""""""die du eine Host-Route für die Extranet-Adresse des Netzes A bindest""""""""""""""""""""""""
Ich bin da gewaltig in deiner Schuld wenns funzt, und entschuldige mich für meine "Unwissenhaeit", bin dir aber sehr dankbar.
gruss Jochen
nur, damit ich dich richtig verstehe. Ich kann den bestehenden VPN Verbindungslisteneintrag zu Netz "C" um die Extranet Adresse erweitern, oder verändern. Die selbe Extranet Adresse kann ich auch dem Verbindungslisteneintrag "D" 10.9..... geben?
wie im Bild dargestellt.
Muss ich jetzt noch eine Zusätzliche VPN zwischen A und B herstllen, obwohl es schon eine Verbindungzwischen A und B gibt?
und das mit der Hostroute, bitte ich dich mir nochmal zu erklären oder vlt. darzustellen.
"""""""""""""""""""""""""die du eine Host-Route für die Extranet-Adresse des Netzes A bindest""""""""""""""""""""""""
Ich bin da gewaltig in deiner Schuld wenns funzt, und entschuldige mich für meine "Unwissenhaeit", bin dir aber sehr dankbar.
gruss Jochen
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Gruss Jochen Münker
Hi jomue
Du erstellst für den Zufriff von A auf das 10.x.x.x Netz eine *neue* *zusätzliche* VPN-Verbindung zwischen A und B, die du auf Seite A als Extranet-VPN konfigurierst. Die Extranet-Adresse kommt dabei aus Netz B, so daß das Netz A bei Zugriff auf das 10.x.x.x-Netz inter einer Adresse aus Netz B maskiert wird.
Ansonsten ist nur wichtig, daß in Netz B die IPSec-Regeln stimmen und Proxy-ARP aktiviert wurde.
Zwischen B und C oder B und D brauchst *nichts* zu ändern
Gruß
Backslash
nein...nur, damit ich dich richtig verstehe. Ich kann den bestehenden VPN Verbindungslisteneintrag zu Netz "C" um die Extranet Adresse erweitern, oder verändern.
Du erstellst für den Zufriff von A auf das 10.x.x.x Netz eine *neue* *zusätzliche* VPN-Verbindung zwischen A und B, die du auf Seite A als Extranet-VPN konfigurierst. Die Extranet-Adresse kommt dabei aus Netz B, so daß das Netz A bei Zugriff auf das 10.x.x.x-Netz inter einer Adresse aus Netz B maskiert wird.
Ansonsten ist nur wichtig, daß in Netz B die IPSec-Regeln stimmen und Proxy-ARP aktiviert wurde.
Zwischen B und C oder B und D brauchst *nichts* zu ändern
diese Frage erübrigt sich damitDie selbe Extranet Adresse kann ich auch dem Verbindungslisteneintrag "D" 10.9..... geben?
Gruß
Backslash
VLAN und VPN Problem
Hallo,
Ich hab ein kleines Problemchen:
Hab ein Netzwerk mit 4 VLANS
(!92.168.0.0
192.168.100.0 - 192.168.103.0)
Dazu eine VPN Verbindung zu einer anderen Firma (10.10.0.0)
Jetzt folgendes Problemchen: Bisher gabs nur das erste Netz (192.168.0.0), über welches auch VPN einwandfrei lief.
Jetzt bräuchte ich allerdings Zugriff von allen Netzen auf die VPN Gegenstelle nach Möglichkeit sollten die jedoch alle mit 192.168.0.xxx maskiert werden.
Geht das überhaupt?
Meine bisherige Idee war ja, Maskierung in der Routingtabelle beim entsprechenden Eintrag anzustellen, allerdings weiß ich nicht genau mit welcher IP der Router maskiert und wie ich das evtl. ändern kann.
N:N Mapping hat auch nicht wirklich funktioniert, wobei mir da evtl. noch das Verständnis fehlt.
EDIT: Sorry, das sollte eigentlich in einen neuen Thread...
Ich hab ein kleines Problemchen:
Hab ein Netzwerk mit 4 VLANS
(!92.168.0.0
192.168.100.0 - 192.168.103.0)
Dazu eine VPN Verbindung zu einer anderen Firma (10.10.0.0)
Jetzt folgendes Problemchen: Bisher gabs nur das erste Netz (192.168.0.0), über welches auch VPN einwandfrei lief.
Jetzt bräuchte ich allerdings Zugriff von allen Netzen auf die VPN Gegenstelle nach Möglichkeit sollten die jedoch alle mit 192.168.0.xxx maskiert werden.
Geht das überhaupt?
Meine bisherige Idee war ja, Maskierung in der Routingtabelle beim entsprechenden Eintrag anzustellen, allerdings weiß ich nicht genau mit welcher IP der Router maskiert und wie ich das evtl. ändern kann.
N:N Mapping hat auch nicht wirklich funktioniert, wobei mir da evtl. noch das Verständnis fehlt.
EDIT: Sorry, das sollte eigentlich in einen neuen Thread...
Hi hoeschler
Gruß
Backslash
alle 4 Netze hinter einem Netz verstecken? nein das geht nicht. Das wäre ein N: M-NAT... Das LANCOM unterstütz jedoch nur N:N-NAT.Jetzt bräuchte ich allerdings Zugriff von allen Netzen auf die VPN Gegenstelle nach Möglichkeit sollten die jedoch alle mit 192.168.0.xxx maskiert werden.
Du kannst auf der VPN-Verbindung eine Extranet-Adresse angeben, hinter der wird dann *alles* maskiert, d.h. ein Zugriff aus der anderen Firma ist damit nicht mehr möglich (höchstens über ein Portforwarding). Die Extranet-Adresse gibst du direkt in der VPN-Verbindungsliste für die jeweilige VPN-Verbindung vorMeine bisherige Idee war ja, Maskierung in der Routingtabelle beim entsprechenden Eintrag anzustellen, allerdings weiß ich nicht genau mit welcher IP der Router maskiert und wie ich das evtl. ändern kann.
N:N-Mapping ginge, wenn du nur einzelne Rechner aus den anderen Netzen in das 192.168.0.x-Netz mappen willst. Nur mußt du dann aufpassen, daß diese Adressen eindeutig sind.N:N Mapping hat auch nicht wirklich funktioniert, wobei mir da evtl. noch das Verständnis fehlt.
Gruß
Backslash
Hallo backlash,
Gäbe es auch eine Möglichkeit, alle Netze bis auf das 192.168.0.0er zu maskieren?
Meine Überlegung war da a la:
VPN Extranet Adresse auf irgendeine IP geben, die auf der anderen Seite freigeschaltet wird (wegen mir halt 192.168.1.1 z.B.)
Dann dem 0.0er Netz einen Schnittstellen Tag zuweisen und in der Routing-Tabelle über diese Schnittstelle unmaskiert an die VPN Gegenstelle weiterleiten.
Zusätzlich ein separater Schnittstellentag auf die anderen VLANs und dort mit entsprechendem Eintrag in der Routingtabelle maskiert routen?
Geht das überhaupt?
Gäbe es auch eine Möglichkeit, alle Netze bis auf das 192.168.0.0er zu maskieren?
Meine Überlegung war da a la:
VPN Extranet Adresse auf irgendeine IP geben, die auf der anderen Seite freigeschaltet wird (wegen mir halt 192.168.1.1 z.B.)
Dann dem 0.0er Netz einen Schnittstellen Tag zuweisen und in der Routing-Tabelle über diese Schnittstelle unmaskiert an die VPN Gegenstelle weiterleiten.
Zusätzlich ein separater Schnittstellentag auf die anderen VLANs und dort mit entsprechendem Eintrag in der Routingtabelle maskiert routen?
Geht das überhaupt?
Hi backlash,
Danke für die Antwort.
Im Prinzip müsste ich also für die gesamte Verbindung das Maskieren abschalten und bei Verbindungen aus den Clientnetzen (also den .100.0 bis .103.0) ein N:N Mapping je Adresse auf eine andere Adresse im .0.0er Netz setzen?
Oder eben noch einen Router davor oder dahinter setzen, der sich rein um die Clientnetze kümmert?
EDIT: Eh ichs vergesse: Aus verschiedenen Gründen scheidet aus, alle Clientnetze direkt an die Gegenstelle durchzurouten und auch Port-Forwarding stößt bei einigen Diensten (Videokonferenz z.B.) an seine Grenzen und ist daher als Lösung nicht geeignet
Danke für die Antwort.
Im Prinzip müsste ich also für die gesamte Verbindung das Maskieren abschalten und bei Verbindungen aus den Clientnetzen (also den .100.0 bis .103.0) ein N:N Mapping je Adresse auf eine andere Adresse im .0.0er Netz setzen?
Oder eben noch einen Router davor oder dahinter setzen, der sich rein um die Clientnetze kümmert?
EDIT: Eh ichs vergesse: Aus verschiedenen Gründen scheidet aus, alle Clientnetze direkt an die Gegenstelle durchzurouten und auch Port-Forwarding stößt bei einigen Diensten (Videokonferenz z.B.) an seine Grenzen und ist daher als Lösung nicht geeignet
Hallo,
Also ich hab das heute mal ausprobiert mit dem N:N Mapping einzelner Adressen. Leider habe ich keinen Einblick in die FW Logs der Gegenstelle, was die Sache verkompliziert, aber irgendwie meint mein Gegenüber, dass jede einzelne Adresse versucht, einen eigenen Tunnel aufzubauen...was nicht beabsichtigt ist.
An dieser Stelle wollte ich einmal nachfragen, wie die 7111 das interne Routing zwischen den VLANs realisiert. Gibt es eine Möglichkeit, dieses in irgendeiner Form zu manipulieren?
Also ich hab das heute mal ausprobiert mit dem N:N Mapping einzelner Adressen. Leider habe ich keinen Einblick in die FW Logs der Gegenstelle, was die Sache verkompliziert, aber irgendwie meint mein Gegenüber, dass jede einzelne Adresse versucht, einen eigenen Tunnel aufzubauen...was nicht beabsichtigt ist.
An dieser Stelle wollte ich einmal nachfragen, wie die 7111 das interne Routing zwischen den VLANs realisiert. Gibt es eine Möglichkeit, dieses in irgendeiner Form zu manipulieren?
Hallo,
Ich beschäftige mich noch immer mit dem Problem und brauche dringend Rat.
Also ich hab das jetzt mit einer zweiten 7111 so weit gebaut, dass die VLANs hinter einer Lancom stecken und dieser extern eine Adresse im 0.0er Netz zugewiesen wird.
Damit habe ich im Endeffekt erreichen können, dass die VLANs maskiert werden. Lieder sind sie das dann auch immer, was zu Problemen mit den Diensten führt, die ich im 0.0er Netz hängen habe (eben weil ständig Anfragen von nur einer Absender-IP auf sie einprasseln).
Um das ganze zu realisieren, habe ich der Lancom, die die VLANs verwaltet, eine IPoE Verbindung eingerichtet, wobei ich glaube, dass sich das im Nachhinein als falscher Schritt erwiesen hat, denn jetzt werden die Verbindungen vollkommen unabhängig von irgendwelchen Einstellungen immer maskiert (mit der zugewiesenen WAN-Adresse)
Bevor ich jetzt großartig das stöpseln anfange:
Ist es möglich, die VLAN Lancom einfach ins 0.0er Netz reinzuhängen und dann per ARF die Verbindungen zur VPN zu maskieren und im 0.0er Netz unmaskiert zu belassen?
Es muss doch in diesem Konfigurationsmonster irgendwie so ein Setup möglich sein.
Übrigens: Habt ihr zufällig sowas wie Simulationssoftware im Stile des Cisco Packet Tracers? Wäre ne erfreuliche Maßnahme, zumal ARF vom Funktionsumfang her ziemlich mächtig ist und ich habe hier nicht die Kapazitäten, um mal fröhlich auszuprobieren.
Ich beschäftige mich noch immer mit dem Problem und brauche dringend Rat.
Also ich hab das jetzt mit einer zweiten 7111 so weit gebaut, dass die VLANs hinter einer Lancom stecken und dieser extern eine Adresse im 0.0er Netz zugewiesen wird.
Damit habe ich im Endeffekt erreichen können, dass die VLANs maskiert werden. Lieder sind sie das dann auch immer, was zu Problemen mit den Diensten führt, die ich im 0.0er Netz hängen habe (eben weil ständig Anfragen von nur einer Absender-IP auf sie einprasseln).
Um das ganze zu realisieren, habe ich der Lancom, die die VLANs verwaltet, eine IPoE Verbindung eingerichtet, wobei ich glaube, dass sich das im Nachhinein als falscher Schritt erwiesen hat, denn jetzt werden die Verbindungen vollkommen unabhängig von irgendwelchen Einstellungen immer maskiert (mit der zugewiesenen WAN-Adresse)
Bevor ich jetzt großartig das stöpseln anfange:
Ist es möglich, die VLAN Lancom einfach ins 0.0er Netz reinzuhängen und dann per ARF die Verbindungen zur VPN zu maskieren und im 0.0er Netz unmaskiert zu belassen?
Es muss doch in diesem Konfigurationsmonster irgendwie so ein Setup möglich sein.
Übrigens: Habt ihr zufällig sowas wie Simulationssoftware im Stile des Cisco Packet Tracers? Wäre ne erfreuliche Maßnahme, zumal ARF vom Funktionsumfang her ziemlich mächtig ist und ich habe hier nicht die Kapazitäten, um mal fröhlich auszuprobieren.