Hallo,
ich habe folgendes Problem bzw. folgende Konstellation:
Router1: 2x LAN 192.168.10.0, 192.168.11.0
Router2: 2x LAN 192.168.12.0, 192.168.13.0
Kopplung VPN 192.168.10 <-> 192.168.12.0
Beide Router sind per VPN gekoppelt auf den jeweils ersten Subnetzen.
Funktioniert auch tadellos. Was ich nicht hinbekomme, ist das Erreichen der beiden anderen Netze. Das ganze soll also auch "über Kreuz" gehen.
Beispiel: Eine IP aus dem 192.168.11.0er Netz soll über die vorhandene VPN-Verbindung das 192.168.13.0er erreichen können, ebenso das 192.168.12.0er. Auf der andern Seite soll es umgekehrt gehen.
Ich habe schon sämtliche Routeneinträge getestet, ich komme immer nur bis zum Router der anderen Seite, dann gehts nicht weiter.
Leider habe ich in der LANCOM-Faq nichts brauchbares gefunden.
Vielleicht hat jemand eine Lösung ??
Gruss und dank,
Heiko
Routing Problem 1611+ / mehrere Subnetze
Moderator: Lancom-Systems Moderatoren
Hallo Heiko,
http://www2.lancom.de/kb.nsf/fe78f8220e ... enDocument
Gruß
Mario
dann musst Du zusätzliche VPN-Regeln für diese Netze in der Firewall auf beiden Seiten erstellen.Beispiel: Eine IP aus dem 192.168.11.0er Netz soll über die vorhandene VPN-Verbindung das 192.168.13.0er erreichen können, ebenso das 192.168.12.0er. Auf der andern Seite soll es umgekehrt gehen.
http://www2.lancom.de/kb.nsf/fe78f8220e ... enDocument
Gruß
Mario
ja, dieses Support-Dokument kenne ich, aber _leider_ funktioniert es eben NICHT so wie dort beschrieben, zumindest nicht für meine Lösung/Situation. Dazu gehen die noch von dem Fakt aus, dass das zweite Netz durch ein zweites Gateway (zweiter Router für das zweite Subnet) weitergeroutet wird, auch das wollte ich so nicht tun. Demzufolge ist das dort beschriebene nur bedingt auf mein Problem anzuwenden.eddia hat geschrieben:Hallo Heiko,
dann musst Du zusätzliche VPN-Regeln für diese Netze in der Firewall auf beiden Seiten erstellen.
http://www2.lancom.de/kb.nsf/fe78f8220e ... enDocument
Gruß
Mario
Als Gateway soll in beiden Fällen die Situation so aussehen:
192.168.10.0 und 192.168.11.0 haben als Gateway den Router1 = 192.168.10.1
und
192.168.12.0 und 192.168.13.0 haben als Gateway den Router2 = 192.168.12.1
Trotz korrekt gesetzer Routen und (meiner Meinung nach) korrekt gesetzer Firewall-/VPN-Regeln bekomme ich keine Pakete von 192.168.11.x nach 192.168.13.x geroutet, umgekehrt genauso nicht. Das ist ja mein Dilemma...;(
In allen Subnetzen befindet sich jeweils ein WINDOWS 2000 Server.
Was mir nicht ganz klar ist, ob evtl. WINDOWS selbst das Problem ist. Leider habe ich ja beim LANCOM keine Möglichkeit, dem Router eine zweite Intranet-IP aus dem zweiten Subnetz zuzuweisen (oder doch?).
Wahrscheinlich muss ich doch mal den LANCOM-Support in Anspruch nehmen, da ich für mich keinen Fehler erkennen kann, ausser man muss noch zusätzlich irgendwas eintragen...
Gruss Heiko
ps: FW ist auf beiden die 6.06 und gleiche Situation mit 2 Linux-Servern als Router und VPN-Gate (FreeSWAN) funktioniert übrigends...
Hallo Heiko,
Gruß
Mario
Ach so - Du hast beide Netze direkt am Lancom anliegen. Dann musst Du aber immer noch die VPN-Regeln anlegen, aber eben keine zusätzlichen Routingeinträge. Und dann muss der Lancom natürlich noch eine Adresse aus dem zweiten Netz bekommen...192.168.10.0 und 192.168.11.0 haben als Gateway den Router1 = 192.168.10.1
und
192.168.12.0 und 192.168.13.0 haben als Gateway den Router2 = 192.168.12.1
...welche man unter DMZ-IP einträgt.Leider habe ich ja beim LANCOM keine Möglichkeit, dem Router eine zweite Intranet-IP aus dem zweiten Subnetz zuzuweisen (oder doch?).
Gruß
Mario
ja so dachte ich mir das schon, ABER:eddia hat geschrieben:Hallo Heiko,
Ach so - Du hast beide Netze direkt am Lancom anliegen. Dann musst Du aber immer noch die VPN-Regeln anlegen, aber eben keine zusätzlichen Routingeinträge. Und dann muss der Lancom natürlich noch eine Adresse aus dem zweiten Netz bekommen...
Leider habe ich ja beim LANCOM keine Möglichkeit, dem Router eine zweite Intranet-IP aus dem zweiten Subnetz zuzuweisen (oder doch?).
siehste und da wirds schwierig, da auf beiden Seiten die DMZ schon belegt ist, weil da jeweils schon extra Subnetze (die wollte ich aber nicht routen) draufliegen (fürs WLAN)......welche man unter DMZ-IP einträgt.
Gruß
Mario
ergo brauche ich quasi ne dritte IP für den Router, vermutlich so wie hier kurz vorher in dem Forum schon mal beschrieben...
Gruss Heiko
Hallo Heiko,
http://www.lancom-forum.de/ptopic,15003,.html#15003
Gruß
Mario
Du meinst dies?ergo brauche ich quasi ne dritte IP für den Router, vermutlich so wie hier kurz vorher in dem Forum schon mal beschrieben...
http://www.lancom-forum.de/ptopic,15003,.html#15003
Gruß
Mario
ja, mal sehen was die nächsten FW-Versionen so bringen. Ein flexibleres Routing würde ich mir auch wünschen.mirko hat geschrieben:nein, gibt leider keine schönere lösung.
kann nur meinen wunsch wiederholen: interface (auch virtuelle) -basierte einstellungen (ip, dhcp, etc) -> dann würde auch wan über wlan gehen *träum*
Tja, dann muss ich mal sehen wie ich das löse. Entweder ich organisiere noch zwei billige DSL-Router, die als als reine Ethernet-Router umfunktioniere und hinter die zwei LANCOMs hänge und damit die beiden zusätzlich Subnets route oder ich versuch, meine zwei WINDOWS-Server mit ner zweiten Netzwerkkarte zu bestücken und mit Routing & RAS den Server quasi als Router zu benutzen. Allerdings bevorzuge ich die "Hardware"-Lösung, dem WINDOWS traue ich immer nicht so ganz.
Jedenfalls hatte ich gedacht, dass ein Router a la 1611+ auch ein bischen komplexeres IP-Routing schafft, z.Z. scheint das allerdings nicht der Fall zu sein.
Dritte Möglichkeit ist der Einsatz "besserer" Router, spricht ich rüste auf CISCO um, die können sowas etwas besser.
Gruss Heiko
Hi dg2dra
Du hast auf beiden Seiten zwei Netze, also setzt du auf beiden Seiten eines der Netze ins Intranet und das andere in die DMZ. Dann erstellst du die Routing-Einträge und zusätzlich halt die IPSec-Regeln.
zu vorherigen Postings:
entsperechend verfährst du mit Router2
Gruß
Backslash
das ändert aber nicht daren, daß du die passenden IPSec-Regeln erstellen mußtTja, dann muss ich mal sehen wie ich das löse. Entweder ich organisiere noch zwei billige DSL-Router, die als als reine Ethernet-Router umfunktioniere und hinter die zwei LANCOMs hänge und damit die beiden zusätzlich Subnets route oder ich versuch, meine zwei WINDOWS-Server mit ner zweiten Netzwerkkarte zu bestücken und mit Routing & RAS den Server quasi als Router zu benutzen. Allerdings bevorzuge ich die "Hardware"-Lösung, dem WINDOWS traue ich immer nicht so ganz.
Du hast auf beiden Seiten zwei Netze, also setzt du auf beiden Seiten eines der Netze ins Intranet und das andere in die DMZ. Dann erstellst du die Routing-Einträge und zusätzlich halt die IPSec-Regeln.
natürlich schafft er das. Die einzige Einschränkung ist doch daß er lokale nur zwei Netze verwalten kann - und für deine Zwecke reicht das aus.Jedenfalls hatte ich gedacht, dass ein Router a la 1611+ auch ein bischen komplexeres IP-Routing schafft, z.Z. scheint das allerdings nicht der Fall zu sein.
nein, denn auch beim "besseren" CISCO kommst du nicht um die IPSec-Konfiguration herum.Dritte Möglichkeit ist der Einsatz "besserer" Router, spricht ich rüste auf CISCO um, die können sowas etwas besser.
zu vorherigen Postings:
Das kann nicht gehen - auch nicht mit angeblich "besseren" Routern. Das Gateway *MUSS* immer im jeweiligten Netz liegen. Für dich bedeutet das, daß du Router1 eine als Intranet-Adresse die 192.168.10.1 und als DMZ-Adresse die 192.168.11.1 gibst. Desweiteren ist dann im Netz 192.168.10.x das Gateway die 192.168.10.1 und im Netz 192.168.11.x die 192.168.11.1Als Gateway soll in beiden Fällen die Situation so aussehen:
192.168.10.0 und 192.168.11.0 haben als Gateway den Router1 = 192.168.10.1
und
192.168.12.0 und 192.168.13.0 haben als Gateway den Router2 = 192.168.12.1
entsperechend verfährst du mit Router2
Gruß
Backslash
stimmt nicht ganz, denn die DMZ ist mit noch jeweils einem seperatem Netz belegt, also steht die DMZ _nicht_ zur Verfügung, und das auf beiden Seiten. Die VPN-Regeln hab ich natürlich korrekt gesetzt.backslash hat geschrieben:Hi dg2dra
das ändert aber nicht daren, daß du die passenden IPSec-Regeln erstellen mußt
Du hast auf beiden Seiten zwei Netze, also setzt du auf beiden Seiten eines der Netze ins Intranet und das andere in die DMZ. Dann erstellst du die Routing-Einträge und zusätzlich halt die IPSec-Regeln.
nein reicht eben nicht, zwei Netze sind zu wenig (lokal gibts drei, es sollen aber nur zwei geroutet werden->weil DMZ schon benutzt)natürlich schafft er das. Die einzige Einschränkung ist doch daß er lokale nur zwei Netze verwalten kann - und für deine Zwecke reicht das aus.
das ist schon klar, aber ich kann mehr Subnetzenein, denn auch beim "besseren" CISCO kommst du nicht um die IPSec-Konfiguration herum.
Als Gateway soll in beiden Fällen die Situation so aussehen:
192.168.10.0 und 192.168.11.0 haben als Gateway den Router1 = 192.168.10.1
und
192.168.12.0 und 192.168.13.0 haben als Gateway den Router2 = 192.168.12.1
das ist alles richtig und auch klar. Hauptproblem ist halt, dass ich mit dem LANCOM eben derzeit nur zwei lokale Netze (1xIntranet und 1x DMZ) konfigurieren kann, und bei andern Routern kann man eben auch u.U. mehr, deswegen die Alternative eines "besseren" Routers. Egal, wie auch immer, ich habe ne Lösung geplant und gebe dann hier mal Bericht, wie ich das dann gelöst habe, evtl. intressiert es noch andere User hier im Forum.Das kann nicht gehen - auch nicht mit angeblich "besseren" Routern. Das Gateway *MUSS* immer im jeweiligten Netz liegen. Für dich bedeutet das, daß du Router1 eine als Intranet-Adresse die 192.168.10.1 und als DMZ-Adresse die 192.168.11.1 gibst. Desweiteren ist dann im Netz 192.168.10.x das Gateway die 192.168.10.1 und im Netz 192.168.11.x die 192.168.11.1
entsperechend verfährst du mit Router2
Gruß
Backslash
Gruss Heiko
Sofern Du eine Loesung mit LANCOMs meinst, gerne.Egal, wie auch immer, ich habe ne Lösung geplant und gebe dann hier mal Bericht, wie ich das dann gelöst habe, evtl. intressiert es noch andere User hier im Forum.
Ciao
LoUiS
Dr.House hat geschrieben:Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.