VPN LAN-LAN Kopplung 2x 1721+VPN

[die_peitsche]

Hi zusammen.

Also der Hintergrund ist dieser dass wir in der Zentrale bestimmte IP Adressen nutzen welche auf den Servern die extern auf Prod. sind auch genutzt werden. Es soll ein Netz genutzt werden weil wir hier in diesem Netz de facto ohne DHCP arbeiten. und wenn die Server in ihren Flightcases wieder kommen stecke ich diese nur auf einen Switch auf und es kann dann in der Zentrale schnell weitergearbeitet werden.

@Dr. Einstein

Diese Meldung erscheint immer nach einiger Zeit. Davor zeigt LanMonitor eine erfolgreiche VPN Verbindung zum externem Gateway. Kann aber keine Devices ansprechen. Beim N:N mapping habe ich das ganze Netz gewählt und keine einzelnen Stationen.... das mit der Routing Tabelle werde ich nachsehen. Das mit dem Routing an sich muss ich noch verstehen lernen... Du meinst in der Routing Tabelle meiner beiden Router trage ich anstatt wie noch derzeit bsp. 192.168.100.0 (original Netz) 192.168.150.0 (N:N mapping Netz auf Router Außenstelle und umgekehrt? Wie kann ich per commando zeile unter Setup/IP-Router/IP-Routing-Tabelle meinen eintrag anpassen??

@ Bernie137

Wir werden niemals, vielleicht ja doch, mehr als 254 Server in Flightcases auf Prod. schicken. Deswegen gerne 1 einfaches Netz.

@ Marius

siehe @ Bernie137

Ich bin Euch dankbar das ihr Euch die Zeit nimmt und drüber nachdenkt was ich hier Fabriziere, Danke nochmal. Habe ich noch was übersehen....?

Gruß
raphael

[Bernie137]

Hi,

Also der Hintergrund ist dieser dass wir in der Zentrale bestimmte IP Adressen nutzen welche auf den Servern die extern auf Prod. sind auch genutzt werden.

Ihr schickt also die Server auf die Reise und sie kommen wieder. Endlich mal ein Argument, was man in Ansätzen nachvollziehen kann. Aber, ich denke, es ist nicht zu Ende gedacht...

Es soll ein Netz genutzt werden weil wir hier in diesem Netz de facto ohne DHCP arbeiten.

Das spielt dabei keine Rolle, ob DHCP oder nicht.

und wenn die Server in ihren Flightcases wieder kommen stecke ich diese nur auf einen Switch auf und es kann dann in der Zentrale schnell weitergearbeitet werden.

Das ist in dem Szenario aber nur die halbe Wahrheit!

Ein Beispiel:
Zentrale hat 192.168.10.x
Server1 192.168.10.10

Außenstelle1 hat 192.168.10.x
Server1 192.168.10.x

Jetzt kommt N:N:Mapping. Was passiert? Du führst "virtuelle" IP Netze ein, damit Du die jeweilige Gegenseite ansprechen kannst. Im Beispiel heißt dass:
Zentrale real 192.168.10.x; aus Sicht Außenstelle1 vergebt ihr 192.168.20.x
Server1 befindet sich in zentrale hat real 192.168.10.10 aus Sicht Außenstelle1 ist er aber unter 192.168.20.10 erreichbar

Außenstelle1 hat real 192.168.10.x; aus Sicht der Zentrale vergebt ihr 192.168.30.x
Server1 befindet sich in Außenstelle1 hat real 192.168.10.10 aus Sicht der Zentrale ist er unter 192.168.30.10 erreichbar

Jetzt müsst ihr Euch selber fragen, ob es genau das ist, was ihr erreichen wollt? Denn immer nur in dem LAN wo er sich gerade physikalisch befindet, ist er mit seiner realen IP 192.168.10.10 erreichbar - für alle anderen Standortorte eben NICHT! Und da muss man eventuell in der ein oder anderen Anwendungssoftware dann umstellen jedesmal...

Mich würde jetzt einfach aus Neugier noch interressieren, wieviele Standorte das bei Euch tangiert?

vg Heiko

[die_peitsche]

Hi,

also es klingt so wenn ich den der N:N mapping Tabelle z.B. 192.168.10.0 als original Eintrage soll auf 192.168.20.0 umgesetzt werden, erreiche ich meinen Server dann über bsp. 192.168.20.x ? Dann habe ich Pfosten einfach die ganze Zeit versucht von außen weiter auf die 192.168.10.x zuzugreifen anstatt auf die umgesetzte IP.... muss das später mal verifizieren

[MariusP]

Hi,
http://de.wikipedia.org/wiki/Private_IP ... ssbereiche
Ihr könntet ja 10.2.0.0 - 10.10.0.0 für Server reservieren.
Dann hättet ihr immernoch Kapazität nach oben, da ihr noch 7 Klasse B Netze übrig für die Server.
Gruß

[Bernie137]

also es klingt so wenn ich den der N:N mapping Tabelle z.B. 192.168.10.0 als original Eintrage soll auf 192.168.20.0 umgesetzt werden, erreiche ich meinen Server dann über bsp. 192.168.20.x ?

Ja so musst Du Dir das vorstellen.

Allerdings, wenn noch die VPN Fehler da sind, dann kann es ja noch nicht funktionieren.

Hi,
http://de.wikipedia.org/wiki/Private_IP ... ssbereiche
Ihr könntet ja 10.2.0.0 - 10.10.0.0 für Server reservieren.
Dann hättet ihr immernoch Kapazität nach oben, da ihr noch 7 Klasse B Netze übrig für die Server.
Gruß

Das ändert aber am Grundsachverhalt gar nix. Egal wie groß das Netz ist, entweder banales Routing zwischen den Standorten oder N:N:Mapping (mit all seinen Nachteilen). Egal welche Lösung, es geht nicht, dass man einfach den gleichen physikalischen Server im Standort A betreibt, alle aus der Zentrale und aus Standort A auf die gleiche reale IP 192.168.10.x zugreifen, wie wenn man den Server physikalisch dann in die Zentrale karrt, dann wieder alle beide Standorte auf die gleiche IP 192.168.10.x zugreifen. Irgendwo muss immer was geändert werden.

vg Heiko

[die_peitsche]

Hi,

habe nun in der Routig Tabelle die IP wie angeregt angepasst. Jedoch stelle ich fest das ich heute seit längeren beim Außenstellen LC1721 "Kein übereinstimmendes Proposal 0x3102" erhalte, und in der Zentralle "Zeitüberschreitung während IKE- oder IPSec-Verhandlung 0x1206. Hmm.... So jetzt scheint eine konstante Verbindung zu stehen, aber als wenn ich versuche auf eine IP der Zentrale zuzugreifen geht es nicht. Bsp. 192.168.1.100 physikalisch mein Server Zentrale. Wenn ich von der Außenstelle nun versuche mit 192.168.10.100 umgesetzte IP zuzugreifen erhalte ich ein "connection refused" (ssh)

Gruß
raphael

0000 Uhr habe nun eine stabile VPN Verbindung der Router untereinander, jedoch weiterhin keinen Zugriff auf Server in der Zentrale. Jeder ssh versuch auf die umgesetzte IP endet mit "connection refused". LanMonitor sagt alles Super VPN steht. Was nun.... ?

Gruß
raphael

@Heiko

"...entweder banales Routing zwischen den Standorten oder N:N:Mapping (mit all seinen Nachteilen). Egal welche Lösung, es geht nicht, dass man einfach den gleichen physikalischen Server im Standort A betreibt, alle aus der Zentrale und aus Standort A auf die gleiche reale IP 192.168.10.x zugreifen, wie wenn man den Server physikalisch dann in die Zentrale karrt, dann wieder alle beide Standorte auf die gleiche IP 192.168.10.x zugreifen. Irgendwo muss immer was geändert werden."

Verstehe ich nicht ganz, was meinst du genau? Dieses N:N mapping setzt doch meine IP um, heißt doch wenn mein Server 192.168.1.100 ist und ich ihn wegschicke, er dann mit n:n mapping über 192.168.10.100 dort erreichbar ist obwohl er dort weiterhin physikalisch die 192.168.1.100 hat.

Wenn dem so ist muss ich außer dieser Routing und N:N mapping sonst noch was konfigurieren damit ich meine Server erreichen kann?

Wie lautet das kommando wenn ich die DPD Zeit im Lancom erhöhem will. Bin gerade in meiner Zentrale und kann den Außenstellen Router nur per SSH Einwahl erreichen. Danke

Gruß
raphael

[MariusP]

Hi,
IP-Router-Trace auf beiden Geräten laufen lassen und nachschauen wo er jeweils die Pakete hinpackt.
https://www2.lancom.de/kb.nsf/1275/181C ... enDocument

Wie lautet das kommando wenn ich die DPD Zeit im Lancom erhöhem will.

Code: Alles auswählen

> set Setup/VPN/VPN-Peers/VPNVERBINDUNGSNAME {DPD} 1234567

Gruß

[Bernie137]

Verstehe ich nicht ganz, was meinst du genau? Dieses N:N mapping setzt doch meine IP um, heißt doch wenn mein Server 192.168.1.100 ist und ich ihn wegschicke, er dann mit n:n mapping über 192.168.10.100 dort erreichbar ist obwohl er dort weiterhin physikalisch die 192.168.1.100 hat.

Wenn das für Euch kein Problem ist, wozu macht ihr dann mehrere Netze mit gleicher IP, wenn ihr dann doch über eine andere IP zugreift?

Vielleicht nochmal anders ausgedrückt: Solange der Server physikalisch im LAN ist, ist er für dieses LAN unter seiner native Adresse erreichbar. Andere Standorte erreichen ihn über die umgesetzte IP. Verschwindet der Server aus diesem LAN in einen anderen Standort, so ist er für dieses LAN nur noch über eine von der native IP verschiedenen IP erreichbar. Und zusätzlich in dem entfernten Standort wo er pyhisikalisch steht, ist in desssen LAN er nicht mehr über die bisher umgesetzte IP zu erreichen sondern plötzlich über seine native IP.

Warum löst ihr das nicht einfach mit einem DNS Alias, dessen IP ihr anpasst? Wäre doch eleganter.

Wenn dem so ist muss ich außer dieser Routing und N:N mapping sonst noch was konfigurieren damit ich meine Server erreichen kann?

Gar nix.

vg Heiko