VPN LAN-LAN Kopplung 2x 1721+VPN

[die_peitsche]

Hi,

VPN Tunnel zwischen den beiden Routern über das Internet steht soweit. Sehe es in LanMonitor. Habe es über Drag&Drop in Lanconfig erledigt. Wie kann ich nun auf die Geräte in der Zentralle zugreifen? (Bsp. mit putty auf unsere Server dort?)

Danke

[hyperjojo]

hallo,

beide Netze haben unterschiedliche IP-Bereiche?
Dann normalerweise einfach über die IP-Adresse

Gruß hyperjojo

[die_peitsche]

Hi,

beide Netze gleiche IP Bereiche, deswegen habe ich laut Lancom N:N Mapping auf beiden Geräten eingetragen. Seitdem bekomme ich auf der Aussenstelle (mein Standort) 0x3102 Fehlermledung im LanMonitor und in der Zentrale 0x1206.

Und somit keine VPN LAN-LAN Kopplung mehr

[hyperjojo]

hallo,

kannst du nicht eins der Netze auf einen anderen IP-Bereich umstellen?
Das wäre die saubere Lösung...

Gruß hyperjojo

[die_peitsche]

Hi,

leider nein weil es so gewollt ist das Aussenstellen ergo Prod. Stätten den gleichen IP Raum nutzen sollen.

Gruß

[die_peitsche]

Hi, Verbindung kommt nun doch Zustande jedoch wenn keine "Aktivität" schaltet diese wieder ab... . Es wird im lanmonitor als nicht verbunden dargestellt bis ich wieder einen Doppelklick auf diese Fehlermeldungen ausführe (0x3102)(Keine Regel für ID's- unbekannt Verbin. oder fehlerhafte ID (z.B. IP-Netzwerkdefinition)(Responder, IPSec 0x3201)

Devices wenn Lanmonitor verbunden anzeigt kann ich weiterhin nicht erreichen....

Nachtrag: Der Lancom in der Außenstelle (mein Standort) hängt hinter einer Fritzbox 7360SL. Das aber schon seit Anfang dieses Posts. Somit wie oben beschrieben hat alles soweit funktioniert, wie oben beschrieben. Seit der N:N mapping Einstellung kommen diese Fehler im Lanconfig. Und ich kann seit Test beginn keine Devices in der Zentrale erreichen. Ein Dyndns eintrag ist ebenfalls eingestellt da die IP der Außenstelle keine feste IP ist. Die Fritzbox wird im Test genutzt da ich hier kein separates VDSL Modem habe wo ich den Lancom direkt daran hätte anklemmen können.

Aktuell:
24.2.2014 0730 Jetzt zeigt mir Lanmonitor seit 21 Minuten keinen Fehler mehr... Muss sonst noch was eingestellt werden damit ich meine Devices in der Zentrale ansprechen kann?

Gruß
Raphael

[MariusP]

Hi,
In deinem Bild: Möchtest du das obere Gerät mit dem unteren verbinden?

Verbindung kommt nun doch Zustande jedoch wenn keine "Aktivität" schaltet diese wieder ab

versuche mal bitte die SH-Time in den VPN-Gegenstellen hochzustellen, sofern du nur willst, dass die Verbindungen nicht abbauen, wenn mal eine Zeit keine Daten Über die Leitung gehen.

Mach bitte auf beiden Seiten einen VPN-Status-Trace "tr # vpn-s" vom Verbindungsaufbau.
Diesen kannst du ja hier posten, aber bitte verwende identifizierbare Platzhalter für die Netze/IP/Gegenstellennamen. (Sonst schaut das aus wie eine geschwärzten Akte des Geheimdienstes )

Für dich selber kannst du dir nochmal die Verbindungen mit "show vpn" auf beiden Geräten anschauen und auf Konformität überprüfen.
Gruß

[die_peitsche]

Hi,

danke werde ich heute Abend austesten. Ich sehe definitv das eine Verbindung da ist jedoch kann ich keine Devices ansprechen... muss ich für jedes Device ein N:N mapping vollziehen? Habe laut Lancom die Netzwerke x.x.x.0 auf y.y.y.0 jeweils pro Gerät gesetzt. Aber trotzdem vielen Dank für die Unterstützung! Ja es soll das obere mit dem unteren verbunden werden. Prod.Gerät mit der Zentrale, später wenn's es geht mit passenden Gerät via UMTS falls kein DSL verfügbar, aber das später...

Gruß

[Bernie137]

Hi,

ich komme gerade so ins Grübeln:

leider nein weil es so gewollt ist das Aussenstellen ergo Prod. Stätten den gleichen IP Raum nutzen sollen.

Bist Du Dir da ganz sicher? Gleicher IP Raum, heißt ja nicht unbedingt gleiches IP Netz Macht man es es sich wirklich von vorn herein schwerer, als nötig?

vg Heiko

[die_peitsche]

Hi,

ja es soll wie in dem LC beispiel aussehen:

192.168.100.0 Zentrale

192.168.100.0 Außenstelle

und dann dieses N:N mapping welches übersetzen soll. Es sei ich habe die LC Beispiele falsch gedeutet, gelesen...

[Bernie137]

ja es soll wie in dem LC beispiel aussehen:

192.168.100.0 Zentrale

192.168.100.0 Außenstelle

und dann dieses N:N mapping welches übersetzen soll.

Ich frage nur dazwischen, welchen technischen driftigen Grund gibt es, damit in beiden Standorten mit dem gleichen 192.168.100.x Netz gearbeitet wird? Und das frage ich nur, weil Du sagst

es so gewollt ist das Aussenstellen ergo Prod. Stätten den gleichen IP Raum nutzen sollen.

Das Du versuchst N:N Mapping einzurichten, habe ich schon verstanden.

[die_peitsche]

Hi,

ist es denn relevant wieso wir es so einrichten? Oder geht es nicht wenn wir es so einrichten wollen??

Gruß

[MariusP]

Hi,
da es mehr als genug IP-Adressen im privaten Nutzungsraum gibt, stellt sich halt die Frage, ob es nicht, der Übersichtskeits halber, besser wäre weniger sparsam damit umzugehen.
Gruß

[Bernie137]

Hi, das hat nichts mit Sparsamkeit, Verschwendung oder Übersichtlichkeit zu tun. Vom Grundsatz her kann man eben nur verschiedene Standorte mit versch. IP Netzen zusammenschalten. N:N Mapping ist halt eine Krücke, damit es dann doch wieder geht. Gedacht ist es, um bei Firmenmigrationen auch eine Lösung zu haben. Mit jedem Standort mehr wird es mit gleichen Adressen unverhältnismäßig komplizierter und dafür war N:N sicher nicht gedacht. Von wie vielen Standorten reden wir hier?

Aber ich will das jetzt gar nicht weiter dramatisieren. Ich war einfach neugierig, ob es einen wichtigen Grund gibt, oder ob es einer nur so festgelegt hat und so klang es eben für mich.

Vg Heiko

[Dr.Einstein]

Wenn "kein übereinstimmendes Proposal" in diesem Zusammenhang kommt, stimmen die Netzbeziehungen nicht. Wenn du das Dokument wirklich 1 zu 1 durchgearbeitet hast, funktioniert das auch wie in deinem Szenario gewollt. Ich denke, du hast die Routing Tabelle übersehen, dass hier nicht die 192.168.100.x reinmuss, sondern die fiktive Adresse aus der N:N-Tabelle.

Vielleicht nochmal eine mögliche Ursache: Zwei Werke sind via Direktverbindung über Layer 2 direkt miteinander verbunden. Durch Veränderung dieser Verbindung muss auf ein Layer 3 Tunnelprotokoll ausgewichen werden und schon hat man den Salat. Beide Standorte haben dann das gleiche Subnet, sind vielleicht sogar noch ungeordnet, sodass Subneting schwierig wird etc... So kann man wenigstens mittels N.N.Mapping eine schnelle temporäre Lösung schaffen.

Gruß Dr.Einstein