Hallo Leute,
hab hier folgendes Problem: Am 7111 hängt ein Arcor-Business mit öffentlichen IPs und ein KABEL-Anschluss. Ich würde gern die VPN-Verbindungen über den KABEL-Anschluss fahren (wegen Bandbreite) und den Rest über den Arcor-Business. Leider klappt die Demaskierung der DMZ nur über Routing-Tag 0 sodass der Arcor-Business also auf Routing-Tag 0 bleiben muß und der KABEL auf Routing-Tag 1.
Ist es möglich, die VPN-Verbindungen auf Routing-Tag 1 sauber zu fahren? Angeblich laufen ja die internen VPN-Regeln alle auf Routing-Tag 0..
Vielen Dank für Eure Hilfe!!
VPN-Routing 7111
Moderator: Lancom-Systems Moderatoren
-
n.fischer@goedia.de
- Beiträge: 10
- Registriert: 05 Nov 2007, 09:57
- Wohnort: Duderstadt
Hi n.fischer@goedia.de
Setze das Interface-Tag der DMZ auf 1 und schon kannst du auch den ARCOR-Anschluß mit Tag 1 betreiben (ganz nebenbei verhinderst du dadurch, daß Verbindungen aus der DMZ in dein Intarnet aufgebaut werden, ohne daß du dafür eine Firewallregel anlegen mußt).
Auch das geht: setzte einfach das Routing-Tag der VPN-Gegenstelle auf 1 - schon wird die VPN-Verbindung über die mit 1 getaggte Route aufgebaut...
Zur Erstellung der internen Regeln wird das Tag verwendet, das an der VPN-Route hängt. Hast du die VPN-Route z.B. mit 5 getaggt, dann erstellt das LANCOM folgende VPN-Regel automatisch:
Quelle: Alle LANs mit Interface-Tag 5
Ziel: Alle Netze, die über die VPN-Route zu erreichen sind.
willst du mehr, dann mußt du zusätzliche Regeln in der Firewall erstellen.
Paßt dir diese Automatik gar nicht, dann stellst du die Regelerzeugung für die Gegenstelle auf "manuell" und trägst alles händisch in der Firewall ein.
Gruß
Backslash
Natürlich funktioniert es auch eine unmaskierte DMZ mit einem anderen Routing-Tag zu betreiben... das hängt nur davon ab, wleches Interface-Tag die DMZ hat.Leider klappt die Demaskierung der DMZ nur über Routing-Tag 0 sodass der Arcor-Business also auf Routing-Tag 0 bleiben muß und der KABEL auf Routing-Tag 1.
Setze das Interface-Tag der DMZ auf 1 und schon kannst du auch den ARCOR-Anschluß mit Tag 1 betreiben (ganz nebenbei verhinderst du dadurch, daß Verbindungen aus der DMZ in dein Intarnet aufgebaut werden, ohne daß du dafür eine Firewallregel anlegen mußt).
Ist es möglich, die VPN-Verbindungen auf Routing-Tag 1 sauber zu fahren?
Auch das geht: setzte einfach das Routing-Tag der VPN-Gegenstelle auf 1 - schon wird die VPN-Verbindung über die mit 1 getaggte Route aufgebaut...
Die VPN-Regeln und die Route über die das "remote Gateway" erreicht werden sind zweierlei Dinge und haben nichts miteinander zu tun. Die Route über die das "remote Gateway" erreicht wird, bestimmst du über das Routing-Tag an der VPN-Verbindung (s.o.)Angeblich laufen ja die internen VPN-Regeln alle auf Routing-Tag 0..
Zur Erstellung der internen Regeln wird das Tag verwendet, das an der VPN-Route hängt. Hast du die VPN-Route z.B. mit 5 getaggt, dann erstellt das LANCOM folgende VPN-Regel automatisch:
Quelle: Alle LANs mit Interface-Tag 5
Ziel: Alle Netze, die über die VPN-Route zu erreichen sind.
willst du mehr, dann mußt du zusätzliche Regeln in der Firewall erstellen.
Paßt dir diese Automatik gar nicht, dann stellst du die Regelerzeugung für die Gegenstelle auf "manuell" und trägst alles händisch in der Firewall ein.
Gruß
Backslash
-
n.fischer@goedia.de
- Beiträge: 10
- Registriert: 05 Nov 2007, 09:57
- Wohnort: Duderstadt
-
n.fischer@goedia.de
- Beiträge: 10
- Registriert: 05 Nov 2007, 09:57
- Wohnort: Duderstadt
Hallo backslash,
ich habe mir das kurz nochmals in der Config angeschaut. Am einfachsten wäre doch sich folgende Vorgehensweise:
In der Routing-Tabelle ARCOR auf Routing-Tag 1; KABEL auf Routing-Tag 0.
DMZ auf Routing-Tag 1; Intranet auf Routing-Tag 0(?).
Den VPN-Aussenstellen als VPN-Gateway die IP des KABEL-Anschlusses.
Dann noch in den Firewall-Regeln allen Verkehr für das Internet auf Routing-Tag 1.
Soweit richtig verstanden??
Danke und Gruß!
ich habe mir das kurz nochmals in der Config angeschaut. Am einfachsten wäre doch sich folgende Vorgehensweise:
In der Routing-Tabelle ARCOR auf Routing-Tag 1; KABEL auf Routing-Tag 0.
DMZ auf Routing-Tag 1; Intranet auf Routing-Tag 0(?).
Den VPN-Aussenstellen als VPN-Gateway die IP des KABEL-Anschlusses.
Dann noch in den Firewall-Regeln allen Verkehr für das Internet auf Routing-Tag 1.
Soweit richtig verstanden??
Danke und Gruß!
-
n.fischer@goedia.de
- Beiträge: 10
- Registriert: 05 Nov 2007, 09:57
- Wohnort: Duderstadt
Hi n.fischer@goedia.de
Bevor du fragst, weshalb du denn vom Intranet in die DMZ kommst, rate ich dir, dir im Referenzhandbuch den Abschlitt über ARF durchzulesen. Knapp zusammengefaßt gilt:
Netze mit unterschiedlichen Interface-Tags können sich nicht sehen, mit zwei Ausnahmen:
1. Hat ein Netz das Tag 0, so ist es ein "Supervisor-Netz", das alle Netze sehen kann
2. Ist ein Netz als DMZ deklariert, so wird es von allen Netzen gesehen.
Über die Firewall ist es möglich, die Sichtbarkeit auch zwischen Netzen mit unterschiedlichen Tags zu herzustellen, indem Regeln erstellt werden, in denen als Routing-Tag das Interface-Tag des Zielnetzes angegeben wird.
Nur ist es in der 7.22 nicht möglich, in der Firewall das Tag 0 zuzuweisen - ein Tag 0 in der Regel bedeutet, daß ein eventuell vorhandenes Tag unverändert bleibt.
Mit der Firmware 7.26 ken die Zuweisung das Tags 0 erzwungen werden, in dem in der Firewall als Routing-Tag 65535 angegeben wird. Dieses Tag kann daher nicht mehr anderweitig als normales Routing- oder Interface-Tag vergeben werden.
Lade dir also die aktuelle Firmware herunter und setze in den Regeln, die den Zugriff aus der DMZ ins Intranet erlauben, als Routing-Tag die 65535 ein...
Gruß
Backslash
Das kommt durch die unterschiedlichen Interface-Tags (DMZ 1 und Intarnet 0), die ein Routing zwischen den Netzen unterbinden.Ich komme nun von der DMZ nicht mehr ins Intranet, obwohl ich gewissen Diensten dies per Firewall-Regel erlaubt habe..
Was ist da falsch?
Bevor du fragst, weshalb du denn vom Intranet in die DMZ kommst, rate ich dir, dir im Referenzhandbuch den Abschlitt über ARF durchzulesen. Knapp zusammengefaßt gilt:
Netze mit unterschiedlichen Interface-Tags können sich nicht sehen, mit zwei Ausnahmen:
1. Hat ein Netz das Tag 0, so ist es ein "Supervisor-Netz", das alle Netze sehen kann
2. Ist ein Netz als DMZ deklariert, so wird es von allen Netzen gesehen.
Über die Firewall ist es möglich, die Sichtbarkeit auch zwischen Netzen mit unterschiedlichen Tags zu herzustellen, indem Regeln erstellt werden, in denen als Routing-Tag das Interface-Tag des Zielnetzes angegeben wird.
Nur ist es in der 7.22 nicht möglich, in der Firewall das Tag 0 zuzuweisen - ein Tag 0 in der Regel bedeutet, daß ein eventuell vorhandenes Tag unverändert bleibt.
Mit der Firmware 7.26 ken die Zuweisung das Tags 0 erzwungen werden, in dem in der Firewall als Routing-Tag 65535 angegeben wird. Dieses Tag kann daher nicht mehr anderweitig als normales Routing- oder Interface-Tag vergeben werden.
Lade dir also die aktuelle Firmware herunter und setze in den Regeln, die den Zugriff aus der DMZ ins Intranet erlauben, als Routing-Tag die 65535 ein...
Gruß
Backslash
-
n.fischer@goedia.de
- Beiträge: 10
- Registriert: 05 Nov 2007, 09:57
- Wohnort: Duderstadt
Moin backslash!
Vielen Dank für Deine Hilfe!
Es funktioniert!!
Leider lässt sich im Lanconfig 7.26 das Routing-Tag 65535 nicht verwenden. Man kann es zwar eingeben, nach der Speicherung und erneutem Aufruf der Config steht aber nur 6553 im Routing-Tag-Feld.
Macht man den Eintrag über das Web-Interface, lässt es sich setzen und wird danach auch im Lanconfig angezeigt. Sicher ein Bug im Lanconfig (7.26.0013).
Gruß!
Vielen Dank für Deine Hilfe!
Es funktioniert!!
Leider lässt sich im Lanconfig 7.26 das Routing-Tag 65535 nicht verwenden. Man kann es zwar eingeben, nach der Speicherung und erneutem Aufruf der Config steht aber nur 6553 im Routing-Tag-Feld.
Macht man den Eintrag über das Web-Interface, lässt es sich setzen und wird danach auch im Lanconfig angezeigt. Sicher ein Bug im Lanconfig (7.26.0013).
Gruß!