Hallo,
ich hoffe Ihr könnt mir weiterhelfen. Ich habe 4x Lancom 1611+ welche
über VPN erfolgreich verbunden sind. VPN1, VPN2, VPN3 und VPN4, wobei
VPN1 eine statische IP und alle anderen eine dynamische IP haben. Ich
möchte nun z.B von VPN2 über VPN1 auf VPN3 zugreifen und umgekehrt,
genauso zwischen den anderen Standorten über VPN1.
Ich habe die Routingeinträge auf VPN2, VPN3 und VPN4 ergänzt, so das
alles über VPN1 laufen sollte um die anderen Standorte zu erreichen.
VPN1 = 192.168.1.0
VPN2 = 192.168.2.0
VPN3 = 192.168.3.0
VPN4 = 192.168.4.0
Habe versucht mich an diese Anleitung zu halten:
http://www2.lancom.de/kb.nsf/a5ddf48173 ... erk,German
Mir fällt gerade ein, muss ich evtl. auf VPN1 weitere VPN-Regeln für die
Verbindung zwischen den Standorten eintragen, so wie oben beschrieben?
VPN2 <=> VPN3, VPN2 <=> VPN4, VPN3 <=> VPN4?
Vielen Danke, für die Hilfe.
Mfg
Stefan Drees
VPN Routing zwischen Standorten
Moderator: Lancom-Systems Moderatoren
Hi,
ein übliches Vorgehen in diesem Falle ist es den Standort VPN1 als Zentrale anzusiedeln, da er ja als einziger eine feste IP besitzt. Dementsprechend verfährst du bei den Standorten VPN2-4 nach dem Verfahren "von außen nach innen". Das heißt nichts anderes, dass die Standorte VPN2-4 aus VPN-Sicht als Zweigstellen betrachtet werden, dabei initieren sie immer den Tunnel zur Zentrale.
Also praktisch gesprochen. Richte jeweils eine direkte Netzwerkkoppelung zwischen VPN2-4 zu VPN1 ein. Der Zentralrouter kennt dann als einziger Router, die Wege zu den Zweigstellen und alle Kommunikationsbeziehungen sind indirekt möglich. Wichtig dabei ist nur, dass die Koppelung zu einem großeren Netzwerk/Subnetzmaske besteht, also Standort VPN-1 hat das Subnetz 192.168.1.0/24 VPN-2 192.168.2.0/24 ...
Aber die Netzwerkkoppelung des einzigen VPN-Tunnels von Zweistelle zu Zentrale richtest du mit dem übergeordneten Netzwerk 192.168/16 ein. So stellst du sicher, dass du keine zusätzlichen IPSec SAs siehe URL deines Beitrages einrichten musst. Der einzige Nachteil ist, dass keine direkten Kommunikationsbeziehungen zwischen den Zweistellen bestehen.
ein übliches Vorgehen in diesem Falle ist es den Standort VPN1 als Zentrale anzusiedeln, da er ja als einziger eine feste IP besitzt. Dementsprechend verfährst du bei den Standorten VPN2-4 nach dem Verfahren "von außen nach innen". Das heißt nichts anderes, dass die Standorte VPN2-4 aus VPN-Sicht als Zweigstellen betrachtet werden, dabei initieren sie immer den Tunnel zur Zentrale.
Also praktisch gesprochen. Richte jeweils eine direkte Netzwerkkoppelung zwischen VPN2-4 zu VPN1 ein. Der Zentralrouter kennt dann als einziger Router, die Wege zu den Zweigstellen und alle Kommunikationsbeziehungen sind indirekt möglich. Wichtig dabei ist nur, dass die Koppelung zu einem großeren Netzwerk/Subnetzmaske besteht, also Standort VPN-1 hat das Subnetz 192.168.1.0/24 VPN-2 192.168.2.0/24 ...
Aber die Netzwerkkoppelung des einzigen VPN-Tunnels von Zweistelle zu Zentrale richtest du mit dem übergeordneten Netzwerk 192.168/16 ein. So stellst du sicher, dass du keine zusätzlichen IPSec SAs siehe URL deines Beitrages einrichten musst. Der einzige Nachteil ist, dass keine direkten Kommunikationsbeziehungen zwischen den Zweistellen bestehen.
12x 1621 Anx. B-21x 1711 VPN-3x 1722 Anx. B-7x 1723 VoIP-1x 1811 DSL, 1x 7011 VPN-1 x 7111 VPN-1x 8011 VPN-10er Pack Adv. VPN Client (2x V1.3-3x 2.0)-Hotspot Option-Adv. VoIP Client/P250 Handset-Adv.VoIP Option-4x VPN-Option-2x L-54 dual-2x L54ag-2x O-18a
Hi stefan5618
Einfacher ist es, das Ganze wie ittk schon vorgeschlagen hat, als ein großes Netz (192.186.0.0/16) zu verstehen. Dann reicht es nämlich aus, wenn du in den Filialen einfach eine Route zum 192.168.0.0/16 Netz zur Zentrale einrichtest und in der Zentrale eine VPN-Regel, die den Traffic im ganzen 192.168.x.x-Netz erlaubt:
und schon kann Jeder mit Jedem reden
Gruß
Backslash
ja die brauchst du, da die Filialen ja mietenander reden sollen. Das wird sehr schnell sehr unübersichtlich (bei n Filialen braucht du 2n-1 Regeln).Mir fällt gerade ein, muss ich evtl. auf VPN1 weitere VPN-Regeln für die
Verbindung zwischen den Standorten eintragen, so wie oben beschrieben?
VPN2 <=> VPN3, VPN2 <=> VPN4, VPN3 <=> VPN4?
Einfacher ist es, das Ganze wie ittk schon vorgeschlagen hat, als ein großes Netz (192.186.0.0/16) zu verstehen. Dann reicht es nämlich aus, wenn du in den Filialen einfach eine Route zum 192.168.0.0/16 Netz zur Zentrale einrichtest und in der Zentrale eine VPN-Regel, die den Traffic im ganzen 192.168.x.x-Netz erlaubt:
Code: Alles auswählen
Quelle: 192.168.0.0/255.255.0.0
Ziel: 192.168.0.0/255.255.0.0
Aktiuon: übertragen,
Häkchen bei "Diese Regle wird zur Erzeugung von VPN-Regeln herangezogen"Gruß
Backslash
-
stefan5618
- Beiträge: 6
- Registriert: 11 Sep 2006, 20:58
.