Hi alle,
ich muss zugeben, der LANCOM 1722 hat mir schon ein wenig Respekt eingeflößt beim ersten Einschalten und konfigurieren, aber langsam werden wir warm, und mutig! Aber hier brauche ich mal Denkanstöße bitte:
Wir haben ein Firmennetz im 192.168.123.xxx per DSL mit dem Internet verbunden, aber mit statischer IP. Ein freier Mitarbeiter, der von zuhause arbeitet, hat selbst ein 192.168.10.xxx-Netz und wählt sich per PPTP in unserem Windows-Server ein, wir haben Port 1723 weitergeleitet. Das funktioniert einwandfrei.
Das reicht uns aber nicht mehr. Wir wollen nun unsere Netze verschmelzen. Heißt, er soll ebenfalls einen LANCOM bekommen, der an unser Netz andocken soll. Und jetzt kommt die eigentliche Schwierigkeit: Er hat KEINEN eigenen DSL-Anschluss, sondern hängt wiederum an einem Router, der erst ins Internet routet. Wir können aber nicht den Hauptrouter ersetzen, da seine anderen WG-Mitglieder nichts in unserem Netz zu suchen haben. Der LANCOM bekommt also NACH AUSSEN hin eine IP aus seinem 192.168.10.xxx-Netz und nach innen dann unser Netz mit dem 192.168.123.xxx-Kreis. Am WG-Router können wir aber beliebig Ports weiterleiten.
Ist das überhaupt möglich? Oder denke ich da gerade irgendwie vollkommen Quer? Gibt es einen guten Einstiegspunkt? Abgesehen von PPTP über Windows-Server habe ich mit VPN wenig bis keine Erfahrung, Netzwerke allerdings schrecken mich nicht.
Gruß und vielen Dank
Sebezahn
VPN-Tunnel zwischen öffentlich und NAT
Moderator: Lancom-Systems Moderatoren
Hi sebezahn,
entweder der NAT-Router beherrscht IPSec-Passthrough oder du aktivierst zentralen LANCOM NAT-T (VPN -> Allgemein -> NAT-Traversal aktiviert)... Dann bieten bieten sich nun drei Möglichkeiten einer LAN-LAN-Kopplung an:
- aggressive-Mode
- Main-Mode mit dynamic VPN ("über" UDP).
- Main-Mode mit Zertifikaten...
Für den Aggressive- oder Main-Mode muß der NAT-Router nur die UDP-Port 500 und 4500 durchlassen, für dynamic VPN zusätzlich noch UDP-Port 87
Am einfachsten richtest du die VPN-Verbindung per Wizard ein und sorgst dann dafür, daß sie immer nur von der Seite hinter dem NAT-Router aufgebaut wird. In der Zentrale wird hierzu in der VPN-Verbindungsliste (VPN -> Allgemein -> VPN-Verbindungsliste) der Eintrag für das entfernte Gateway gelöscht.
Wenn du dich für eine Main-Mode-Verbindung mit dynamic VPN entschieden hast, dann schaltest du in der Aussenstelle noch in der VPN-Verbindungsliste die dynamic-VPN-Variante von "ICMP" auf "UDP" (ein UDP-Paket wird an die Gegenstelle gesendet, um die IP-Adresse zu übermitteln) um
Gruß
Backslash
entweder der NAT-Router beherrscht IPSec-Passthrough oder du aktivierst zentralen LANCOM NAT-T (VPN -> Allgemein -> NAT-Traversal aktiviert)... Dann bieten bieten sich nun drei Möglichkeiten einer LAN-LAN-Kopplung an:
- aggressive-Mode
- Main-Mode mit dynamic VPN ("über" UDP).
- Main-Mode mit Zertifikaten...
Für den Aggressive- oder Main-Mode muß der NAT-Router nur die UDP-Port 500 und 4500 durchlassen, für dynamic VPN zusätzlich noch UDP-Port 87
Am einfachsten richtest du die VPN-Verbindung per Wizard ein und sorgst dann dafür, daß sie immer nur von der Seite hinter dem NAT-Router aufgebaut wird. In der Zentrale wird hierzu in der VPN-Verbindungsliste (VPN -> Allgemein -> VPN-Verbindungsliste) der Eintrag für das entfernte Gateway gelöscht.
Wenn du dich für eine Main-Mode-Verbindung mit dynamic VPN entschieden hast, dann schaltest du in der Aussenstelle noch in der VPN-Verbindungsliste die dynamic-VPN-Variante von "ICMP" auf "UDP" (ein UDP-Paket wird an die Gegenstelle gesendet, um die IP-Adresse zu übermitteln) um
Gruß
Backslash