Wie kann ich Masquerading beim VPN aktivieren?

[mfernau]

Hallo!

Konfiguration ist wie Folgt:

Code: Alles auswählen

SiteA  <-VPN->  SiteB  <-VPN->  SiteC

SiteA hat IP-Kreis 200.1.1.0/24 (jaja ich weiss - öffentliches Netz.. ich kanns leider nicht ändern, wurde von meinem Vorgänger so eingerichtet und da wir keinen Zugriff auf alle Geräte haben ist es nicht änderbar... Top Leistung)
SiteB hat IP-Kreis 10.25.150.0/24
SiteC hat IP-Kreis 172.ka.kp.vergessen/24

Wie in der Abbildung dargestellt weiß A nichts von C.
Da aktuell bei keiner Verbindung masqueriert wird, habe ich in B ein Problem mit einem Drucker. Denn dieser eine Drucker muss sowohl aus C, als auch aus A ansteuerbar sein.
Da ich das VPN zu C nicht administrieren kann, muss ich also die Verbindung zwischen A und B masquerieren, damit der Drucker bei Verbindungen aus A immer nur die IP aus seinem B-Kreis sieht. Dann kann ich dort nämlich das Gateway für die VPN nach C einstellen. Weitere Routen lassen sich bei diesem Drucker leider nicht definieren (was ja mein Problem ist).

Die Frage für mich ist nun, wie ich in meinem LANCOM das Masquerading für die bestehende VPN-Verbindung einrichten kann. Kann mir da jemand einen Tipp geben?

Vielen Dank schon mal und sonnige Grüße
Martin

[backslash]

Hi mfernau,

hier lautet das Stichwort "Extranet-Adresse"... Einfach auf SiteA in der VPN-Verbindungsliste für die gewünschte VPN-Verbindung die Extranet-Adresse eintragen, hinter der das VPN maskiert werden soll und in der IP-Routing-Tabelle die Maskierungsoption auf "Intranet und DMZ maskieren (Standard)" stellen. Letzteres ist zwa nicht nötig, sollte aber trotzdem gemacht werden, damit du auch bei einem Blick auf die Routing-Tabelle siehst, das die Verbindung maskiert wird...

Ach ja: in SiteB mußt du natürlich auch noch die Route zu SiteA ändern, da du jetzt nur noch die Extranet-Adresse erreichen kannst....

Gruß
Backslash

[mfernau]

Hm ne - irgendwie klappt das nicht...

Nur damit wir uns verstehen:
RouterA (aus SiteA) hat die IP 200.1.1.253
RouterB (aus SiteB) hat die IP 10.25.150.1

Und damit SiteB quasi nur interne IPs aus 10.25.150.0/24 'sieht' wenn jemand aus SiteA eine Verbindung aufbaut muss ich jetzt Deine Einstellungen vornehmen?

Das habe ich eben versucht - aber das VPN geht anschließend gar nicht mehr.
Was ich getan habe:
1. In RouterA habe ich in der VPN-Verbindung eine Extranet-IP aus SiteB eingestellt. Ich habe mir dafür die 10.25.150.2 ausgesucht (stimmt das?)
2. In RouterA habe ich für die Route zu 10.25.150.0/24 die Maskierungsoption eingeschaltet.
3. In RouterB habe ich für die Route zu 200.1.1.0/24 als "Router" die 10.25.150.2 eingesetzt.

Anschließend ging halt nicht mehr. Ich habe alles wieder zurück gestellt und noch andere Varianten ausprobiert, aber ich komme noch nicht hinter das System wie das einzustellen ist.
Googeln bringt mich auch leider gar nicht weiter bisher..

Könntest Du mir bitte ein etwas genaueres Vorgehen beschreiben?
Vielen Dank!

Beste Grüße
Martin

[backslash]

Hi mfernau,

1. In RouterA habe ich in der VPN-Verbindung eine Extranet-IP aus SiteB eingestellt. Ich habe mir dafür die 10.25.150.2 ausgesucht (stimmt das?)

OK

2. In RouterA habe ich für die Route zu 10.25.150.0/24 die Maskierungsoption eingeschaltet.

OK

3. In RouterB habe ich für die Route zu 200.1.1.0/24 als "Router" die 10.25.150.2 eingesetzt.

nein, RouterB kann das 200.1.1.0/24 nicht mehr erreichen, da du es ja hinter der 10.25.150.2 maskierst. Diese Route muß komplett entfallen.
Ggf. mußt du in RouterB nochj einschalten, daß entfernte Stationen über Proxy-ARP eingebunden werden (unetr IP-Router -> Allgemein)

Gruß
Backslash

[mfernau]

Vielen Dank schon mal für Deine Mühen.
Je länger ich darüber nachdenke, um so mehr bekomme ich das Gefühl, dass das nicht der richtige Weg ist. All das nur wegen einem Drucker...
Ich muss hier nochmal drüber nachdenken. Irgendwie muss das anders zu lösen sein...