16
2 DSL-Anschluesse - 2 Router - 1 Subnet - Routing VPN
Hallo Kollegen.
Routing ist nicht unbedingt meine Stärke. Ich denke einige von euch wissen da wesentlich mehr und können mir vielleicht sogar weiterhelfen.
Ein Kunde von uns hat mehrere DSL-Anschlüsse, die er auch behalten muß (so'n Konzernding).
An DSL 1 (langsam) hängt ein VPN-Router der eine Standortkopplung in die Konzernzentrale herstellt und Zugang zu einem Portal bietet (nur über dieses VPN erreichbar).
Über diesen Anschluß wird bisher sämtlicher IP-Verkehr geroutet (d.h. sämtlicher Verkehr geht über die Zentrale).
An DSL 2 (schnell) hängt seit kurzem eine Digitalisierungsbox Standard der Telekom und kümmert sich bisher nur um Telefonie.
Desweiteren steht neben dem normalen Windows-Server noch so ne Linux-Box rum, die DNS und DHCP macht (wahrscheinlich könnte man diese
auch stilllegen). Sie verteilt neben Adressen auch noch per DNS das über das VPN erreichbare Portal.
Die normalen Clients sind statisch adressiert, damit die den Windows-Server als DNS (usw.) haben. Spezielle Clients ziehen ihre Adressinfos von der Linuxbox und haben
mit dem Windows-Netzwerk grundsätzlich nichts zu tun (außer daß sie sich das gleiche Subnetz und den Internetzugang (Gateway) teilen).
Folgendes soll geschehen: Die Windows-Server und Clients sollen für den normalen Webtraffic DSL 2 verwenden und für den VPN-Traffic DSL 1.
So nun die Haken an der Sache:
- das Subnet muß bleiben wie es ist.
- ich kann am VPN-Router nichts ändern.
- das Portal ist (wie bereits erwähnt) nur über VPN erreichbar.
War das einigermaßen verständlich?
Gruß, Oli
Routing ist nicht unbedingt meine Stärke. Ich denke einige von euch wissen da wesentlich mehr und können mir vielleicht sogar weiterhelfen.
Ein Kunde von uns hat mehrere DSL-Anschlüsse, die er auch behalten muß (so'n Konzernding).
An DSL 1 (langsam) hängt ein VPN-Router der eine Standortkopplung in die Konzernzentrale herstellt und Zugang zu einem Portal bietet (nur über dieses VPN erreichbar).
Über diesen Anschluß wird bisher sämtlicher IP-Verkehr geroutet (d.h. sämtlicher Verkehr geht über die Zentrale).
An DSL 2 (schnell) hängt seit kurzem eine Digitalisierungsbox Standard der Telekom und kümmert sich bisher nur um Telefonie.
Desweiteren steht neben dem normalen Windows-Server noch so ne Linux-Box rum, die DNS und DHCP macht (wahrscheinlich könnte man diese
auch stilllegen). Sie verteilt neben Adressen auch noch per DNS das über das VPN erreichbare Portal.
Die normalen Clients sind statisch adressiert, damit die den Windows-Server als DNS (usw.) haben. Spezielle Clients ziehen ihre Adressinfos von der Linuxbox und haben
mit dem Windows-Netzwerk grundsätzlich nichts zu tun (außer daß sie sich das gleiche Subnetz und den Internetzugang (Gateway) teilen).
Folgendes soll geschehen: Die Windows-Server und Clients sollen für den normalen Webtraffic DSL 2 verwenden und für den VPN-Traffic DSL 1.
So nun die Haken an der Sache:
- das Subnet muß bleiben wie es ist.
- ich kann am VPN-Router nichts ändern.
- das Portal ist (wie bereits erwähnt) nur über VPN erreichbar.
War das einigermaßen verständlich?
Gruß, Oli
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 306659
Url: https://administrator.de/contentid/306659
Printed on: April 26, 2024 at 04:04 o'clock
16 Comments
Latest comment
Im Grunde muss nur der zweite Router für die Clients als Default Gateway dienen und ein Menü für Statische Routen bieten.
Dann musst du in dem Router sagen, das der Traffic für das Remote Netz der VPN an den Router 1 gehen soll, der dann wiederum den Traffic an den Remotestandort leitet.
Oder du gibst den Clients eine Statische Route, die das gleiche macht, also alles an das Remotenetz zum Router 2 schicken
Dann musst du in dem Router sagen, das der Traffic für das Remote Netz der VPN an den Router 1 gehen soll, der dann wiederum den Traffic an den Remotestandort leitet.
Oder du gibst den Clients eine Statische Route, die das gleiche macht, also alles an das Remotenetz zum Router 2 schicken
Moin,
die "Digitalisierungsbox" ist ein vollwertiger router und eine passable Firewall.
Wenn Du die als Default-Gateway einstellst und dort regeln für das routing definierst z.B. http-traffic über den "eigenen Anschluß" der digitalisierungsbox und rest über das andere gerät, kansst Du den web-traffic über den zweiten anschluß leiten.
Du könntest auch die Digitalisierungsbox als DUAL-WAN-Router nutzen, indem Du die ander Kiste an einen extra Port der digitalisierungsbox hängst und diesen als zweiten WAN-Anschluß definiserst. dann mußt Du nur noch in der digiatislierunsbox Regeln für das Routing derfinieren.
lks
die "Digitalisierungsbox" ist ein vollwertiger router und eine passable Firewall.
Wenn Du die als Default-Gateway einstellst und dort regeln für das routing definierst z.B. http-traffic über den "eigenen Anschluß" der digitalisierungsbox und rest über das andere gerät, kansst Du den web-traffic über den zweiten anschluß leiten.
Du könntest auch die Digitalisierungsbox als DUAL-WAN-Router nutzen, indem Du die ander Kiste an einen extra Port der digitalisierungsbox hängst und diesen als zweiten WAN-Anschluß definiserst. dann mußt Du nur noch in der digiatislierunsbox Regeln für das Routing derfinieren.
lks
Die Frage wo ist denn hier das Routing bei nur einem Subnetz..... ??
Für ein Routing wären ja mindestens 2 IP Netze Grundvoraussetzung, haben wir hier aber nicht... !
Einen schnellen DSL Anschluss nur für Telefonie zu verheizen was pro Gespräch dann 64kbit/s über die Leitung jagt zeugt eher davon das da mehr gebastelt denn "geroutet" wird in dem Netz.
Zum Rest ist ja schon alles gesagt...
Für ein Routing wären ja mindestens 2 IP Netze Grundvoraussetzung, haben wir hier aber nicht... !
Einen schnellen DSL Anschluss nur für Telefonie zu verheizen was pro Gespräch dann 64kbit/s über die Leitung jagt zeugt eher davon das da mehr gebastelt denn "geroutet" wird in dem Netz.
Zum Rest ist ja schon alles gesagt...
Pfsense kann das alles managen. Ich würde daraus ohne hin ein Loadbalancer bauen, korrigiert mich wenn das bei zwei unterschiedlichen Leitungen nicht geht.
Dann bracuchst den ganzen anderen Quatsch auch nicht mehr. Kannst auch redundant mit zwei Kisten bauen. Das Supporten die Firewall sehr schön!
Dann bracuchst den ganzen anderen Quatsch auch nicht mehr. Kannst auch redundant mit zwei Kisten bauen. Das Supporten die Firewall sehr schön!
korrigiert mich wenn das bei zwei unterschiedlichen Leitungen nicht geht.
Müssen wir nicht korrigieren, das funktioniert natürlich fehlerlos ! 
Die be.ip/digitalisierungsbox ist default router udn bekommt daher erstmal alle Pakete
Der wertet seine regeln aus und entscheidet dann, ob er direkt das Paket an seinem DSL-Port rausjagt oder das Peket an den VPN-Router übergibt. Ob das nun über einen dedizierten "WAN"-Port geschicht, oder über das LAN, ist prinzipiell egal. unterscheidet sich dann nur in der scurity-Policy.
Und diese Tätigkeit der be.ip nennt man iirc, landläufig routen.
lks
nochmal grundsätzlich...
ein subnetz - 2 router - keine kaskadierung oder sonstige verkabelung der router:
funktioniert routing über ein und diesselbe lan schnittstelle (bzw. netzwerk an einem switch)
also digitalisierungsbox als default-gateway und darin definiert route an vpnrouter
geht das ganze überhaupt technisch / physisch oder muß der vpn router an einen anderen
port (z.b. umgenutzer WAN oder 2ter getrennter LAN-Port mit anderem Subnet) angeschlossen werden?
ein subnetz - 2 router - keine kaskadierung oder sonstige verkabelung der router:
funktioniert routing über ein und diesselbe lan schnittstelle (bzw. netzwerk an einem switch)
also digitalisierungsbox als default-gateway und darin definiert route an vpnrouter
geht das ganze überhaupt technisch / physisch oder muß der vpn router an einen anderen
port (z.b. umgenutzer WAN oder 2ter getrennter LAN-Port mit anderem Subnet) angeschlossen werden?
Zitat von @beatz99:
geht das ganze überhaupt technisch / physisch oder muß der vpn router an einen anderen
port (z.b. umgenutzer WAN oder 2ter getrennter LAN-Port mit anderem Subnet) angeschlossen werden?
geht das ganze überhaupt technisch / physisch oder muß der vpn router an einen anderen
port (z.b. umgenutzer WAN oder 2ter getrennter LAN-Port mit anderem Subnet) angeschlossen werden?
Ja, das geht. Wenn die beiden router über einen switch am selben Netz hängen udn beide im selben Subnet sind.
Du mußt nur der Digitalisierungsbox sagen, welche Netze sie über den VPN-Router erreicht.
lks
Danke für die bisherigen Tipps. Ich bin nun einen Schritt weiter, aber ich vestehe nicht warum es nicht funktioniert.
Ich habe in der Digitalisierungsbox unter "DNS" den Namen des (über VPN erreichbaren) Portals als statischen Host hinterlegt. Außerdem
unter "Routen" eine sogenannte Hostroute über ein Gateway eingetragen.
Lt. tracert erreiche ich das Portal tatsächlich, allerdings bekomme ich beim Aufrufen der Seite im Browser ein Timeout.
Hat jemand eine Erklärung oder ein Tipp?
Gruß Oli
Ich habe in der Digitalisierungsbox unter "DNS" den Namen des (über VPN erreichbaren) Portals als statischen Host hinterlegt. Außerdem
unter "Routen" eine sogenannte Hostroute über ein Gateway eingetragen.
Lt. tracert erreiche ich das Portal tatsächlich, allerdings bekomme ich beim Aufrufen der Seite im Browser ein Timeout.
Hat jemand eine Erklärung oder ein Tipp?
Gruß Oli
Du mußt eine Netzwerkroue für das netzwerk eintragen, daß über den VPN-Router erreichbar sein soll. Nicht nur eine Hostroute. Ode rmuß da nur ein einziger Host dort erreichbar sein?
Lt. tracert erreiche ich das Portal tatsächlich, allerdings bekomme ich beim Aufrufen der Seite im Browser ein Timeout.
Hat jemand eine Erklärung oder ein Tipp?
Wirf mal wireshark an und schau, was der browser alles so rausschickt und als Antwort bekommt.
lks
Bin momentan leider nicht vor Ort und kann deshalb nicht sharken.
Wenn ich den Host per IP im Brower aufrufe (mit VPN-Router als Gateway!), öffnet sich die Webseite.
Kann ich deshalb davon ausgehen, daß die Host-only Route ausreicht?
Macht die Konfiguration ansonsten Sinn?
Wenn ich den Host per IP im Brower aufrufe (mit VPN-Router als Gateway!), öffnet sich die Webseite.
Kann ich deshalb davon ausgehen, daß die Host-only Route ausreicht?
Macht die Konfiguration ansonsten Sinn?
Zitat von @beatz99:
Bin momentan leider nicht vor Ort und kann deshalb nicht sharken.
Wenn ich den Host per IP im Brower aufrufe (mit VPN-Router als Gateway!), öffnet sich die Webseite.
Kann ich deshalb davon ausgehen, daß die Host-only Route ausreicht?
Bin momentan leider nicht vor Ort und kann deshalb nicht sharken.
Wenn ich den Host per IP im Brower aufrufe (mit VPN-Router als Gateway!), öffnet sich die Webseite.
Kann ich deshalb davon ausgehen, daß die Host-only Route ausreicht?
nein,. denn es ist davon abhängig, ob da villeicht ein redirekt erfolgt oder ob da noch Elemente von andren Seiten nachgeladen werden.
Macht die Konfiguration ansonsten Sinn?
Die frage ist, ob Du das gesamte Subnetz routen mußt oder ob die einzelne Ip ausreicht. Das läßt sich aber nur durch ein mitsniffen feststellen.
lks
Du könntest vom Client aus per Telnet versuchen, Dich auf den http-Port zu verbinden. und händisch die Seite abzurufen.
Kurze Verständnisfrage.
Werden die Pakete vom Standardgateway umverpackt (aus- und eingehend) oder findet die Kommunikation nach dem initialen Erfragen der Route
direkt zwischen VPN-Router und Client statt (wie gesagt gleiches LAN / gleiches Subnet)?
Werden die Pakete vom Standardgateway umverpackt (aus- und eingehend) oder findet die Kommunikation nach dem initialen Erfragen der Route
direkt zwischen VPN-Router und Client statt (wie gesagt gleiches LAN / gleiches Subnet)?
Zitat von @beatz99:
Kurze Verständnisfrage.
Werden die Pakete vom Standardgateway umverpackt (aus- und eingehend) ...
Kurze Verständnisfrage.
Werden die Pakete vom Standardgateway umverpackt (aus- und eingehend) ...
Nein, ein Router packt die IP-Pakete pe rdefaul tnormalerweise nie um. Nur bei NAT wird ggf am Absender/Empfänger herumgespielt. Das einzige was ein Router macht, ist normalerweise den hopcount im header erniedrigen.
... oder findet die Kommunikation nach dem initialen Erfragen der Route
direkt zwischen VPN-Router und Client statt (wie gesagt gleiches LAN / gleiches Subnet)?
direkt zwischen VPN-Router und Client statt (wie gesagt gleiches LAN / gleiches Subnet)?
Üblicherweise schickt der Router ein ICMP-Redirect und wenn der Clinet das nciht blockiert, schickt er Folgepakete direkt an den VPN-Router. Der VPN-Route rhingegen stellt die Rückpakete normalerweise direkt zu, weil auf den entsprechenden arp-request der Client antwortet und nciht der andere Router.
,lks
So gesharkt.
Das was zu sagst, scheint auch in meinem Fall zuzutreffen. DNS-Auflösung Portalseite über VPN durch Standardgateway. Redirect des Clients
auf den VPN-Router. Dann erfolgt eine Antwort des Portals und dann plötzlich nichts mehr.
Vergleich:
Gateway VPN-Router (.225)
Gateway Standardgateway (.1)
Irgendeine Idee wieso das Portal im zweiten Fall keine Antwort geben will?
Das was zu sagst, scheint auch in meinem Fall zuzutreffen. DNS-Auflösung Portalseite über VPN durch Standardgateway. Redirect des Clients
auf den VPN-Router. Dann erfolgt eine Antwort des Portals und dann plötzlich nichts mehr.
Vergleich:
Gateway VPN-Router (.225)
Gateway Standardgateway (.1)
Irgendeine Idee wieso das Portal im zweiten Fall keine Antwort geben will?
Dazu müßte man bein VPN-Router sniffen, ob die Pakete, die von der bintec zum VPN-Router kommen irgendwelche Eigenheiten haben und ob sie überhaupt durch den Tunnel gehen. Aber so wies es aussieht, wird zumindest die TCP-verbindung aufgebaut.
lks
