twiceface
Goto Top

Cisco Router Tunnel 2x gleiches Netz durch Fremdnetz verbinden

Guten Tag allerseits,

Ich habe 2x das gleiche Netzwerk welche durch ein fremdes Netzwerk verbunden werden sollen.
Meine Idee: Ich nehme 2 Cisco Router (weil die halt da sind) und baue einen Tunnel.

Ich habe alles wie in der Zeichnung eingerichtet, der Tunnel sagt auch, das er aufgebaut wurde aber irgendwie will es nicht gelingen.
netzerk

Content-ID: 374485

Url: https://administrator.de/forum/cisco-router-tunnel-2x-gleiches-netz-durch-fremdnetz-verbinden-374485.html

Ausgedruckt am: 23.12.2024 um 08:12 Uhr

Lochkartenstanzer
Lochkartenstanzer 19.05.2018 aktualisiert um 11:18:22 Uhr
Goto Top
Zitat von @twiceface:

Guten Tag allerseits,

Ich habe 2x das gleiche Netzwerk welche durch ein fremdes Netzwerk verbunden werden sollen.

gleiches Netz => entweder L2TP oder ein Netz ummappen.

Meine Idee: Ich nehme 2 Cisco Router (weil die halt da sind) und baue einen Tunnel.

Richtige Idee, falsche Durchführung.


Ich habe alles wie in der Zeichnung eingerichtet, der Tunnel sagt auch, das er aufgebaut wurde aber irgendwie will es nicht gelingen.

Natürlich nicht, weil Du auf beiden Seiten das gleuche IP-Netz hast. Due Grubdregel bei IP ist, daß Netze dusjunkt sein müssen.

Du mußt daher entweder auf Layer 2 tunneln (L2TP) odefcdafür sorgen, daß die Netze disjunktcwerden. Das kann man entweder durch ändern des Netzes erreichen oder einen Router dazwischenschalten, der die Netze ummappt.

lks
Dani
Dani 19.05.2018 um 13:20:13 Uhr
Goto Top
Moin,
Das kann man entweder durch ändern des Netzes erreichen oder einen Router dazwischenschalten, der die Netze ummappt.
oder auf einer Seite ein 1:1 NAT einrichten. Damit kannst du das Problem schnell umgehen. Kann allerdings bei Einsatz von Firewalls und evtl. Troubleshooting die Suche erschweren.


Gruß,
Dani
aqui
aqui 19.05.2018 um 20:55:02 Uhr
Goto Top
Grundlagen zum VPN Tunnel IP Design:
VPNs einrichten mit PPTP
Wenn du die IP Adresse an einem Ende nicht ändern kannst MUSST du zwangsweise mit 1:1 NAT arbeiten wie oben schon gesagt ! Das macht die Konfig erheblich aufwändiger.
der Rest steht hier:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
twiceface
twiceface 14.06.2018 um 11:56:58 Uhr
Goto Top
Guten Tag,

ich habe nun das Netz noch einmal etwas überarbeitet und es sieht in etwa so aus wie im Bild beschrieben.
Die Pings gehen in beide Richtungen
Die Tunnel stehen
Die Clients können Sich am anderen Server anmelden

Was nicht geht sind die IP´s per DHCP
Wo muss ich die IP Helper Adresse angeben?
Egal was ich versuche... der Client kriegt keine IP aus dem anderen Netz?!

Beide Server sind DC, DHCP (ich möchte eine "Ausfallsicherheit" für die Clients

Grüße
Twiceface
visio
aqui
Lösung aqui 14.06.2018 um 12:48:56 Uhr
Goto Top
Es sieht so aus oder nur "in etwa" ?? Letzteres gibt es in der IT eigentlich nicht.
Die Konfig ist in soweit richtig aber dir ist hoffentlich klar das du da nur eine sehr einfache GRE Tunnelung machst die NICHT verschlüsselt ist !!
Sowas ungeschützt übers Internet zu schicken ist mehr als fahrlässig, denn da kann die ganze Welt mitlesen.
Du solltest dir drimngenst Gedanken darüber machen das mit IPsec zu verschlüsseln sofern datensicherheit und Schutz für dich ein Thema ist.
Wie so eine Tunnel Konfig mit IPsec Verschlüsselung aussieht kannst du hier nachlesen:
Cisco SVTI - Tunnel
Was nicht geht sind die IP´s per DHCP
Das ist auch ganz klar, weill du vergessen hast die ip-helper address auf dem lokalen LAN Interface zu konfigurieren sofern du einen zentralen DHCP Server benutzt.
DHCP Requests nutzen UDP Broadcasts die prinzipienbedingt NICHT über geroutete Ports weitergeleitet werden. Solche Basics sollte man aber als Netzwerker kennen ?!
Dort muss stehen: ip-helper address <ip_adresse_dhcp_server>
Auf dem LAN Segment wo der DHCP selber dran ist muss es NICHT konfiguriert werden.