4
Fragen Netzwerkkonfiguration externer Router
Hallo,
ich habe mal eine Frage bezüglich einer Netzwerkkonfiguration an die Profis hier im Forum,
ich habe derzeit einen Lancom Router mit mehreren Vlans im Einsatz. Der Lancom dient derzeit als Gateway ins Internet und als Router unter den Vlans und stellt mehrere VPN Zugänge in die verschiedenen Vlans bereit.
Da das Netzwerk immer größer wird und ich eine Redundante Lösung brauche möchte ich anstelle des Lancoms einen anderen Router (OPNSense) als DHCP, Gateway und Routing zwischen den VLans im Netzwerk verwenden. Der Lancom soll aber weiter die VPN Zugänge bereitstellen.
Wie muss ich denn das Netzwerktechnisch aufbauen? Wie können die VPN Clients am einfachsten wieder ins passende Vlan kommen und auch ggf. in mehrere Vlans Geräte erreichen? Irgendwie fehlt mir da gerade etwas der Überblick.
Mir wäre am ehesten die Idee gekommen den Lancom weiter als Mitglied in den jeweiligen Vlans zu belassen und dann hätten ja die VPN Clients weiter Zugriff, aber wie kann dann ein Client ein anderes Vlan erreichen? Oder gibt es noch eine bessere Lösung für mein Problem?
Danke schon mal für eure Hilfe
Grüße
gandalf313
ich habe mal eine Frage bezüglich einer Netzwerkkonfiguration an die Profis hier im Forum,
ich habe derzeit einen Lancom Router mit mehreren Vlans im Einsatz. Der Lancom dient derzeit als Gateway ins Internet und als Router unter den Vlans und stellt mehrere VPN Zugänge in die verschiedenen Vlans bereit.
Da das Netzwerk immer größer wird und ich eine Redundante Lösung brauche möchte ich anstelle des Lancoms einen anderen Router (OPNSense) als DHCP, Gateway und Routing zwischen den VLans im Netzwerk verwenden. Der Lancom soll aber weiter die VPN Zugänge bereitstellen.
Wie muss ich denn das Netzwerktechnisch aufbauen? Wie können die VPN Clients am einfachsten wieder ins passende Vlan kommen und auch ggf. in mehrere Vlans Geräte erreichen? Irgendwie fehlt mir da gerade etwas der Überblick.
Mir wäre am ehesten die Idee gekommen den Lancom weiter als Mitglied in den jeweiligen Vlans zu belassen und dann hätten ja die VPN Clients weiter Zugriff, aber wie kann dann ein Client ein anderes Vlan erreichen? Oder gibt es noch eine bessere Lösung für mein Problem?
Danke schon mal für eure Hilfe
Grüße
gandalf313
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 384105
Url: https://administrator.de/contentid/384105
Printed on: April 23, 2024 at 13:04 o'clock
4 Comments
Latest comment
Moin,
Setze dich mit dem Routing auseinander.
Gehen wir mal von folgendem aus:
LAN (mit den VLANs 1-n) <> OpenSense <> Lancom <> VPN-Clients/ -Standorte
Zwischen Lancom und OpenSense existiert das Netz 10.20.30.0/31 und der Lancom hat die 10.20.30.2 und die OpenSense die .1
Deine VLANs sind alle im Netz 10.10.xxx.0/24, dann richtest du am Lancom eine Route wie folgt ein:
Zielnetz: 10.10.0.0
Subnetzmaske: 255.255.0.0
Gateway: 10.20.30.1
Und haben deine VPN-Gegenstellen die Netze
10.30.xxx.0, bekommt die OpenSense folgende statische Route:
Zielnetz: 10.30.0.0
Subnetzmaske: 255.255.0.0
Gateway: 10.20.30.2
Fertig.
Willst du für jedes VLAN subnetz eine eigene Route setzen, musst du schlicht das subnetz verkleinern (z.B. auf 255.255.255.0, wenn es ein klassisches /24er Netz ist).
€dit:
Du kannst aber auch die VPNs auf der OpenSense terminieren lassen. Reduziert die Zahl der Geräte und den Aufwand.
Alternativ:
Wenn du einen großen Lancom hast, wäre die HA-Option ggf. auch möglich:
https://www.lancom-systems.de/produkte/software-optionen/lancom-high-ava ...
Gruß
em-pie
Setze dich mit dem Routing auseinander.
Gehen wir mal von folgendem aus:
LAN (mit den VLANs 1-n) <> OpenSense <> Lancom <> VPN-Clients/ -Standorte
Zwischen Lancom und OpenSense existiert das Netz 10.20.30.0/31 und der Lancom hat die 10.20.30.2 und die OpenSense die .1
Deine VLANs sind alle im Netz 10.10.xxx.0/24, dann richtest du am Lancom eine Route wie folgt ein:
Zielnetz: 10.10.0.0
Subnetzmaske: 255.255.0.0
Gateway: 10.20.30.1
Und haben deine VPN-Gegenstellen die Netze
10.30.xxx.0, bekommt die OpenSense folgende statische Route:
Zielnetz: 10.30.0.0
Subnetzmaske: 255.255.0.0
Gateway: 10.20.30.2
Fertig.
Willst du für jedes VLAN subnetz eine eigene Route setzen, musst du schlicht das subnetz verkleinern (z.B. auf 255.255.255.0, wenn es ein klassisches /24er Netz ist).
€dit:
Du kannst aber auch die VPNs auf der OpenSense terminieren lassen. Reduziert die Zahl der Geräte und den Aufwand.
Alternativ:
Wenn du einen großen Lancom hast, wäre die HA-Option ggf. auch möglich:
https://www.lancom-systems.de/produkte/software-optionen/lancom-high-ava ...
Gruß
em-pie
Moin em-pie,
danke für die Antwort und den Aufbau, so werde ich es machen, auf die Lösung bin ich nicht gekommen, aber jetzt hätte ich noch einige Fragen:
Ich würde dann das Netz zwischen Lancom und OPNsense als 24er Variante einrichten. Die VPN Clients bekommen dann wohl auch jeweils eine 10.20.30.x IP aus dem Netz, wie kann ich hier die Kommunikation untereinander verhindern und nur auf das jeweilige VLan hinter der OPNsense einschränken? Warscheinlich über die Firewall im Lancom, oder auf der OPNsense?
Welches Interface auf der OPNsense wäre dann für das Transfernetz, das Wan oder ein weiteres? Dann müsste ich ja NAT deaktivieren und die Firewall öffnen oder?
Gruß und Danke
gandalf313
danke für die Antwort und den Aufbau, so werde ich es machen, auf die Lösung bin ich nicht gekommen, aber jetzt hätte ich noch einige Fragen:
Ich würde dann das Netz zwischen Lancom und OPNsense als 24er Variante einrichten. Die VPN Clients bekommen dann wohl auch jeweils eine 10.20.30.x IP aus dem Netz, wie kann ich hier die Kommunikation untereinander verhindern und nur auf das jeweilige VLan hinter der OPNsense einschränken? Warscheinlich über die Firewall im Lancom, oder auf der OPNsense?
Welches Interface auf der OPNsense wäre dann für das Transfernetz, das Wan oder ein weiteres? Dann müsste ich ja NAT deaktivieren und die Firewall öffnen oder?
Gruß und Danke
gandalf313
Lass das Transfernetz zwischen beiden ruhig so klein wie möglich. Es soll ja nur zum Transfer dienen, alles andere hat da nichts zu suchen und birgt ein Sicherheitsrisiko.
Ansonsten an der OpenSense das NAT deaktivieren, macht dir nur „sorgen“.
Die VPNs:
Kannst auch für alle VPN-Clients (sind es nur Clients oder auch S2S VPNs?) ein Netz wählen, aber die Kommunikation untereinander unterbinden (kann der Lancom sicherlich, habe gerade das Featureset nicht auf dem Schirm).
Zur Regulierung der Clients zu den VLANs:
Maximal kannst du beiden Kisten die Zugriffe über die jeweilige Firewall regulieren. Hat den Vorteil: ist eine Kiste kompromittiert, regelt die andere weiter ab. Nachteil: doppelter Aufwand bei der Administration. Ansonsten „suche dir eine aus“....
Ansonsten an der OpenSense das NAT deaktivieren, macht dir nur „sorgen“.
Die VPNs:
Kannst auch für alle VPN-Clients (sind es nur Clients oder auch S2S VPNs?) ein Netz wählen, aber die Kommunikation untereinander unterbinden (kann der Lancom sicherlich, habe gerade das Featureset nicht auf dem Schirm).
Zur Regulierung der Clients zu den VLANs:
Maximal kannst du beiden Kisten die Zugriffe über die jeweilige Firewall regulieren. Hat den Vorteil: ist eine Kiste kompromittiert, regelt die andere weiter ab. Nachteil: doppelter Aufwand bei der Administration. Ansonsten „suche dir eine aus“....
Vielen Dank noch einmal für die Tipps,
habe jetzt alles konfiguriert und es läuft alles wie gewünscht
Grüße
Gandalf313
habe jetzt alles konfiguriert und es läuft alles wie gewünscht
Grüße
Gandalf313
