Fragen Netzwerkkonfiguration externer Router
Hallo,
ich habe mal eine Frage bezüglich einer Netzwerkkonfiguration an die Profis hier im Forum,
ich habe derzeit einen Lancom Router mit mehreren Vlans im Einsatz. Der Lancom dient derzeit als Gateway ins Internet und als Router unter den Vlans und stellt mehrere VPN Zugänge in die verschiedenen Vlans bereit.
Da das Netzwerk immer größer wird und ich eine Redundante Lösung brauche möchte ich anstelle des Lancoms einen anderen Router (OPNSense) als DHCP, Gateway und Routing zwischen den VLans im Netzwerk verwenden. Der Lancom soll aber weiter die VPN Zugänge bereitstellen.
Wie muss ich denn das Netzwerktechnisch aufbauen? Wie können die VPN Clients am einfachsten wieder ins passende Vlan kommen und auch ggf. in mehrere Vlans Geräte erreichen? Irgendwie fehlt mir da gerade etwas der Überblick.
Mir wäre am ehesten die Idee gekommen den Lancom weiter als Mitglied in den jeweiligen Vlans zu belassen und dann hätten ja die VPN Clients weiter Zugriff, aber wie kann dann ein Client ein anderes Vlan erreichen? Oder gibt es noch eine bessere Lösung für mein Problem?
Danke schon mal für eure Hilfe
Grüße
gandalf313
ich habe mal eine Frage bezüglich einer Netzwerkkonfiguration an die Profis hier im Forum,
ich habe derzeit einen Lancom Router mit mehreren Vlans im Einsatz. Der Lancom dient derzeit als Gateway ins Internet und als Router unter den Vlans und stellt mehrere VPN Zugänge in die verschiedenen Vlans bereit.
Da das Netzwerk immer größer wird und ich eine Redundante Lösung brauche möchte ich anstelle des Lancoms einen anderen Router (OPNSense) als DHCP, Gateway und Routing zwischen den VLans im Netzwerk verwenden. Der Lancom soll aber weiter die VPN Zugänge bereitstellen.
Wie muss ich denn das Netzwerktechnisch aufbauen? Wie können die VPN Clients am einfachsten wieder ins passende Vlan kommen und auch ggf. in mehrere Vlans Geräte erreichen? Irgendwie fehlt mir da gerade etwas der Überblick.
Mir wäre am ehesten die Idee gekommen den Lancom weiter als Mitglied in den jeweiligen Vlans zu belassen und dann hätten ja die VPN Clients weiter Zugriff, aber wie kann dann ein Client ein anderes Vlan erreichen? Oder gibt es noch eine bessere Lösung für mein Problem?
Danke schon mal für eure Hilfe
Grüße
gandalf313
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 384105
Url: https://administrator.de/forum/fragen-netzwerkkonfiguration-externer-router-384105.html
Ausgedruckt am: 22.12.2024 um 23:12 Uhr
4 Kommentare
Neuester Kommentar
Moin,
Setze dich mit dem Routing auseinander.
Gehen wir mal von folgendem aus:
LAN (mit den VLANs 1-n) <> OpenSense <> Lancom <> VPN-Clients/ -Standorte
Zwischen Lancom und OpenSense existiert das Netz 10.20.30.0/31 und der Lancom hat die 10.20.30.2 und die OpenSense die .1
Deine VLANs sind alle im Netz 10.10.xxx.0/24, dann richtest du am Lancom eine Route wie folgt ein:
Zielnetz: 10.10.0.0
Subnetzmaske: 255.255.0.0
Gateway: 10.20.30.1
Und haben deine VPN-Gegenstellen die Netze
10.30.xxx.0, bekommt die OpenSense folgende statische Route:
Zielnetz: 10.30.0.0
Subnetzmaske: 255.255.0.0
Gateway: 10.20.30.2
Fertig.
Willst du für jedes VLAN subnetz eine eigene Route setzen, musst du schlicht das subnetz verkleinern (z.B. auf 255.255.255.0, wenn es ein klassisches /24er Netz ist).
€dit:
Du kannst aber auch die VPNs auf der OpenSense terminieren lassen. Reduziert die Zahl der Geräte und den Aufwand.
Alternativ:
Wenn du einen großen Lancom hast, wäre die HA-Option ggf. auch möglich:
https://www.lancom-systems.de/produkte/software-optionen/lancom-high-ava ...
Gruß
em-pie
Setze dich mit dem Routing auseinander.
Gehen wir mal von folgendem aus:
LAN (mit den VLANs 1-n) <> OpenSense <> Lancom <> VPN-Clients/ -Standorte
Zwischen Lancom und OpenSense existiert das Netz 10.20.30.0/31 und der Lancom hat die 10.20.30.2 und die OpenSense die .1
Deine VLANs sind alle im Netz 10.10.xxx.0/24, dann richtest du am Lancom eine Route wie folgt ein:
Zielnetz: 10.10.0.0
Subnetzmaske: 255.255.0.0
Gateway: 10.20.30.1
Und haben deine VPN-Gegenstellen die Netze
10.30.xxx.0, bekommt die OpenSense folgende statische Route:
Zielnetz: 10.30.0.0
Subnetzmaske: 255.255.0.0
Gateway: 10.20.30.2
Fertig.
Willst du für jedes VLAN subnetz eine eigene Route setzen, musst du schlicht das subnetz verkleinern (z.B. auf 255.255.255.0, wenn es ein klassisches /24er Netz ist).
€dit:
Du kannst aber auch die VPNs auf der OpenSense terminieren lassen. Reduziert die Zahl der Geräte und den Aufwand.
Alternativ:
Wenn du einen großen Lancom hast, wäre die HA-Option ggf. auch möglich:
https://www.lancom-systems.de/produkte/software-optionen/lancom-high-ava ...
Gruß
em-pie
Lass das Transfernetz zwischen beiden ruhig so klein wie möglich. Es soll ja nur zum Transfer dienen, alles andere hat da nichts zu suchen und birgt ein Sicherheitsrisiko.
Ansonsten an der OpenSense das NAT deaktivieren, macht dir nur „sorgen“.
Die VPNs:
Kannst auch für alle VPN-Clients (sind es nur Clients oder auch S2S VPNs?) ein Netz wählen, aber die Kommunikation untereinander unterbinden (kann der Lancom sicherlich, habe gerade das Featureset nicht auf dem Schirm).
Zur Regulierung der Clients zu den VLANs:
Maximal kannst du beiden Kisten die Zugriffe über die jeweilige Firewall regulieren. Hat den Vorteil: ist eine Kiste kompromittiert, regelt die andere weiter ab. Nachteil: doppelter Aufwand bei der Administration. Ansonsten „suche dir eine aus“....
Ansonsten an der OpenSense das NAT deaktivieren, macht dir nur „sorgen“.
Die VPNs:
Kannst auch für alle VPN-Clients (sind es nur Clients oder auch S2S VPNs?) ein Netz wählen, aber die Kommunikation untereinander unterbinden (kann der Lancom sicherlich, habe gerade das Featureset nicht auf dem Schirm).
Zur Regulierung der Clients zu den VLANs:
Maximal kannst du beiden Kisten die Zugriffe über die jeweilige Firewall regulieren. Hat den Vorteil: ist eine Kiste kompromittiert, regelt die andere weiter ab. Nachteil: doppelter Aufwand bei der Administration. Ansonsten „suche dir eine aus“....