3
LANCOM: Separierte Netze über VPN verbinden
Hallo zusammen,
ich möchte gerne zwei Standorte per IPSEC-IKEv2-VPN auf zwei LANCOM-Routern miteinander verbinden. An jedem Standort gibt es jeweils drei separierte Netze, die ich mit dem korrespondierenden Netz am jeweils anderen Standort verbinden möchte:
Standort A DATEN (10.55.0.X) mit Standort B DATEN (10.56.0.X)
Standort A TEL (10.55.1.X) mit Standort B TEL (10.56.1.X)
Standort A MGMT (10.55.2.X) mit Standort B MGMT (10.56.2.X)
Bisher sind die Netze an jedem Standort jeweils mit Routing-Tags voneinander separiert und können nicht aufeinander zugreifen. Dies soll auch so bleiben, ich möchte, dass aus den drei Netzen jeweils nur auf das korrespndierende Netz am anderen Standort zugegriffen werden kann. Meine Frage ist, wie realisiere ich hier am besten die VPN-Verbindung. Aktuell scheint es drei Möglichkeiten zu geben:
1. Drei unabhängige VPN-Tunnel konfigurieren: Sicher aber wahrscheinlich mit hohen Performance-Einbußen
2. Ein gemeinsamer VPN-Tunnel und mit dem (laut Wikipedia veralteten?) PPTP-Protokoll den VPN-Tunnel aufteilen. Leider hält die LANCOM KB hierzu keine Anleitung vor...
3. Einen gemeinsamen VPN-Tunnel nehmen und dann per Paketfilter/Firewall am Zielnetz die Datenpakete wieder ins richtige Netz sortieren oder ggf. verwerfen. Hier kann man sich aber Angriffe vorstellen, wenn ein Angreifer aus dem inneren Netz seine Absendeadresse fälschen kann.
Welche Lösung würdet Ihr bevorzugen oder gibt es am Ende eine noch bessere Lösung? Wie seht Ihr die Unterschiede in der Sicherheit zwischen den verschiedenen Ansätzen? Mir scheint, dass separate VPN-Tunnel die höchste Sicherheit liefern würden und wirklich eine Netztrennung sicherstellen würden. Oder täusche ich mich da?
Vielen Dank für einen Tipp!
Peter
ich möchte gerne zwei Standorte per IPSEC-IKEv2-VPN auf zwei LANCOM-Routern miteinander verbinden. An jedem Standort gibt es jeweils drei separierte Netze, die ich mit dem korrespondierenden Netz am jeweils anderen Standort verbinden möchte:
Standort A DATEN (10.55.0.X) mit Standort B DATEN (10.56.0.X)
Standort A TEL (10.55.1.X) mit Standort B TEL (10.56.1.X)
Standort A MGMT (10.55.2.X) mit Standort B MGMT (10.56.2.X)
Bisher sind die Netze an jedem Standort jeweils mit Routing-Tags voneinander separiert und können nicht aufeinander zugreifen. Dies soll auch so bleiben, ich möchte, dass aus den drei Netzen jeweils nur auf das korrespndierende Netz am anderen Standort zugegriffen werden kann. Meine Frage ist, wie realisiere ich hier am besten die VPN-Verbindung. Aktuell scheint es drei Möglichkeiten zu geben:
1. Drei unabhängige VPN-Tunnel konfigurieren: Sicher aber wahrscheinlich mit hohen Performance-Einbußen
2. Ein gemeinsamer VPN-Tunnel und mit dem (laut Wikipedia veralteten?) PPTP-Protokoll den VPN-Tunnel aufteilen. Leider hält die LANCOM KB hierzu keine Anleitung vor...
3. Einen gemeinsamen VPN-Tunnel nehmen und dann per Paketfilter/Firewall am Zielnetz die Datenpakete wieder ins richtige Netz sortieren oder ggf. verwerfen. Hier kann man sich aber Angriffe vorstellen, wenn ein Angreifer aus dem inneren Netz seine Absendeadresse fälschen kann.
Welche Lösung würdet Ihr bevorzugen oder gibt es am Ende eine noch bessere Lösung? Wie seht Ihr die Unterschiede in der Sicherheit zwischen den verschiedenen Ansätzen? Mir scheint, dass separate VPN-Tunnel die höchste Sicherheit liefern würden und wirklich eine Netztrennung sicherstellen würden. Oder täusche ich mich da?
Vielen Dank für einen Tipp!
Peter
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 448806
Url: https://administrator.de/contentid/448806
Ausgedruckt am: 24.11.2024 um 21:11 Uhr
3 Kommentare
Neuester Kommentar
Lösung 3 ist der richtige Weg !
Die Absendeadresse zu fälschen ist ja Unsinn und bringt nichts, denn dann kommt dieser Client schon gar nicht mehr auf den Router selber weil die Gateway IP dann nicht mehr stimmt und damit unerreichbar ist. Da kannst du also beruhigt sein.
Ebenso separate Tunnel ist eine Sackgasse. Da musst du nicht nur mit der Router Firewall an den LAN Interfaces filtern sondern zusätzlich noch an den separaten Tunnelinterfaces. Sowas ist unmanagebar und extrem fehleranfällig. Von der Performance mal gar nicht zu reden.
Mit Nr. 3 machst du alles richtig...
Die Absendeadresse zu fälschen ist ja Unsinn und bringt nichts, denn dann kommt dieser Client schon gar nicht mehr auf den Router selber weil die Gateway IP dann nicht mehr stimmt und damit unerreichbar ist. Da kannst du also beruhigt sein.
Ebenso separate Tunnel ist eine Sackgasse. Da musst du nicht nur mit der Router Firewall an den LAN Interfaces filtern sondern zusätzlich noch an den separaten Tunnelinterfaces. Sowas ist unmanagebar und extrem fehleranfällig. Von der Performance mal gar nicht zu reden.
Mit Nr. 3 machst du alles richtig...
Vielen Dank für die promte Antwort. Das ist gut zu hören, dass dieser einfachere Ansatz auch sicher ist, das würde vieles erleichtern. Ich habe nochmal zu PPTP bei LANCOM gesucht und außer diesem Whitepaper (dort unter Multi-VPN) leider nichts gefunden. Was ist also der Vorteil, wenn man PPTP-Tunnel über IPSEC macht? Nur, dass man sich keine Gedanken über IP-Adressdopplungen machen muss? Irgendwie bin ich da etwas verwirrt...
Peter
Peter
Ich habe nochmal zu PPTP bei LANCOM gesucht
Das hier sagt alles zu dem Thema:https://www.heise.de/security/artikel/Der-Todesstoss-fuer-PPTP-1701365.h ...
Muss man sicher nichts weiteres mehr zu sagen...
Was ist also der Vorteil, wenn man PPTP-Tunnel über IPSEC macht?
Das ist völliger Unsinn !Welchen logischen Sinn sollte es denn haben in einem sicheren Tunnel nochmal einen unsicheren Tunnel zu etablieren ?
Überlege mal selber, da hast du ein doppeltes MTU Problem und wenn du noch obendrein xDSL machst noch einmal eine MTU Reduzierung. Da kommen dann nachher nur 1k Framegrößen durch den Tunnel. Vergiss den Unsinn... Zumal oben zum Thema PPTP ja schon alles gesagt ist.
Wenn überhaupt, kannst du dadrüber GRE Tunnel machen. Das würde noch Sinn machen aber vermutlich supportet das der billige Lancom gar nicht ?!
Cisco, Mikrotik, pfSense VPN Standort Vernetzung mit dynamischem Routing
