Lancom Site2Site und Routing?
Hallo, evtl kann mir hier jemand mit einem VPN Problem an Lancom Routern weiterhelfen?!
Ich habe 2 Standorte mit Lancom VPN Routern im Site2Site VPN. Einer der Router hat keine öffentliche IP im Internet (NAT), mit diesem baue ich eine VPN Verbindung zu einem Lancom auf, der eine öffentliche IP hat.
In und zwischen den lokalen Netzen funktioniert alles und ich kann jede IP aus jedem Netz erreichen (auch einen Webserver im Netz ohne öffentliche IP)
Jetzt würde ich gerne auf der Seite mit der öffentlichen IP ein Portforwarding? auf den Webserver im entfernten Netz realisieren um den diesen aus dem Internet zu erreichen (Sicherheitsbedenken mal außen vor lassen!) Leider gelingt mir der Zugriff nicht....
Evtl hat ja jemand eine Idee
DANKE
Ich habe 2 Standorte mit Lancom VPN Routern im Site2Site VPN. Einer der Router hat keine öffentliche IP im Internet (NAT), mit diesem baue ich eine VPN Verbindung zu einem Lancom auf, der eine öffentliche IP hat.
In und zwischen den lokalen Netzen funktioniert alles und ich kann jede IP aus jedem Netz erreichen (auch einen Webserver im Netz ohne öffentliche IP)
Jetzt würde ich gerne auf der Seite mit der öffentlichen IP ein Portforwarding? auf den Webserver im entfernten Netz realisieren um den diesen aus dem Internet zu erreichen (Sicherheitsbedenken mal außen vor lassen!) Leider gelingt mir der Zugriff nicht....
Evtl hat ja jemand eine Idee
DANKE
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 616438
Url: https://administrator.de/contentid/616438
Ausgedruckt am: 22.11.2024 um 10:11 Uhr
2 Kommentare
Neuester Kommentar
Das kann auch nicht klappen. Wenn du dir den IP Paket Flow einmal selber vor Augen führst kommst du auch von selber drauf.
Das Paket kommt von der Absender IP x am Port Forwarding Port Router A an. Der forwardet das Paket dann über sein VPN an den Webserver im anderen IP Netz. Im Antwortpaket (Rückroute) des Webservers steht nun die Adresse x natürlich als Zieladresse. Kommt dieses Paket am lokalen Router an routet er das aber natürlich nicht in den VPN Tunnel sondern direkt über seine Internet Verbindung an den Absender x. Der sieht als Resultat davon jetzt mit einmal eine völlig andere IP Absenderadresse im Antwort Paket als die die er zuvor als Zieladresse benutzt hat und darauf hin verwirft sein TCP/IP Stack dann sofort die Session.
Logisch also das das dann in die Hose geht !
Du kannst das nur lösen indem du am Port Forwarding Router ein 1:1 NAT (Adress Translation) machst und die Absender IP x in eine lokale IP umsetzt.
Dann "denkt" der VPN Router auf der anderen Seite das der Traffic von einer lokalen IP dort kommt und sendet die Rückantwort des Servers auch über den VPN Tunnel wieder zurück an die 1:1 NAT Adresse und diese dann wieder ins Internet zum Absender. Diesmal dann mit der richtigen IP.
Ein kleines bisschen mehr Konfig Aufwand als simples Port Forwarding ist also schon erforderlich....
Das Paket kommt von der Absender IP x am Port Forwarding Port Router A an. Der forwardet das Paket dann über sein VPN an den Webserver im anderen IP Netz. Im Antwortpaket (Rückroute) des Webservers steht nun die Adresse x natürlich als Zieladresse. Kommt dieses Paket am lokalen Router an routet er das aber natürlich nicht in den VPN Tunnel sondern direkt über seine Internet Verbindung an den Absender x. Der sieht als Resultat davon jetzt mit einmal eine völlig andere IP Absenderadresse im Antwort Paket als die die er zuvor als Zieladresse benutzt hat und darauf hin verwirft sein TCP/IP Stack dann sofort die Session.
Logisch also das das dann in die Hose geht !
Du kannst das nur lösen indem du am Port Forwarding Router ein 1:1 NAT (Adress Translation) machst und die Absender IP x in eine lokale IP umsetzt.
Dann "denkt" der VPN Router auf der anderen Seite das der Traffic von einer lokalen IP dort kommt und sendet die Rückantwort des Servers auch über den VPN Tunnel wieder zurück an die 1:1 NAT Adresse und diese dann wieder ins Internet zum Absender. Diesmal dann mit der richtigen IP.
Ein kleines bisschen mehr Konfig Aufwand als simples Port Forwarding ist also schon erforderlich....
Ist möglich, aber da musst du etwas händisch eingreifen.
Und zwar musst zumindest der Host, der erreichbar sein soll, über Policy Based Routing die Default-Route über den VPN-Tunnel haben und du musst auf beiden Seiten den VPN-Tunnel so anpassen, dass die Regelerzeugung auf manuell steht und so konfiguriert werden, dass die Seite mit der öffentlichen IP-Adresse tunnelseitig die 0.0.0.0/0 hat.
Und zwar musst zumindest der Host, der erreichbar sein soll, über Policy Based Routing die Default-Route über den VPN-Tunnel haben und du musst auf beiden Seiten den VPN-Tunnel so anpassen, dass die Regelerzeugung auf manuell steht und so konfiguriert werden, dass die Seite mit der öffentlichen IP-Adresse tunnelseitig die 0.0.0.0/0 hat.