24
Mehrere IPSec Tunnel
Hallo Leute
Der Titel ist etwas oberflächlich gehalten, aber ich versuche meine Frage im Folgenden zu erläutern.
Im Folgenden Bild sind drei Netzwerke zu sehen. Im LAN 01 liegen zwei Router über denen mit IPSec im Transportmodus zwei gesicherte Verbindungen aufgebaut werden (Site-to-Site). Eine zu LAN 02 und eine zu LAN 03.
Dabei handelt es sich bei LAN 03 um einen unserer Standorte und bei LAN 02 um einen Dienstleister der einen Router bereitstellt welcher bereits vorkonfiguriert ist. Das Problem dass ich dabei habe ist, ich kann im LAN 01 nicht beide IPSec Tunnel in einem Router terminieren da der vom Dienstleister zugesendete Router dafür zwingend verwendet werden muss. Aber ich möchte auch zu dem anderen Standort eine IPSec Verbindung haben.
Beim Router vom Dienstleister handelt es sich um ein LANCOM und beim zweiten (für unsere Standorte) einen D-Link dsr-1000n.
Der LANCOM kann nicht ausgewechselt werden, der D-Link hingegen schon. Vorschläge sind willkommen.
Meine Frage die sich stellt ist die, wenn sich beispielsweise der Router vom LAN 02 eine Verbindung (per VPN) zu LAN 01 aufbauen möchte, woher weiss der Router bei LAN 01 das diese angeforderte IPSec Verbindung für den anderen Router im Netzwerk bestimmt ist? Wenn ich die Portweiterleitung auf den umstelle, kann dann die Verbindung mit LAN 03 noch funktionieren?
Ich habe zwar den Artikel (IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen) von spacyfreak durchgelesen, aber diese Frage blieb offen. IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen
Ich bin für jede Hilfe sehr dankbar!
Der Titel ist etwas oberflächlich gehalten, aber ich versuche meine Frage im Folgenden zu erläutern.
Im Folgenden Bild sind drei Netzwerke zu sehen. Im LAN 01 liegen zwei Router über denen mit IPSec im Transportmodus zwei gesicherte Verbindungen aufgebaut werden (Site-to-Site). Eine zu LAN 02 und eine zu LAN 03.
Dabei handelt es sich bei LAN 03 um einen unserer Standorte und bei LAN 02 um einen Dienstleister der einen Router bereitstellt welcher bereits vorkonfiguriert ist. Das Problem dass ich dabei habe ist, ich kann im LAN 01 nicht beide IPSec Tunnel in einem Router terminieren da der vom Dienstleister zugesendete Router dafür zwingend verwendet werden muss. Aber ich möchte auch zu dem anderen Standort eine IPSec Verbindung haben.
Beim Router vom Dienstleister handelt es sich um ein LANCOM und beim zweiten (für unsere Standorte) einen D-Link dsr-1000n.
Der LANCOM kann nicht ausgewechselt werden, der D-Link hingegen schon. Vorschläge sind willkommen.
Meine Frage die sich stellt ist die, wenn sich beispielsweise der Router vom LAN 02 eine Verbindung (per VPN) zu LAN 01 aufbauen möchte, woher weiss der Router bei LAN 01 das diese angeforderte IPSec Verbindung für den anderen Router im Netzwerk bestimmt ist? Wenn ich die Portweiterleitung auf den umstelle, kann dann die Verbindung mit LAN 03 noch funktionieren?
Ich habe zwar den Artikel (IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen) von spacyfreak durchgelesen, aber diese Frage blieb offen. IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen
Ich bin für jede Hilfe sehr dankbar!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 193003
Url: https://administrator.de/contentid/193003
Ausgedruckt am: 16.11.2024 um 03:11 Uhr
24 Kommentare
Neuester Kommentar
Sers,
du kannst im DLink so routen dass Traffic für das Netz 10.3.10.0 an die IP 10.3.3.1 routet (der ja dann weiter nach 10.3.30.0 routet). Musst einfach nur ne Transportregel aufstellen, logischerweise geltend für beide Richtungen.
Das ganze kannst du über "Rules" und "Routing" auf dem DLink realisieren. Über den Teil Routing kannst du z.B. ganz klar definieren wie welche Netze zu erreichen sind.
Das Handbuch ist hier dein bester Freund.
Eventuell müssen, falls Zugriff des Dienstleisters auf eure anderen Standorte von euch gewünscht ist, auch noch die Router 10.3.10.1 und 10.3.3.1 angepasst werden.
Grüße,
Philip
du kannst im DLink so routen dass Traffic für das Netz 10.3.10.0 an die IP 10.3.3.1 routet (der ja dann weiter nach 10.3.30.0 routet). Musst einfach nur ne Transportregel aufstellen, logischerweise geltend für beide Richtungen.
Das ganze kannst du über "Rules" und "Routing" auf dem DLink realisieren. Über den Teil Routing kannst du z.B. ganz klar definieren wie welche Netze zu erreichen sind.
Das Handbuch ist hier dein bester Freund.
Eventuell müssen, falls Zugriff des Dienstleisters auf eure anderen Standorte von euch gewünscht ist, auch noch die Router 10.3.10.1 und 10.3.3.1 angepasst werden.
Grüße,
Philip
Sofern die Tunnel aus Internetsicht alle auf derselben IP-Adresse landen, hast Du ein Problem, weil Du Ports nicht so einfach weiterleiten kannst, ohne den anderen Tunnel zu stören.
Sofern Du auf den LANCOm Zugriff hast, könntest Du natürlich beide Tunnel im LANcom enden lassen.
Andere Möglichkeit wäre, durch passende regeln auf einem Router im LAN 1 IPSEC-Pakete vom dienstleister, der hoffentlich eine feste IP-Adresse hat, direkt zum LANcom per source-based-routing zum LANCOM durchzurouten. Könnte z.B. durch iptables auf eienr linux-Kiste gemacht werden.
lks
Sofern Du auf den LANCOm Zugriff hast, könntest Du natürlich beide Tunnel im LANcom enden lassen.
Andere Möglichkeit wäre, durch passende regeln auf einem Router im LAN 1 IPSEC-Pakete vom dienstleister, der hoffentlich eine feste IP-Adresse hat, direkt zum LANcom per source-based-routing zum LANCOM durchzurouten. Könnte z.B. durch iptables auf eienr linux-Kiste gemacht werden.
lks
Hallo Leute
@ lks
Eine Möglichkeit die sich vielleicht anbietet wäre folgende: Beim D-Link DSR-1000N handelt es sich um einen Dual WAN Router. Da könnte ich die Polycis entsprechend einstellen dass die VPN Kanäle über verschiedene (öffentliche) IP-Adresse laufen. Wobei ich eigentlich mit dem Dual-WAN auf Redundanz bauen möchte.
Ein anderer Punkt der mir einfällt ist dass, LANCOM seit der Version 8 IPSec-over-HTTPS unterstützt. Ich weiss jetzt nicht ob es sich dabei um SSL VPN handelt, so dass nur Browser Anwendungen möglich sind. Denn in dem Fall wäre das keine Option für mich.
Würden die IPSec Verbindung zum LANCOM über HTTPS getunnelt werden, so hätte ja dieser für die Verbindungen einen festen TCP Port. Oder fungiert in diesem Fall der LANCOM von uns als normaler Client und initiiert selber die Verbindung - so dass in meinem Netzwerk nicht mal zwingend eine statische IP notwendig wäre (wie mobile Clients). Das soll nicht heissen dass ich keine statische IP habe.
Vielen Dank für deine Hilfe lks.
@Philip
Das Problem sind nicht die Routen für die Netze später, sondern für den IPSec Verbindungsaufbaut zwischen LAN 02 und LAN 01. Da im LAN 01 zwei verschiedene Router sind die IPSec Verbindungen terminieren. Über dieselbe öffentliche IP Adresse.
Danke für deine Hilfe.
Gruss
@ lks
Eine Möglichkeit die sich vielleicht anbietet wäre folgende: Beim D-Link DSR-1000N handelt es sich um einen Dual WAN Router. Da könnte ich die Polycis entsprechend einstellen dass die VPN Kanäle über verschiedene (öffentliche) IP-Adresse laufen. Wobei ich eigentlich mit dem Dual-WAN auf Redundanz bauen möchte.
Ein anderer Punkt der mir einfällt ist dass, LANCOM seit der Version 8 IPSec-over-HTTPS unterstützt. Ich weiss jetzt nicht ob es sich dabei um SSL VPN handelt, so dass nur Browser Anwendungen möglich sind. Denn in dem Fall wäre das keine Option für mich.
Würden die IPSec Verbindung zum LANCOM über HTTPS getunnelt werden, so hätte ja dieser für die Verbindungen einen festen TCP Port. Oder fungiert in diesem Fall der LANCOM von uns als normaler Client und initiiert selber die Verbindung - so dass in meinem Netzwerk nicht mal zwingend eine statische IP notwendig wäre (wie mobile Clients). Das soll nicht heissen dass ich keine statische IP habe.
Vielen Dank für deine Hilfe lks.
@Philip
Das Problem sind nicht die Routen für die Netze später, sondern für den IPSec Verbindungsaufbaut zwischen LAN 02 und LAN 01. Da im LAN 01 zwei verschiedene Router sind die IPSec Verbindungen terminieren. Über dieselbe öffentliche IP Adresse.
Danke für deine Hilfe.
Gruss
Moin,
Muß der LANcom direkt an der öffentlichen IP hängen? wenn nciht, könntest Du, wie oben schon vorgeschlagen einen anderen Router reinhängen (könnte sogar ein alix nach aquis Bauanleitung sein) der einfach die IPSEC-verbindungen policy-based an die beiden Router verteilt.
lks
Muß der LANcom direkt an der öffentlichen IP hängen? wenn nciht, könntest Du, wie oben schon vorgeschlagen einen anderen Router reinhängen (könnte sogar ein alix nach aquis Bauanleitung sein) der einfach die IPSEC-verbindungen policy-based an die beiden Router verteilt.
lks
Zitat von @Lochkartenstanzer:
Moin,
Muß der LANcom direkt an der öffentlichen IP hängen? wenn nciht, könntest Du, wie oben schon vorgeschlagen
einen anderen Router reinhängen (könnte sogar ein alix nach aquis Bauanleitung sein) der einfach die IPSEC-verbindungen
policy-based an die beiden Router verteilt.
lks
Moin,
Muß der LANcom direkt an der öffentlichen IP hängen? wenn nciht, könntest Du, wie oben schon vorgeschlagen
einen anderen Router reinhängen (könnte sogar ein alix nach aquis Bauanleitung sein) der einfach die IPSEC-verbindungen
policy-based an die beiden Router verteilt.
lks
Hab das Bild nochmals bearbeitet und die Router mit der Hardwarebezeichnung gekennzeichnet. Der LANCOM hängt zurzeit an der öffentlichen IP. Dies soll sich aber ändern, da nun weitere VPN Verbindungen dazukommen sollen. Und in solch einem Fall. müssen ja die entsprechenden Weiterleitungen eingerichtet werden. Ich muss noch mit dem Dienstleister abklären, wie die IPSec Verbindung eingerichtet ist (UDP?!?, TCP?!?), damit ich die Weiterleitung entsprechend konfigurieren kann.
Da der D-Link ein Dual WAN Router ist, möchte ich diesen an die öffentliche IP Adresse(n), und von dem aus auch weitere IPSec Tunnel terminieren. Ob der DSR-1000n "source-based-routing" unterstützt bin ich mir nicht sicher.
Ich muss mir das Handbuch noch genau anschauen.
Gruss
...Da im LAN 01 zwei verschiedene Router sind die IPSec Verbindungen terminieren...
Das funktioniert logischerweise nicht wenn die Router kaskadiert sind oder wenn der erste Router auch eine IPsec Verbindung Terminieren muss und zudem noch NAT ins interne Netz macht !
Man müsste dann mit Port Forwarding arbeiten was aber fehlschlägt wenn der Eingangsrouter schon IPsec macht.
Eine Kaskadierung kannst du also vergessen die ist technisch unmöglich.
Anders ist die Sache wenn die beiden Router mit unterschiedlichen öffentlichen IPs am Internet hängen also quasi parallel. Dann ist das machbar ebenso wie mit einem Dial Port WAN Router, denn der hat ja 2 IP Adressen mit denen er angesprochen werden kann.
Nur in so einem Design ist das möglich.
Andere Option ist mit OpenVPN zu arbeiten:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Da kannst du die Ports des SSL Links selber bestimmen und entsprechend forwarden.
Das funktioniert logischerweise nicht wenn die Router kaskadiert sind oder wenn der erste Router auch eine IPsec Verbindung Terminieren muss und zudem noch NAT ins interne Netz macht !
Man müsste dann mit Port Forwarding arbeiten was aber fehlschlägt wenn der Eingangsrouter schon IPsec macht.
Eine Kaskadierung kannst du also vergessen die ist technisch unmöglich.
Anders ist die Sache wenn die beiden Router mit unterschiedlichen öffentlichen IPs am Internet hängen also quasi parallel. Dann ist das machbar ebenso wie mit einem Dial Port WAN Router, denn der hat ja 2 IP Adressen mit denen er angesprochen werden kann.
Nur in so einem Design ist das möglich.
Andere Option ist mit OpenVPN zu arbeiten:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Da kannst du die Ports des SSL Links selber bestimmen und entsprechend forwarden.
Oder durch entsprechendes Routing/NAT nach Source-IP (= tricksen z.B. mit iptables & Co.)
Ist aber etwas knifflig, das ganze Sauber zu implementieren.
lks
Hallo
Nach diesem Thread hier Versteh nur Bahnhof beim Einrichten der IPSec VPN Verbindung auf dem D-Link Router, werde ich wohl so oder so auf diesen D-Link DSR-1000N verzichten und diesen unverzüglich zurück senden. Ich werde mir deine Anleitungen bezüglich OpenVPN und PFsense anschauen und wohl darauf bauen.
Zum Verständnis hätte ich aber noch die Frage wie das mit dem IPsec-over-HTTPS ist. Würde der LANCOM im LAN 01 mit dieser Konfiguration laufen, wie wäre das in solch einem Fall? Würde der LANCOM im LAN 01 jedes Mal die Verbindung initiieren? So dass theoretisch nicht einmal eine statische IP (im LAN 01) vonnöten wäre?
Danke für deine Hilfe aqui.
Zitat von @aqui:
Andere Option ist mit OpenVPN zu arbeiten:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Da kannst du die Ports des SSL Links selber bestimmen und entsprechend forwarden.
Andere Option ist mit OpenVPN zu arbeiten:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Da kannst du die Ports des SSL Links selber bestimmen und entsprechend forwarden.
Nach diesem Thread hier Versteh nur Bahnhof beim Einrichten der IPSec VPN Verbindung auf dem D-Link Router, werde ich wohl so oder so auf diesen D-Link DSR-1000N verzichten und diesen unverzüglich zurück senden. Ich werde mir deine Anleitungen bezüglich OpenVPN und PFsense anschauen und wohl darauf bauen.
Zum Verständnis hätte ich aber noch die Frage wie das mit dem IPsec-over-HTTPS ist. Würde der LANCOM im LAN 01 mit dieser Konfiguration laufen, wie wäre das in solch einem Fall? Würde der LANCOM im LAN 01 jedes Mal die Verbindung initiieren? So dass theoretisch nicht einmal eine statische IP (im LAN 01) vonnöten wäre?
Danke für deine Hilfe aqui.
Du musst ja immer einen Tunnelendpunkt definieren für jeden Tunnel. Das ist eine Ziel IP Adresse...logisch. Das ist immer so egal welches Tunnelprotokoll du verwendest.
Das Problem ist dann wieder bei einer Router Kaskade das du für den Router hinter dem NAT Router Port Forwarding eingeben musst. Bei der HTTPS Encapsulierung ist das dann TCP 443. Das würde ggf. klappen. Nachteil ist dann in deinem Design das du mit unterschiedlichen Tunnelprotokollen fährst was deine gesamte VPN Vernetzung unnötig verkompliziert und schwerer macht zum Troubleshooten.
Zudem ist diese Encapsulation recht selten (vermutlich proprietär) mal abgesehen von dem erheblich größeren Protokoll Overhead und dem kleineren Anteil von Nutzdaten im Paket.
Ggf. wäre damit aber eine Lösung möglich. Ist die Frage ob du dir diese Frickelei antun willst ?!
D-Link ist nun aber nicht gerade bekannt für gute VPN Produkte also überlege dir das gut. Das ist Billighardware vom untersten Ende für die die beim Blödmarkt nix ausgeben wollen.
Ein verlässliches Firmennetz damit zu betreiben ist eigentlich außerhalb jeglicher Diskussion.
Das Problem ist dann wieder bei einer Router Kaskade das du für den Router hinter dem NAT Router Port Forwarding eingeben musst. Bei der HTTPS Encapsulierung ist das dann TCP 443. Das würde ggf. klappen. Nachteil ist dann in deinem Design das du mit unterschiedlichen Tunnelprotokollen fährst was deine gesamte VPN Vernetzung unnötig verkompliziert und schwerer macht zum Troubleshooten.
Zudem ist diese Encapsulation recht selten (vermutlich proprietär) mal abgesehen von dem erheblich größeren Protokoll Overhead und dem kleineren Anteil von Nutzdaten im Paket.
Ggf. wäre damit aber eine Lösung möglich. Ist die Frage ob du dir diese Frickelei antun willst ?!
D-Link ist nun aber nicht gerade bekannt für gute VPN Produkte also überlege dir das gut. Das ist Billighardware vom untersten Ende für die die beim Blödmarkt nix ausgeben wollen.
Ein verlässliches Firmennetz damit zu betreiben ist eigentlich außerhalb jeglicher Diskussion.
Zitat von @aqui:
Das würde ggf. klappen. Nachteil ist dann in deinem Design das du mit unterschiedlichen Tunnelprotokollen fährst was deine gesamte VPN Vernetzung unnötig verkompliziert und schwerer macht zum Troubleshooten.
Ich denke das wird jedoch nicht notwendig sein. Mir ist zwar nicht bekannt wie der LANCOM zurzeit die IPSec Verbindung durchführt, aber das würde sich erübrigen wenn ich beispielsweise - wie von die vorgeschlagen - OpenVPN einsetzten würde.Das würde ggf. klappen. Nachteil ist dann in deinem Design das du mit unterschiedlichen Tunnelprotokollen fährst was deine gesamte VPN Vernetzung unnötig verkompliziert und schwerer macht zum Troubleshooten.
Zudem ist diese Encapsulation recht selten (vermutlich proprietär) mal abgesehen von dem erheblich größeren
Protokoll Overhead und dem kleineren Anteil von Nutzdaten im Paket.
Hab das bisher auch nur bei LANCOM gesehen. Daher denke ich auch dass das proprietär sein muss.Protokoll Overhead und dem kleineren Anteil von Nutzdaten im Paket.
D-Link ist nun aber nicht gerade bekannt für gute VPN Produkte also überlege dir das gut. Das ist Billighardware vom
untersten Ende für die die beim Blödmarkt nix ausgeben wollen.
Ein verlässliches Firmennetz damit zu betreiben ist eigentlich außerhalb jeglicher Diskussion.
Werde mir auf jeden Fall die Hardwarelösungen anschauen welche PFsense untersützt/unterstützen. Gibt es bei PFSense auch eine Art Kapazitätslimit wie bei der m0n0wall (wenn ich mich nicht irre habe ich das mal bei deinen Anleitungen gelesen...).untersten Ende für die die beim Blödmarkt nix ausgeben wollen.
Ein verlässliches Firmennetz damit zu betreiben ist eigentlich außerhalb jeglicher Diskussion.
Hallo
Ich konnte das nun in einem Testlauf mit pfSense realisieren. Hat auch wunderbar geklappt (mit dem VPN Passtrough). OpenVPN habe ich zwar noch nicht getestet, aber das werde ich noch.
Für den Zugriff vom Client mit der IP Adresse 10.3.3.100 (aus meinem Netzwerk) in das VPN Netz, war eine Route im pfSense notwendig. Soweit kein Problem. Aber dafür musste ich das Netz wie im folgenden Bild einrichten.
Die Route sieht quasi so aus, dass sie über den Port der pfSense (welcher als DHCP Client konfiguriert ist) verlauft. Der LANCOM geht dann anschliessend über seinen WAN Port raus.
Ich habe damit kein Problem, funktionieren tut alles. Aber mache ich da vielleicht einen Denkfehler (dass ich den LANCOM zweimal anschliessen muss) und es würde auch anders funktionieren? Oder müsste ich dafür auf das LANCOM Gerät zugreifen (was mir nicht erlaubt ist)?
Ich konnte das nun in einem Testlauf mit pfSense realisieren. Hat auch wunderbar geklappt (mit dem VPN Passtrough). OpenVPN habe ich zwar noch nicht getestet, aber das werde ich noch.
Für den Zugriff vom Client mit der IP Adresse 10.3.3.100 (aus meinem Netzwerk) in das VPN Netz, war eine Route im pfSense notwendig. Soweit kein Problem. Aber dafür musste ich das Netz wie im folgenden Bild einrichten.
Die Route sieht quasi so aus, dass sie über den Port der pfSense (welcher als DHCP Client konfiguriert ist) verlauft. Der LANCOM geht dann anschliessend über seinen WAN Port raus.
Ich habe damit kein Problem, funktionieren tut alles. Aber mache ich da vielleicht einen Denkfehler (dass ich den LANCOM zweimal anschliessen muss) und es würde auch anders funktionieren? Oder müsste ich dafür auf das LANCOM Gerät zugreifen (was mir nicht erlaubt ist)?
Mmmhhh...die Frage ist was du genau machen willst. Vermutlich ein Denkfehler, denn so ein Szenario der doppelten Anbindung ist eigentlich Unsinn, es sei denn du willst sowohl mit OVPN aus der pfSense und dem IPsec VPN über den Lancom auf ein und dasselbe lokale LAN Segment zugreifen...?
Durch das ganze Hin und Her ist dein Ziel hier etwas unklar geworden....
Durch das ganze Hin und Her ist dein Ziel hier etwas unklar geworden....
Zitat von @aqui:
Mmmhhh...die Frage ist was du genau machen willst. Vermutlich ein Denkfehler, denn so ein Szenario der doppelten Anbindung ist
eigentlich Unsinn, es sei denn du willst sowohl mit OVPN aus der pfSense und dem IPsec VPN über den Lancom auf ein und
dasselbe lokale LAN Segment zugreifen...?
Durch das ganze Hin und Her ist dein Ziel hier etwas unklar geworden....
Mmmhhh...die Frage ist was du genau machen willst. Vermutlich ein Denkfehler, denn so ein Szenario der doppelten Anbindung ist
eigentlich Unsinn, es sei denn du willst sowohl mit OVPN aus der pfSense und dem IPsec VPN über den Lancom auf ein und
dasselbe lokale LAN Segment zugreifen...?
Durch das ganze Hin und Her ist dein Ziel hier etwas unklar geworden....
Bisher ist es so.
[INTERNET]--[MODEM]--[LANCOM]--[LOKALES NETZ]Dafür muss es so aussehen:
[INTERNET]--[MODEM]--[pfSense]--[LOKALES NETZ]
|
[LANCOM]Es wird dann zwar mehrere lokale Netze geben (VLAN's) aber das ist jetzt mal unwichtig. Die würden dann auch alle am pfSense dran hängen. Es sollen keine Arbeitsstationen an das LANCOM angebracht werden.
Dazu kommt dass auf der pfSense später eine OpenVPN Verbindung terminiert werden soll. Das lokale Netz soll dann auf alle Netze Zugriff haben, sowohl auf das VPN vom Dienstleister (was auf dem LANCOM terminiert wird) als auch auf das was in der pfSense terminiert ist. Zwar werden nicht alle Netzte diese Verbindungen benötigen, aber das kann mit entsprechenden Firewall Regeln dann angepasst werden.
Ich muss ehrlich gestehen, dass ich beim LANCOM noch nicht überprüft habe ob es nur mit einer Verbindung funktioniert. Aber in einem virtuellen Versuch mit VMWare hat es nicht funktioniert. Eine weitere Verbindung war notwendig. Daher habe ich den Testlauf beim praktischen Versuch gleich mit zwei Verbindungen gestartet und die Routen auf der pfSense entsprechend angepasst.
Hier noch ein Bild, wie die Versuche im virtuellen Testlauf aussahen.
Eigendlich die gleiche Konfiguration wie oben erwähnt.
Das ist so nicht möglich, denn dann müsste der Lancom wenn er nur einbeinig angekorkt ist an die pFSense sämtlichen incoming und outgoing Traffic über eie Leitung machen.
Das dürfte nicht gehen, weil die IPsec Verbindung nur auf dem WAN Port terminiert werden kann.
Das dürfte nicht gehen, weil die IPsec Verbindung nur auf dem WAN Port terminiert werden kann.
Zitat von @aqui:
Das ist so nicht möglich, denn dann müsste der Lancom wenn er nur einbeinig angekorkt ist an die pFSense sämtlichen
incoming und outgoing Traffic über eie Leitung machen.
Das dürfte nicht gehen, weil die IPsec Verbindung nur auf dem WAN Port terminiert werden kann.
Das ist so nicht möglich, denn dann müsste der Lancom wenn er nur einbeinig angekorkt ist an die pFSense sämtlichen
incoming und outgoing Traffic über eie Leitung machen.
Das dürfte nicht gehen, weil die IPsec Verbindung nur auf dem WAN Port terminiert werden kann.
Also ist die zweite Verbindung notwendig? Auser der LANCON würde vom Dienstleister entsprechend konfiguriert werden...?!?
Nein nicht unbedingt, du könntest das lokale Segment am Lancom mit deinem neuen lokalen LAN per Router verbinden.
Was unklar ist: Es geht doch darum das Clients oder Geräte im lokalen LAN des Lancoms andere im VPN erreichen können ?
Da du die Lancom Einstellungen nicht ändern kannst musst du doch mit diesen lokalen IPs leben. Du kannst doch jetzt so oder so das lokale LAN Segment am Lancom nicht einfach totlegen oder anderswo hinrouten deshalb ?! Dann funktioniert das VPN nicht mehr, denn das ist immer abhängig von der IP im lokalen LAN.
Irgendwie ist das unklar was du vorhast...sorry.
Was unklar ist: Es geht doch darum das Clients oder Geräte im lokalen LAN des Lancoms andere im VPN erreichen können ?
Da du die Lancom Einstellungen nicht ändern kannst musst du doch mit diesen lokalen IPs leben. Du kannst doch jetzt so oder so das lokale LAN Segment am Lancom nicht einfach totlegen oder anderswo hinrouten deshalb ?! Dann funktioniert das VPN nicht mehr, denn das ist immer abhängig von der IP im lokalen LAN.
Irgendwie ist das unklar was du vorhast...sorry.
Hallo aqui
Also ich versuche es mal so... Bisher sieht es so aus.
Das Problem an dieser Konfiguration ist, dass jeglicher Verkehr zum Dienstleister gesendet wird (auch normaler Internetverkehr). Das möchte man nicht.
Mit dem neuen Router (pfSense), möchte man völlig unabhängig vom Lancom, eigene Netze erstellen. Natürlich dürfen diese dem Lancom Netz und dem Remote Netz vom Dienstleister nicht gleichen.
Der Lancom soll halt einfach als ein Tor zu den Resourcen vom Dienstleister dienen. Nicht mehr und nicht weniger. Auf dem lokalen Port vom Lancom, läuft ein DHCP Sever (192.168.1.0/24) und der WAN Port ist als DHCP Client konfiguriert.
In Zukunft sollen kein Arbeitsplätze oder ähnliches am lokalen Port vom Lancom hängen, sondern alles an der pfSense. Nur die pfSense alleine soll entscheiden was über den Lancom geht.
Danke für deine Mühe aqui!
Also ich versuche es mal so... Bisher sieht es so aus.
Das Problem an dieser Konfiguration ist, dass jeglicher Verkehr zum Dienstleister gesendet wird (auch normaler Internetverkehr). Das möchte man nicht.
Mit dem neuen Router (pfSense), möchte man völlig unabhängig vom Lancom, eigene Netze erstellen. Natürlich dürfen diese dem Lancom Netz und dem Remote Netz vom Dienstleister nicht gleichen.
Der Lancom soll halt einfach als ein Tor zu den Resourcen vom Dienstleister dienen. Nicht mehr und nicht weniger. Auf dem lokalen Port vom Lancom, läuft ein DHCP Sever (192.168.1.0/24) und der WAN Port ist als DHCP Client konfiguriert.
In Zukunft sollen kein Arbeitsplätze oder ähnliches am lokalen Port vom Lancom hängen, sondern alles an der pfSense. Nur die pfSense alleine soll entscheiden was über den Lancom geht.
Irgendwie ist das unklar was du vorhast
Das Netz soll unabhängig von diesem Lancom sein, ich möchte selber über die Netzstruktur entscheiden.Danke für deine Mühe aqui!
OK, das macht die Sache klar.
Eine Lösung ist dann aber recht einfach:
Die Lancom Konfiguration musst du ja so belassen wie sie ist (vermutlich), denn die hat ja der Dienstleister konfiguriert und wird er ja vermutlich nicht anfassen.
Du musst also etwas tricksen und an der pfSense ein Segment nehmen wo du den WAN Anschluss des Lancom anbindest, was du ja schon gemacht hast.
Alle Endgeräte am Lancom LAN Segment nimmst du weg und setzt sie in ein neues lokales LAN mit anderer IP als die .1.0.
Damit können diese nun unabhängig vom Dienstleister ins Internet und auch eigene VPNs über die pfSense bedienen.
Um nun aber ins remote .2.0er Netz zu kommen musst du das Lancom LAN Interface irgendwie an dein neues lokales LAN ankorken.
Am einfachsten geht das mit einem kleinen NAT Router. Du könntest jeden Breitband Router aus dem Baumarkt nehmen besser ist aber etwas "zuverlässiges" wie ein Mikrotik 750 z.B. Mikrotik RB750 - Quick Review (Varia Store usw.)
Damit verbindest du das LAN Interface des lancom mit dem neuen lokalen LAN deiner Endgeräte und trägst auf der pfSense eine statische Route ein, das sie alle Pakete mit Ziel .2.0er Netzwerk via Mikrotik routet, die dann via Lancom VPN auf die remote Seite gehen.
Alles andere geht dann direkt via pfSense unabhängig vom Lancom raus !
Eine Lösung ist dann aber recht einfach:
Die Lancom Konfiguration musst du ja so belassen wie sie ist (vermutlich), denn die hat ja der Dienstleister konfiguriert und wird er ja vermutlich nicht anfassen.
Du musst also etwas tricksen und an der pfSense ein Segment nehmen wo du den WAN Anschluss des Lancom anbindest, was du ja schon gemacht hast.
Alle Endgeräte am Lancom LAN Segment nimmst du weg und setzt sie in ein neues lokales LAN mit anderer IP als die .1.0.
Damit können diese nun unabhängig vom Dienstleister ins Internet und auch eigene VPNs über die pfSense bedienen.
Um nun aber ins remote .2.0er Netz zu kommen musst du das Lancom LAN Interface irgendwie an dein neues lokales LAN ankorken.
Am einfachsten geht das mit einem kleinen NAT Router. Du könntest jeden Breitband Router aus dem Baumarkt nehmen besser ist aber etwas "zuverlässiges" wie ein Mikrotik 750 z.B. Mikrotik RB750 - Quick Review (Varia Store usw.)
Damit verbindest du das LAN Interface des lancom mit dem neuen lokalen LAN deiner Endgeräte und trägst auf der pfSense eine statische Route ein, das sie alle Pakete mit Ziel .2.0er Netzwerk via Mikrotik routet, die dann via Lancom VPN auf die remote Seite gehen.
Alles andere geht dann direkt via pfSense unabhängig vom Lancom raus !
Damit sähe die Konfiguration dan so aus,
Somit müsste ich den Lancom nicht zweimal an die pfSense anhängen.
Ich werde das morgen so mal Testweise umsetzen.
Und danach heisst es: "Frage gelöst".
Ein grosses Dankeschön.
Somit müsste ich den Lancom nicht zweimal an die pfSense anhängen.
Ich werde das morgen so mal Testweise umsetzen.
Und danach heisst es: "Frage gelöst".
Ein grosses Dankeschön.
Hallo aqui
Das mit dem weiteren Router, würde so zwar funktionieren. Aber wie wäre es damit: Statt einen weiteren Router dazwischen zu setzen (in der Abbildung als "Home Router" gekennzeichnet), einfach die LAN Seite des Lancom's am Switch zu hängen. Dieser müsste VLAN fähig sein. Und der Port an dem das Lancom hängen würde, müsste ein eigenes VLAN sein.
Weil ich möchte nicht noch weitere Hardware dazu holen. Weniger aus Kostengründen, eher deshalb, dass noch weitere Hardware vorhanden wäre die aussteigen könnte.
Danke.
Das mit dem weiteren Router, würde so zwar funktionieren. Aber wie wäre es damit: Statt einen weiteren Router dazwischen zu setzen (in der Abbildung als "Home Router" gekennzeichnet), einfach die LAN Seite des Lancom's am Switch zu hängen. Dieser müsste VLAN fähig sein. Und der Port an dem das Lancom hängen würde, müsste ein eigenes VLAN sein.
Weil ich möchte nicht noch weitere Hardware dazu holen. Weniger aus Kostengründen, eher deshalb, dass noch weitere Hardware vorhanden wäre die aussteigen könnte.
Danke.
Ja, das würde natürlich auch gehen aber der Switch müsste dann ein L3 Switch sein, der auch routen kann, denn du musst ja ein IP Routing zwischen dem neuen lokalen Netz und dem Lancom LAN machen.
Wenn das der Fall ist klappt diese Option natürlich auch, keine Frage. Der Mikrotik Router ist aber erheblich preiswerter....
Wenn das der Fall ist klappt diese Option natürlich auch, keine Frage. Der Mikrotik Router ist aber erheblich preiswerter....
Muss es zwingend ein Switch mit internal Routing sein? Die Hosts hinter dem Switch können ja immer als default Gateway die pfSense nutzen und in der pfSense könnte ja dan anschliesend die Route eingetragen werden. Und für diese Route würde dan die pfSense halt als Gateway den Lancom (welcher am VLAN hängt) nutzen. Oder liege ich damit falsch?
L3 Switch die auch route können, sind halt sehr teuer.
L3 Switch die auch route können, sind halt sehr teuer.
Ja das ginge auch, allerdings benötigst du für das lokale LAN am Lancom ja ein eigenes LAN, es sei denn du kannst die LAN IP Adresse am Lancom selber neu konfigurieren oder wenn nicht...lebst im neuen lokalen LAN mit der Lancom IP Adressierung, dann macht es natürlich Sinn die auch direkt in dein neues lokales LAN zu setzen...keine Frage.
Das ist dann in der Tat das einfachste, das du dein neues lokales LAN identisch in der IP Adressierung wie das Lancom Interface konfigurierst und den Lancomm dann mit ins neue lokale LAN hängst.
Alle Endgeräte bekommen dann die pfSense als Default Gateway und auf der pfSense trägst du eine statische Route ein das aller Traffic für das remote .2.0er Netz über die Lancom IP geroutet wird und fertig ist der Lack.
Sorry für die Verwirrung, aber ich dachte erst du wolltest dein neues lokales LAN in einem anderen IP Netz betreiben.
Das hätte dann den Klimmzug mit dem weiteren Interface zur Folge gehabt.
Wenn du also mit der Lancom IP leben kannst im neuen lokalen LAN ist das am einfachsten und schnellsten so umzusetzen...keine Frage !
Das ist dann in der Tat das einfachste, das du dein neues lokales LAN identisch in der IP Adressierung wie das Lancom Interface konfigurierst und den Lancomm dann mit ins neue lokale LAN hängst.
Alle Endgeräte bekommen dann die pfSense als Default Gateway und auf der pfSense trägst du eine statische Route ein das aller Traffic für das remote .2.0er Netz über die Lancom IP geroutet wird und fertig ist der Lack.
Sorry für die Verwirrung, aber ich dachte erst du wolltest dein neues lokales LAN in einem anderen IP Netz betreiben.
Das hätte dann den Klimmzug mit dem weiteren Interface zur Folge gehabt.
Wenn du also mit der Lancom IP leben kannst im neuen lokalen LAN ist das am einfachsten und schnellsten so umzusetzen...keine Frage !
Alles klar. Nochmals ein rieses Dankeschön an dir aqui. Hiermit ist die Frage dann gelöst!
