14
Mehrere VPN-Gegenstellen mit gleichem IP-Kreis
Moin moin,
kurze Frage zu einem neuen Firewall Router bzw. UTM
Folgende Konstellation:
wir möchten eine Verbindung per VPN IPSEC (Dial-UP oder Standverbindung) zu mehrere Kunden ( 5-6 mit ZyWall 2+ oder Checkpoint)realisieren nun das kleine/große Problem mind. 4 von denen haben alle den gleichen IP-Kreis 192.168. 100.XX (bevor jmd. was sagt, ich weiss dass das schwachsinnig ist aber da war ja ein Glück jmd anderes Schuld
). Daher kann man z.B. bei einem Netgear ProSafe 318 und 338 nur eine VPN Verbindung einrichten, da er danach erkennt, dass es schon eine VPN Verbindung mit dem gleichen IP-Kreis gibt.
Nun benötigen wir einen Router/UTM wo man die VPN Kreise umbiegen kann. (Bei Zyxell USG 200 und 300 geht das, aber 900- 1200 € sind ja auch net von schlechten Eltern )
Wäre über Anregungen erfreut.
Bis dann
kurze Frage zu einem neuen Firewall Router bzw. UTM
Folgende Konstellation:
wir möchten eine Verbindung per VPN IPSEC (Dial-UP oder Standverbindung) zu mehrere Kunden ( 5-6 mit ZyWall 2+ oder Checkpoint)realisieren nun das kleine/große Problem mind. 4 von denen haben alle den gleichen IP-Kreis 192.168. 100.XX (bevor jmd. was sagt, ich weiss dass das schwachsinnig ist aber da war ja ein Glück jmd anderes Schuld
). Daher kann man z.B. bei einem Netgear ProSafe 318 und 338 nur eine VPN Verbindung einrichten, da er danach erkennt, dass es schon eine VPN Verbindung mit dem gleichen IP-Kreis gibt.Nun benötigen wir einen Router/UTM wo man die VPN Kreise umbiegen kann. (Bei Zyxell USG 200 und 300 geht das, aber 900- 1200 € sind ja auch net von schlechten Eltern
)Wäre über Anregungen erfreut.
Bis dann
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 144957
Url: https://administrator.de/contentid/144957
Ausgedruckt am: 23.11.2024 um 02:11 Uhr
14 Kommentare
Neuester Kommentar
Hallo pcg1984,
wenn die Netze die selben IP-Adress-Bereiche haben, dann wird dir dein Vorhaben nicht gelingen.
Das Umbiegen der VPN-Kreise (was immer das auch sein soll) bringt wohl nicht sehr viel.
Wenn du die IP-Adresse 192.168.100.1 für einen Server in deinem Netz hast und dein Kunde hat die selbe für einen seiner Server, dann bekommst du per VPN nicht auf den Server des Kunden. Das liegt daran, dass die Anfrage gar nicht erst zu deinem VPN-Server (und von diesem dann zur Gegenstelle) geschickt wird, weil ja eigener Adressbereich und intern erreichbar.
Mir würde jetzt spontan keine Möglichkeit einfallen, dies per LAN-LAN-VPN zu realisieren.
wenn die Netze die selben IP-Adress-Bereiche haben, dann wird dir dein Vorhaben nicht gelingen.
Das Umbiegen der VPN-Kreise (was immer das auch sein soll) bringt wohl nicht sehr viel.
Wenn du die IP-Adresse 192.168.100.1 für einen Server in deinem Netz hast und dein Kunde hat die selbe für einen seiner Server, dann bekommst du per VPN nicht auf den Server des Kunden. Das liegt daran, dass die Anfrage gar nicht erst zu deinem VPN-Server (und von diesem dann zur Gegenstelle) geschickt wird, weil ja eigener Adressbereich und intern erreichbar.
Mir würde jetzt spontan keine Möglichkeit einfallen, dies per LAN-LAN-VPN zu realisieren.
@goscho hat genau ins schwarze getroffen.
Ein VPN klappt nur, wenn alle Netze eindeutig erkennbar sind.
Und dazu ein Beitrag von meinem Freund @aqui:
Allgemeine Tipps zum VPN Design
Es gehört zu den goldenen Regeln eines vorausschauenden VPN Designs das lokales und remotes Netzwerk NIEMALS gleich sein dürfen !!
Ist ja auch logisch, da so ein Routing der remoten Netze bei Gleichheit vollkommen unmöglich wird.
Viele Laien wählen als IP Netzwerk die allseits bekannten IP Netze 192.168.1.0 /24 oder 192.168.2.0 /24 usw. da diese oft per Default von allen Consumer DSL (Speedport usw.) und Kabelroutern verwendet werden und zuhauf im Einsatz sind.
192.168.178.0 /24 scheidet ebenfalls aus, da jede FritzBox dieses Netz lokal verwendet ! Niemand macht sich die Mühe das umzustellen und übernimmt oft kritiklos und häufig, auch aus Unwissen oder Unkenntniss, diese Standard Einstellungen !
Die Folge davon ist, das diese IP Netze in vielen öffentlichen Netzen wie in Hotels, Hotspots, Flughäfen und (leider) auch zahllosen Firmennetzen benutzt werden.
Tritt dann dadurch IP Adress Gleichheit der remoten und lokalen VPN Netze ein, macht das einen VPN Betrieb technisch unmöglich !
Es ist daher dringend angeraten schon beim Aufbau und Planung von VPN Zugängen vorausschauend zu planen und etwas exotischere IP Netze zu wählen die einen IP Adresskonflikt dadurch nahezu unmöglich machen und damit einen störungsfreien VPN Betrieb ermöglichen bzw. fast garantieren !!
Sieht man sich einmal den RFC-1918 (Liste der Privaten IP Adressen) etwas genauer an, der die IP Adresskontingente für Private Netze global festlegt:
Private Adresse bei Wiki
erkennt man sehr schnell das man sich nicht mit den immer wiederkehrenden, banalen 192.168er IP Adressen abfinden muss, sondern auch noch den Block im 172er und den gesamten 10er Bereich zur freien Verfügung hat. Massenweise IP Netze also....
Wählt man nun bei der VPN Planung etwas IP netztechnisch "Exotisches" für die IP Adressierung seine lokalen Netzes oder der lokalen Netze wenn es mehrere Subnetze gibt wie z.B.
192.168.217.0 /24
oder
172.24.1.0 /24
oder
10.168.70.0 /24
oder auch
10.1.68.1.0 /24
oder oder oder....
kann man sich relativ sicher sein das ein IP Adresskonflikt durch gleiche IP Netze (Wenn das remote Clientnetzwerk gleich ist) doch sehr sehr selten ist und man sich VPN Probleme gleich von Anfang an so mit einem cleveren und vorausschauenden IP Adress Design sicher aus der (IP) Welt schafft und so einen störungsfreien Betrieb des VPNs auf Dauer erreicht !
Quelle: VPNs einrichten mit PPTP
Falls du ähnliches Problem hast:
Absturz Netgear ProSafe VPN Firewall FVS318v3 wöchentlich
Grüße
Midivirus
Ein VPN klappt nur, wenn alle Netze eindeutig erkennbar sind.
Und dazu ein Beitrag von meinem Freund @aqui:
Allgemeine Tipps zum VPN Design
Es gehört zu den goldenen Regeln eines vorausschauenden VPN Designs das lokales und remotes Netzwerk NIEMALS gleich sein dürfen !!
Ist ja auch logisch, da so ein Routing der remoten Netze bei Gleichheit vollkommen unmöglich wird.
Viele Laien wählen als IP Netzwerk die allseits bekannten IP Netze 192.168.1.0 /24 oder 192.168.2.0 /24 usw. da diese oft per Default von allen Consumer DSL (Speedport usw.) und Kabelroutern verwendet werden und zuhauf im Einsatz sind.
192.168.178.0 /24 scheidet ebenfalls aus, da jede FritzBox dieses Netz lokal verwendet ! Niemand macht sich die Mühe das umzustellen und übernimmt oft kritiklos und häufig, auch aus Unwissen oder Unkenntniss, diese Standard Einstellungen !
Die Folge davon ist, das diese IP Netze in vielen öffentlichen Netzen wie in Hotels, Hotspots, Flughäfen und (leider) auch zahllosen Firmennetzen benutzt werden.
Tritt dann dadurch IP Adress Gleichheit der remoten und lokalen VPN Netze ein, macht das einen VPN Betrieb technisch unmöglich !
Es ist daher dringend angeraten schon beim Aufbau und Planung von VPN Zugängen vorausschauend zu planen und etwas exotischere IP Netze zu wählen die einen IP Adresskonflikt dadurch nahezu unmöglich machen und damit einen störungsfreien VPN Betrieb ermöglichen bzw. fast garantieren !!
Sieht man sich einmal den RFC-1918 (Liste der Privaten IP Adressen) etwas genauer an, der die IP Adresskontingente für Private Netze global festlegt:
Private Adresse bei Wiki
erkennt man sehr schnell das man sich nicht mit den immer wiederkehrenden, banalen 192.168er IP Adressen abfinden muss, sondern auch noch den Block im 172er und den gesamten 10er Bereich zur freien Verfügung hat. Massenweise IP Netze also....
Wählt man nun bei der VPN Planung etwas IP netztechnisch "Exotisches" für die IP Adressierung seine lokalen Netzes oder der lokalen Netze wenn es mehrere Subnetze gibt wie z.B.
192.168.217.0 /24
oder
172.24.1.0 /24
oder
10.168.70.0 /24
oder auch
10.1.68.1.0 /24
oder oder oder....
kann man sich relativ sicher sein das ein IP Adresskonflikt durch gleiche IP Netze (Wenn das remote Clientnetzwerk gleich ist) doch sehr sehr selten ist und man sich VPN Probleme gleich von Anfang an so mit einem cleveren und vorausschauenden IP Adress Design sicher aus der (IP) Welt schafft und so einen störungsfreien Betrieb des VPNs auf Dauer erreicht !
Quelle: VPNs einrichten mit PPTP
Falls du ähnliches Problem hast:
Absturz Netgear ProSafe VPN Firewall FVS318v3 wöchentlich
Grüße
Midivirus
Hallo Goscho,
sorry falls ausgedrückt. Mein IP-Kreis unterscheidet sich natürlich von den anderen.
z.B:
Mein IP Kreis (10.10.0.0/24) --VPN IPSEC Tunnel -- Kunde A (IP-Kreis: 192.168.100.0 / 24)
--VPN IPSEC Tunnel -- Kunde B (IP-Kreis: 192.168.100.0/24)
--VPN IPSEC Tunnel -- Kunde C (IP-Kreis: 192.168.100.0 / 24)
--VPN IPSEC Tunnel -- Kunde D (IP-Kreis: 192.168.200.0/24)
So sieht das aus . Theroitsch würde Kunde C und Kunde D funktionieren, Kunde A und B jedoch nicht, da die IPSEC Verbindung ja erkennt dass es einen Tunnel schon mit der Remote-ID vorhanden ist.
sorry falls ausgedrückt. Mein IP-Kreis unterscheidet sich natürlich von den anderen.
z.B:
Mein IP Kreis (10.10.0.0/24) --VPN IPSEC Tunnel -- Kunde A (IP-Kreis: 192.168.100.0 / 24)
--VPN IPSEC Tunnel -- Kunde B (IP-Kreis: 192.168.100.0/24)
--VPN IPSEC Tunnel -- Kunde C (IP-Kreis: 192.168.100.0 / 24)
--VPN IPSEC Tunnel -- Kunde D (IP-Kreis: 192.168.200.0/24)
So sieht das aus
. Theroitsch würde Kunde C und Kunde D funktionieren, Kunde A und B jedoch nicht, da die IPSEC Verbindung ja erkennt dass es einen Tunnel schon mit der Remote-ID vorhanden ist.
Hey Midvirus,
wie schon beschrieben habe ich mich falsch ausgedrückt auf meiner Seite ist ein ganz anderer IP-Kreis, siehe Antwort auf Goscho.
ProSafe ist noch nie bei uns abgestürzt
Und IP Design kenne ich sehr gut, dass Problem ist, die Umstellung der IPs bei den Kunden wäre mit erheblichen Aufwand verbunden, was ich ganz gerne vermeiden möchten.
Meine Netzwerke welche ich plane und implementiere sind nach Richtlinien und auch so dokumentiert, dass ich IP-Kreise bei keinem Kunden 2x vergebe. Nur die 3-4 neuen Kunden habe ich von anderen Firmen übernommen und da war es leider so eingerichtet.
wie schon beschrieben habe ich mich falsch ausgedrückt auf meiner Seite ist ein ganz anderer IP-Kreis, siehe Antwort auf Goscho.
ProSafe ist noch nie bei uns abgestürzt
Und IP Design kenne ich sehr gut, dass Problem ist, die Umstellung der IPs bei den Kunden wäre mit erheblichen Aufwand verbunden, was ich ganz gerne vermeiden möchten.
Meine Netzwerke welche ich plane und implementiere sind nach Richtlinien und auch so dokumentiert, dass ich IP-Kreise bei keinem Kunden 2x vergebe. Nur die 3-4 neuen Kunden habe ich von anderen Firmen übernommen und da war es leider so eingerichtet.
Kommentar Midivirus schreibt am 16.06.2010, 14:53:32 Uhr
Kommentar pcg1984 schreibt am 16.06.2010, 14:53:52 Uhr
konnte ich nicht merken ;)
Kommentar pcg1984 schreibt am 16.06.2010, 14:53:52 Uhr
konnte ich nicht merken ;)
jupp leider zu schnell geschrieben
Ich würde mir einen Mikrotik 450G nehmen und da über Metarouter mehrere virtuelle Instanzen laufen lassen.
Jede baut einen VPN-Tunnel auf und benutzt dann IP-Range-NAT - fertig
Problem ist nur die unvollständige IPSec-Implementation von MT.
Jede baut einen VPN-Tunnel auf und benutzt dann IP-Range-NAT - fertig
Problem ist nur die unvollständige IPSec-Implementation von MT.
Mir würde ganz spontan einfallen, immer nur die benötigte VPN-Verbindung zu aktivieren.
Also alle VPNs anlegen und inaktiv lassen (A,B,C -> D ist ja egal)
Jetzt darfst du immer nur die VPN-Verbindung aktivieren, die benötigt wird.
Aber parallel klappt das so nicht.
Besser: Ändere die IP-Bereiche bei deinen Kunden - fertig.
Also alle VPNs anlegen und inaktiv lassen (A,B,C -> D ist ja egal)
Jetzt darfst du immer nur die VPN-Verbindung aktivieren, die benötigt wird.
Aber parallel klappt das so nicht.
Besser: Ändere die IP-Bereiche bei deinen Kunden - fertig.
Guten morgen goscho,
auch ein guten Lösungsansatz. Habe aber eine weitere Möglichkeit gefunden, da ich sowohl beim Server als auch bei den Zyxel Routern (ZyWall 2/5 und 35) alternative IP-Kreise anlegen kann, werde ich das für den VPN Tunnel vornehmen.
Vorteil dabei wäre, dass ich das Netz nicht umändern muss (Warum schwierig denken wenn es auch einfach geht
Aber vielen Dank für die Hilfe.
auch ein guten Lösungsansatz. Habe aber eine weitere Möglichkeit gefunden, da ich sowohl beim Server als auch bei den Zyxel Routern (ZyWall 2/5 und 35) alternative IP-Kreise anlegen kann, werde ich das für den VPN Tunnel vornehmen.
Vorteil dabei wäre, dass ich das Netz nicht umändern muss
(Warum schwierig denken wenn es auch einfach geht Aber vielen Dank für die Hilfe.
Das wäre die Lösung um die doppelten IP Netze remote betreiben zu können !
Besser ist ein korrektes IP Design. Sie die regeln dazu hier:
VPNs einrichten mit PPTP
Ansonsten benötigst du zwingend einen static NAT fähigen VPN Router wie dog oben bereits bemerkt hat !
Besser ist ein korrektes IP Design. Sie die regeln dazu hier:
VPNs einrichten mit PPTP
Ansonsten benötigst du zwingend einen static NAT fähigen VPN Router wie dog oben bereits bemerkt hat !
@@aqui: hab das obige aus deinem Artikel schon kopiert gehabt ;)
Ooops, sorry, übersehen.... Na ja, doppelt hält besser !! Ist ja ein immer wiederkehrendes Problem nicht intelligenter oder gar nicht vorhandener IP Adressplanung !!
Ja wie schon gesagt, wie ein vernüftiges IP Design aussieht weiß ich ja, kann ja nichts dafür dass andere Kollegen leider sich nicht damit auseinander setzen
Standard ist ja immer schön leicht und überlegung für die Zkunft braucht man ja nicht (so ne Aussage habe ich schon bekommen)
Standard ist ja immer schön leicht und überlegung für die Zkunft braucht man ja nicht (so ne Aussage habe ich schon bekommen)
Zitat von @pcg1984:
wir möchten eine Verbindung per VPN IPSEC (Dial-UP oder Standverbindung) zu mehrere Kunden ( 5-6 mit ZyWall 2+ oder
Checkpoint)realisieren nun das kleine/große Problem mind. 4 von denen haben alle den gleichen IP-Kreis 192.168. 100.XX
...
Nun benötigen wir einen Router/UTM wo man die VPN Kreise umbiegen kann. (Bei Zyxell USG 200 und 300 geht das, aber 900- 1200
€ sind ja auch net von schlechten Eltern )
Hallo,wir möchten eine Verbindung per VPN IPSEC (Dial-UP oder Standverbindung) zu mehrere Kunden ( 5-6 mit ZyWall 2+ oder
Checkpoint)realisieren nun das kleine/große Problem mind. 4 von denen haben alle den gleichen IP-Kreis 192.168. 100.XX
...
Nun benötigen wir einen Router/UTM wo man die VPN Kreise umbiegen kann. (Bei Zyxell USG 200 und 300 geht das, aber 900- 1200
€ sind ja auch net von schlechten Eltern
)also NAT auf dem Tunnel ist ja schon als Lösung diskutiert worden. Allerdings sollte man bedenken, dass nicht sämtliche Protokolle NAT-friendly sind. Es wäre also wichtig zu erfahren, _was genau_ über den Tunnel laufen soll. Sofern es ohnehin nur nur um gelegentlichen Remotesupport geht, kämen vielleicht auch Client-to-Site-VPNs statt Site-to-Site-VPNs in Betracht.
Bzgl. der Kosten für eine USG: Zum Einen gibt es die wesentlich günstigere und für die meisten Zweigstellen ausreichende USG100 und zum Anderen kommen voraussichtlich im 3. oder 4. Quartal die USG20 und USG50 auf den Markt. Deren Spezifikationen sind mir allerdings noch nicht bekannt.
Gruß
sk
