maverick2286
Goto Top

VPN IPsec mit one to one NAT ins gleich IP Netz aufbauen

Guten Abend zusammen.

Ich brauche dringend euren Rat...

Ich habe 2 Cisco RV180 VPN Router die eine Statische IP am WAN besitzen.

Router1 WAN: 192.168.0.12
Vlan10 10.10.10.1
Vlan20 10.10.20.1

Router2 WAN: 192.168.0.22
Vlan10 10.10.10.2
Vlan20 10.10.20.2

Bei mir Zuhause steht eine Testumgebung mit 2 ESXi Hosts die jeweils 2 verschiedene Standorte darstellen und jeder Standort besitzt ein eigenes ISCSi Storage:

Standort A
ESXi1: VLAN10 10.10.10.11
Storage1: VLAN20 10.10.20.51

Standort B
ESXi2: VLAN10 10 10.10.12
Storage1: VLAN20 10.10.20.52

Jetzt möchte ich gerne eine IPsec site to site VPN aufbauen und die ESXi Hosts sowie die Storages Redundant aufbauen.
Ich möchte die Performance und Bandbreitennutzung testen.
Mein Problem ist, dass sich das Tunnel aufbaut, aber die Routen nicht funktionieren. Ich habe es mit One to One NAT versucht und zusätzlich noch mit Access Rules.

one to one NAT

Standort A
Private Range begin 10.10.10.1 Public Range begin 172.168.16.1
VPN Policy Table: Local 172.168.16.1 Remote 172.168.17.2

Standort B
Private Range begin 10.10.10.1 Public Range begin 172.168.17.1
VPN Policy Table: Local 172.168.17.1 Remote 172.168.16.2

Access Rules:

Standort A:
Address Range: 10.10.10.1 - 10.10.10.254
Send to Local Server WAN (DNAT IP) 172.168.16.1

Standort b:
Address Range: 10.10.10.1 - 10.10.10.254
Send to Local Server WAN (DNAT IP) 172.168.17.1

Langsam frage ich mich ob es überhaupt möglich ist mit dem RV180 so zu konfigurieren, aber eigentlich sollte es doch kein Problem sein??
Ich bitte euch um eure Hilfe!!!

Wünsche noch einen schönen Abend....

Content-ID: 247291

Url: https://administrator.de/contentid/247291

Ausgedruckt am: 22.11.2024 um 19:11 Uhr

108012
Lösung 108012 24.08.2014 aktualisiert um 13:50:01 Uhr
Goto Top
Hallo,

Router1 WAN: 192.168.0.12
Router2 WAN: 192.168.0.22
Die beiden IP Adressbereiche an den beiden Standorten müssen unterschiedlich sein!
Also in etwas so als Beispiel: 192.168.1.5/24 - 192.168.2.5/24
Sonst wird es nichts mit dem VPN!

Bei den VLANs sollte es kein Problem geben, wobei ich das aber auch nicht genau weiß.
Vlan10 10.10.10.1
Vlan20 10.10.20.1


Gruß
Dobby
orcape
orcape 24.08.2014 um 13:14:19 Uhr
Goto Top
Also in etwas so als Beispiel: 192.168.1.5/24 - 192.168.2.5/24
...eventuell so 192.168.1.0/24 - 192.168.2.0/24...? face-wink
Gruß orcape
aqui
aqui 25.08.2014 um 09:19:36 Uhr
Goto Top
Maverick2286
Maverick2286 25.08.2014 um 09:54:45 Uhr
Goto Top
Hallo...

Vielen Dank für die Antwort, damit wird mir einiges klar... Darf ich fragen warum die WAN IPs auch verschieden sein müssen?? Muss nochmals die Grundlagen durchlesen....

Wünsche einen schönen Tag und einen guten Start in die Woche


Gruss
Dominik
aqui
aqui 25.08.2014 um 09:56:55 Uhr
Goto Top
Nein, die WAN Ports müssen NICHT verschieden sein ! Die dürfen auch in einem gleichen IP Netz liegen !!
Wichtig ist einzig das die LAN IP Netze unterschiedlich sein müssen im VPN Umfeld.
Maverick2286
Maverick2286 25.08.2014 um 10:04:05 Uhr
Goto Top
Hallo.

Ok. das ist genau mein Problem, ich möchte ein VPN aufbauen in die gleichen IP Netze... Ich bin am herumbasteln mit Access Rules und one to one NAT, damit sollte es möglich sein, weil so wie ich es verstanden habe ein Virtuelle öffentliche IP erstellt wird die dann nochmals NATet, oder habe ich das falsch verstanden?? Das VPN baut sich auf und ich kann die virtuelle IPs auch anpingen, aber dan nicht mehr weiter....
Die andere Möglichkeit wäre noch mit dem L2PT?
aqui
Lösung aqui 25.08.2014 aktualisiert um 10:24:37 Uhr
Goto Top
ein VPN aufbauen in die gleichen IP Netze
WIE meinst du das ?? Die gleichen lokalen IP Netze ???
Oder das die Tunnel Endpoints im gleichen WAN Netz liegen ??

Von ersterem kann man dir nur allerdringenst abraten, denn das erzwingt ein Layer Bridging über den VPN Tunnel und bedeutet das der Tunnel dann eine Layer 2 Broadcast Domain beider Netze ist. Will sagen: sämtlicher Broad- und Multicast Traffic der beiden lokalen LAN Netze kummuliert in einem VPN Tunnel mit sehr begrenzter Bandbreite ! Sowas geht massiv zu Lasten der Performance bzw. dem Totalausfall der VPN Verbindung. Sinnvoll arbeiten kann man mit sowas nicht mehr !
Vergiss das also bitte gleich wenn du dir viel Ärger ersparen willst.
Es gilt immer der goldene Grundsatz des weisen Netzwerk Admins "Route where you can, bridge where you must !"
Da muss man nichts mehr zu sagen....

Letzteres ist natürlich kein Thema. Die Tunnelendpoints können auch in einem gleichen WAN IP Netz liegen, das ist technisch kein Thema.
Fragt sich also nun WIE du die obige Aussage genau gemeint hast ??
Maverick2286
Maverick2286 25.08.2014 um 10:24:30 Uhr
Goto Top
Zuerst mal vielen Dank für die schnellen Antworten.... face-smile

Gemeint ist es mit den lokalen IP Netzen.... So wie sich das anhört, scheitert meine Idee aufs übelste....
Die Idee liegt darin ESXi Hosts Redundant aufzubauen, auf verschiedene Standorte verteilt und die Performance zu überwachen... Wollte mal sehen ob es überhaupt möglich ist, aber in diesem Fall muss ich eine andere Lösung finden...
Darf ich fragen ob Du ein Idee hast?? Es sollte keine Mietleitung sein, sondern eine standard DSL Leitung...
aqui
aqui 25.08.2014 um 13:50:24 Uhr
Goto Top
So wie sich das anhört, scheitert meine Idee aufs übelste....
Ja, ganz genau !
Du kannst es machen...wirst aber keine Freude daran haben...das dann aber ganz sicher !
Die Idee liegt darin ESXi Hosts Redundant aufzubauen, auf verschiedene Standorte verteilt und die Performance zu überwachen...
Und.... warum muss das in gleichen IP Netzen passieren ?? Das kann man doch auch routen ohne Probleme ?
Überwachung dann mit Nagios oder was auch immer du da dann machst...?!?
Wollte mal sehen ob es überhaupt möglich ist,
Klar, eine simple Standardinstallation...auch im gerouteten Umfeld...wo ist dein Problem ?
Darf ich fragen ob Du ein Idee hast?? Es sollte keine Mietleitung sein, sondern eine standard DSL Leitung...
Ja die Idee hat jeder Netzwerker und die heisst VPN !! Geroutet natürlich und niemals gebridged. Oder hast du etwa an allen Standorten das gleiche identische IP Netz...wohl kaum, oder ?
Übrigens stellt sich bei einer Mietleitung das gleiche Problem. Niemals Bridging...immer Routing. Es ist somit völlig Latte ob Mietleitung oder DSL oder feuchter Bindfaden...die Infrastruktur spielt da keinerlei Rolle.
Maverick2286
Maverick2286 25.08.2014 um 14:52:26 Uhr
Goto Top
Entschuldige aber jetzt verstehe ich Dich nicht mehr...

An beiden Standorten sind VLANs konfiguriert: VLAN10 ist für das VMotion, Vcenter usw.
VLAN20 sind für die Storage Anbindung und VLAN30 für die Produktion.

Die Router sind beide auf NAT eingestellt und werden mit IPsec site to site VPN verbunden.
Die VPN Verbindung kann nur aufgebaut werden, wenn die lokale Netze verschiedene IP Bereiche haben, wie kann ich den jetzt z.B: die ESXi Hosts redundant aufbauen wen nicht die gleiche IP Netze vorhanden sind??

Verstehe im Moment nicht, wie ich das Problem mit routen lösen kann....
108012
108012 25.08.2014 um 16:30:07 Uhr
Goto Top
An beiden Standorten sind VLANs konfiguriert: VLAN10 ist für das VMotion, Vcenter usw.
VLAN20 sind für die Storage Anbindung und VLAN30 für die Produktion.
Solange das andere IP Netzwerke sind also unterschiedliche IP Adressbereiche
ist das auch alles kein Problem.

Die Router sind beide auf NAT eingestellt und werden mit IPsec site to site VPN verbunden.
Das ist auch in Ordnung so.

Die VPN Verbindung kann nur aufgebaut werden, wenn die lokale Netze verschiedene IP
Bereiche haben,
Genau so ist es.

wie kann ich den jetzt z.B: die ESXi Hosts redundant aufbauen wen nicht die
gleiche IP Netze vorhanden sind??
Zwischen den unterschiedlichen IP Adressen wird geroutet, daher sprich @aqui auch
weiter oben, von Routing anstatt zu bridgen, also ein großes IP Netzwerk mit nur einem
IP Adressbereich (Adress Range), denn das wird in den meisten Fällen nicht!!!!
Wie soll der DHCP Server in den beiden Netzen denn auch wissen ob der eine Server
in dem einen oder in dem anderen Netzwerk angesprochen werden soll???

Verstehe im Moment nicht, wie ich das Problem mit routen lösen kann....
Zwischen unterschiedlichen IP Adressen wird geroutet, egal ob am Router, der Firewall
oder gar einem Layer3 Switch!

Gemeint ist es mit den lokalen IP Netzen.... So wie sich das anhört, scheitert
meine Idee aufs übelste....
Ja auf jeden Fall, zumindest so herum wie Du es aufziehen möchtest und wie
@aqui es schon angesprochen hat, willst Du es mit einem gebridgen Netzwerk nicht
haben, nicht wirklich, denn man versucht doch immer so kleine und überschaubare
Netzwerke bzw. Segmente anzulegen, sodass sich Störungen nicht weiter ausbreiten
können oder andere Segmente in Mitleidenschaft gezogen werden bzw. das ganze Netz
"ab spinnt" weil in Standort eins ein Drucker einen weg hat! Klar oder?

Die Idee liegt darin ESXi Hosts Redundant aufzubauen,
Das sollte schon gut funktionieren, nur eben lokal, oder aber ihr habt
vier 100 MBit/s Leitungen die dann aber auch schnell an Ihre Grenzen kommen.

auf verschiedene Standorte verteilt
Das ist ja das Problem was Du hast, stelle die doch einfach lokal an einem
Standort auf und gut ist es, und wenn einer ausfällt ist das schnell erledigt wenn
der andere einspringt.

und die Performance zu überwachen...
Die kann man auch so überwachen, wo sollte das Problem sein!?
Mit Nagios kann man sicherlich auch über die VPN Verbindung alle Server
aus beiden Netzwerken bzw. an beiden Standorten überwachen, nur die sollten
eben beide auch unterschiedliche IP Adressen haben!

Wollte mal sehen ob es überhaupt möglich ist,
Schon nur eben wie schon angesprochen mit unterschiedlichen IP Adressen.
Standort A 192.xxxxx
Standort B 172.xxxxx
Standort C 10.xxxxxx

oder aber

Standort A - 192.168.1.0/24
Standort B - 192.168.2.0/24
Standort C - 192.168.3.0/24
Standort D - 192.168.4.0/24
Standort Z - 192.168.55.0/24

Gar kein Thema hier drei oder mehr Standort von einander zu trennen oder sie
mittels VPN miteinander zu verbinden!

Nur eines noch dazu, das mit den VLANs, die sollten auch unterschiedliche IP Adressen,
haben also sprich, nicht gleich dem was auf den anderen Standorten vorhanden ist.
Allerdings wäre es nicht schlecht wenn @aqui, das hier noch einmal im Näheren erklärt

aber in diesem Fall muss ich eine andere Lösung finden...
Jo, und das auch auf jeden Fall zu deinem eingenen Wohl, denn den Streß
will sich freiwillig keiner antun.

Es sollte keine Mietleitung sein, sondern eine standard DSL Leitung...
Kann es sein das es überhaupt erst daran liegt und Du aufgrund der geringen Bandbreite
erst auf diese "verrückte" Idee gekommen bist!???

Gruß
Dobby
aqui
aqui 25.08.2014, aktualisiert am 26.08.2014 um 09:59:57 Uhr
Goto Top
ESXi Hosts redundant aufbauen wen nicht die gleiche IP Netze vorhanden sind??
Das geht auch so nicht. Es sei denn du nutzt deren neue VxLAN Technologie. Ansonsten ist eine Redundanz in einer gerouteten Umgebung so nicht möglich.
Redundanz erschafft man sich auch niemals so sondern immer lokal.
Im das genau beantworten zu können musst du aber mal einen ESXi Spezi befragen. Möglich auch das eine Redundanz über unterschiedliche IP Netze möglich ist mit einer gemeinsamen virtuellen IP über den Cluster.
Das kann nur ein VmWare Spezi beantworten.

P.S.: Wieso ist der Thread eigentlich auf "Gelöst" geklickt wenn er gar nicht gelöst ist ?!
108012
108012 25.08.2014 um 18:40:38 Uhr
Goto Top
Wieso ist der Thread eigentlich auch "Gelöst" geklickt wenn er gar nicht gelöst ist ?!
Psssst, sonst mobst er uns wieder die Punkte face-wink
orcape
orcape 25.08.2014 um 18:49:48 Uhr
Goto Top
Psssst, sonst mobst er uns wieder die Punkte
unberechtigt vergebene Punkte können auch Jahre später noch aberkannt werden.
Das ist wie beim Doping...face-wink
Maverick2286
Maverick2286 27.08.2014 um 19:41:07 Uhr
Goto Top
Hallo und guten Abend....

Entschuldige für meine verspätete Nachricht...
Weil ich dachte mit dem Kommentar von dobby wäre mein Problem gelöst, war schneller mit anklicken als mit ausprobieren, kommt nicht mehr vor;)

Ok klar dass man sich Redundanz lokal verschafft, aber ich dachte mir, ich möchte mal ausprobieren ob es zusätzlich zu der lokalen Redundanz auch die Möglichkeit besteht dies irgendwie über VPN zu vermöglichen. Vielleicht wäre es für den absoluten Notfall keine schlechte Idee...

Es ist reine Neugier und ob es Praxistauglich ist, spielt dabei nicht einmal eine Rolle... Möchte es einfach ausprobieren und überwachen. Dazu ist der Lerneffekt sehr hoch, da ich viele spannend Themen ineinander fliesen lassen kann;)

Vielen Dank für die vielen Antworten, sind sehr hilfreich... face-smile
aqui
aqui 28.08.2014 um 10:54:02 Uhr
Goto Top
war schneller mit anklicken als mit ausprobieren, kommt nicht mehr vor;)
Kann man selber auch immer wieder löschen face-wink
Es ist reine Neugier und ob es Praxistauglich ist, spielt dabei nicht einmal eine Rolle... Möchte es einfach ausprobieren und überwachen. Dazu ist der Lerneffekt sehr hoch, da ich viele spannend Themen ineinander fliesen lassen kann;)
Damit was den Lerneffekt anbetrifft hast du natürlich absolut Recht.... face-smile