VPN IPsec mit one to one NAT ins gleich IP Netz aufbauen
Guten Abend zusammen.
Ich brauche dringend euren Rat...
Ich habe 2 Cisco RV180 VPN Router die eine Statische IP am WAN besitzen.
Router1 WAN: 192.168.0.12
Vlan10 10.10.10.1
Vlan20 10.10.20.1
Router2 WAN: 192.168.0.22
Vlan10 10.10.10.2
Vlan20 10.10.20.2
Bei mir Zuhause steht eine Testumgebung mit 2 ESXi Hosts die jeweils 2 verschiedene Standorte darstellen und jeder Standort besitzt ein eigenes ISCSi Storage:
Standort A
ESXi1: VLAN10 10.10.10.11
Storage1: VLAN20 10.10.20.51
Standort B
ESXi2: VLAN10 10 10.10.12
Storage1: VLAN20 10.10.20.52
Jetzt möchte ich gerne eine IPsec site to site VPN aufbauen und die ESXi Hosts sowie die Storages Redundant aufbauen.
Ich möchte die Performance und Bandbreitennutzung testen.
Mein Problem ist, dass sich das Tunnel aufbaut, aber die Routen nicht funktionieren. Ich habe es mit One to One NAT versucht und zusätzlich noch mit Access Rules.
one to one NAT
Standort A
Private Range begin 10.10.10.1 Public Range begin 172.168.16.1
VPN Policy Table: Local 172.168.16.1 Remote 172.168.17.2
Standort B
Private Range begin 10.10.10.1 Public Range begin 172.168.17.1
VPN Policy Table: Local 172.168.17.1 Remote 172.168.16.2
Access Rules:
Standort A:
Address Range: 10.10.10.1 - 10.10.10.254
Send to Local Server WAN (DNAT IP) 172.168.16.1
Standort b:
Address Range: 10.10.10.1 - 10.10.10.254
Send to Local Server WAN (DNAT IP) 172.168.17.1
Langsam frage ich mich ob es überhaupt möglich ist mit dem RV180 so zu konfigurieren, aber eigentlich sollte es doch kein Problem sein??
Ich bitte euch um eure Hilfe!!!
Wünsche noch einen schönen Abend....
Ich brauche dringend euren Rat...
Ich habe 2 Cisco RV180 VPN Router die eine Statische IP am WAN besitzen.
Router1 WAN: 192.168.0.12
Vlan10 10.10.10.1
Vlan20 10.10.20.1
Router2 WAN: 192.168.0.22
Vlan10 10.10.10.2
Vlan20 10.10.20.2
Bei mir Zuhause steht eine Testumgebung mit 2 ESXi Hosts die jeweils 2 verschiedene Standorte darstellen und jeder Standort besitzt ein eigenes ISCSi Storage:
Standort A
ESXi1: VLAN10 10.10.10.11
Storage1: VLAN20 10.10.20.51
Standort B
ESXi2: VLAN10 10 10.10.12
Storage1: VLAN20 10.10.20.52
Jetzt möchte ich gerne eine IPsec site to site VPN aufbauen und die ESXi Hosts sowie die Storages Redundant aufbauen.
Ich möchte die Performance und Bandbreitennutzung testen.
Mein Problem ist, dass sich das Tunnel aufbaut, aber die Routen nicht funktionieren. Ich habe es mit One to One NAT versucht und zusätzlich noch mit Access Rules.
one to one NAT
Standort A
Private Range begin 10.10.10.1 Public Range begin 172.168.16.1
VPN Policy Table: Local 172.168.16.1 Remote 172.168.17.2
Standort B
Private Range begin 10.10.10.1 Public Range begin 172.168.17.1
VPN Policy Table: Local 172.168.17.1 Remote 172.168.16.2
Access Rules:
Standort A:
Address Range: 10.10.10.1 - 10.10.10.254
Send to Local Server WAN (DNAT IP) 172.168.16.1
Standort b:
Address Range: 10.10.10.1 - 10.10.10.254
Send to Local Server WAN (DNAT IP) 172.168.17.1
Langsam frage ich mich ob es überhaupt möglich ist mit dem RV180 so zu konfigurieren, aber eigentlich sollte es doch kein Problem sein??
Ich bitte euch um eure Hilfe!!!
Wünsche noch einen schönen Abend....
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 247291
Url: https://administrator.de/forum/vpn-ipsec-mit-one-to-one-nat-ins-gleich-ip-netz-aufbauen-247291.html
Ausgedruckt am: 23.12.2024 um 06:12 Uhr
16 Kommentare
Neuester Kommentar
Hallo,
Also in etwas so als Beispiel: 192.168.1.5/24 - 192.168.2.5/24
Sonst wird es nichts mit dem VPN!
Bei den VLANs sollte es kein Problem geben, wobei ich das aber auch nicht genau weiß.
Vlan10 10.10.10.1
Vlan20 10.10.20.1
Gruß
Dobby
Router1 WAN: 192.168.0.12
Router2 WAN: 192.168.0.22
Die beiden IP Adressbereiche an den beiden Standorten müssen unterschiedlich sein!Router2 WAN: 192.168.0.22
Also in etwas so als Beispiel: 192.168.1.5/24 - 192.168.2.5/24
Sonst wird es nichts mit dem VPN!
Bei den VLANs sollte es kein Problem geben, wobei ich das aber auch nicht genau weiß.
Vlan10 10.10.10.1
Vlan20 10.10.20.1
Gruß
Dobby
Grundlagen dazu wie immer hier:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
ein VPN aufbauen in die gleichen IP Netze
WIE meinst du das ?? Die gleichen lokalen IP Netze ???Oder das die Tunnel Endpoints im gleichen WAN Netz liegen ??
Von ersterem kann man dir nur allerdringenst abraten, denn das erzwingt ein Layer Bridging über den VPN Tunnel und bedeutet das der Tunnel dann eine Layer 2 Broadcast Domain beider Netze ist. Will sagen: sämtlicher Broad- und Multicast Traffic der beiden lokalen LAN Netze kummuliert in einem VPN Tunnel mit sehr begrenzter Bandbreite ! Sowas geht massiv zu Lasten der Performance bzw. dem Totalausfall der VPN Verbindung. Sinnvoll arbeiten kann man mit sowas nicht mehr !
Vergiss das also bitte gleich wenn du dir viel Ärger ersparen willst.
Es gilt immer der goldene Grundsatz des weisen Netzwerk Admins "Route where you can, bridge where you must !"
Da muss man nichts mehr zu sagen....
Letzteres ist natürlich kein Thema. Die Tunnelendpoints können auch in einem gleichen WAN IP Netz liegen, das ist technisch kein Thema.
Fragt sich also nun WIE du die obige Aussage genau gemeint hast ??
So wie sich das anhört, scheitert meine Idee aufs übelste....
Ja, ganz genau !Du kannst es machen...wirst aber keine Freude daran haben...das dann aber ganz sicher !
Die Idee liegt darin ESXi Hosts Redundant aufzubauen, auf verschiedene Standorte verteilt und die Performance zu überwachen...
Und.... warum muss das in gleichen IP Netzen passieren ?? Das kann man doch auch routen ohne Probleme ?Überwachung dann mit Nagios oder was auch immer du da dann machst...?!?
Wollte mal sehen ob es überhaupt möglich ist,
Klar, eine simple Standardinstallation...auch im gerouteten Umfeld...wo ist dein Problem ?Darf ich fragen ob Du ein Idee hast?? Es sollte keine Mietleitung sein, sondern eine standard DSL Leitung...
Ja die Idee hat jeder Netzwerker und die heisst VPN !! Geroutet natürlich und niemals gebridged. Oder hast du etwa an allen Standorten das gleiche identische IP Netz...wohl kaum, oder ?Übrigens stellt sich bei einer Mietleitung das gleiche Problem. Niemals Bridging...immer Routing. Es ist somit völlig Latte ob Mietleitung oder DSL oder feuchter Bindfaden...die Infrastruktur spielt da keinerlei Rolle.
An beiden Standorten sind VLANs konfiguriert: VLAN10 ist für das VMotion, Vcenter usw.
VLAN20 sind für die Storage Anbindung und VLAN30 für die Produktion.
Solange das andere IP Netzwerke sind also unterschiedliche IP AdressbereicheVLAN20 sind für die Storage Anbindung und VLAN30 für die Produktion.
ist das auch alles kein Problem.
Die Router sind beide auf NAT eingestellt und werden mit IPsec site to site VPN verbunden.
Das ist auch in Ordnung so.Die VPN Verbindung kann nur aufgebaut werden, wenn die lokale Netze verschiedene IP
Bereiche haben,
Genau so ist es.Bereiche haben,
wie kann ich den jetzt z.B: die ESXi Hosts redundant aufbauen wen nicht die
gleiche IP Netze vorhanden sind??
Zwischen den unterschiedlichen IP Adressen wird geroutet, daher sprich @aqui auchgleiche IP Netze vorhanden sind??
weiter oben, von Routing anstatt zu bridgen, also ein großes IP Netzwerk mit nur einem
IP Adressbereich (Adress Range), denn das wird in den meisten Fällen nicht!!!!
Wie soll der DHCP Server in den beiden Netzen denn auch wissen ob der eine Server
in dem einen oder in dem anderen Netzwerk angesprochen werden soll???
Verstehe im Moment nicht, wie ich das Problem mit routen lösen kann....
Zwischen unterschiedlichen IP Adressen wird geroutet, egal ob am Router, der Firewalloder gar einem Layer3 Switch!
Gemeint ist es mit den lokalen IP Netzen.... So wie sich das anhört, scheitert
meine Idee aufs übelste....
Ja auf jeden Fall, zumindest so herum wie Du es aufziehen möchtest und wiemeine Idee aufs übelste....
@aqui es schon angesprochen hat, willst Du es mit einem gebridgen Netzwerk nicht
haben, nicht wirklich, denn man versucht doch immer so kleine und überschaubare
Netzwerke bzw. Segmente anzulegen, sodass sich Störungen nicht weiter ausbreiten
können oder andere Segmente in Mitleidenschaft gezogen werden bzw. das ganze Netz
"ab spinnt" weil in Standort eins ein Drucker einen weg hat! Klar oder?
Die Idee liegt darin ESXi Hosts Redundant aufzubauen,
Das sollte schon gut funktionieren, nur eben lokal, oder aber ihr habtvier 100 MBit/s Leitungen die dann aber auch schnell an Ihre Grenzen kommen.
auf verschiedene Standorte verteilt
Das ist ja das Problem was Du hast, stelle die doch einfach lokal an einemStandort auf und gut ist es, und wenn einer ausfällt ist das schnell erledigt wenn
der andere einspringt.
und die Performance zu überwachen...
Die kann man auch so überwachen, wo sollte das Problem sein!?Mit Nagios kann man sicherlich auch über die VPN Verbindung alle Server
aus beiden Netzwerken bzw. an beiden Standorten überwachen, nur die sollten
eben beide auch unterschiedliche IP Adressen haben!
Wollte mal sehen ob es überhaupt möglich ist,
Schon nur eben wie schon angesprochen mit unterschiedlichen IP Adressen.Standort A 192.xxxxx
Standort B 172.xxxxx
Standort C 10.xxxxxx
oder aber
Standort A - 192.168.1.0/24
Standort B - 192.168.2.0/24
Standort C - 192.168.3.0/24
Standort D - 192.168.4.0/24
Standort Z - 192.168.55.0/24
Gar kein Thema hier drei oder mehr Standort von einander zu trennen oder sie
mittels VPN miteinander zu verbinden!
Nur eines noch dazu, das mit den VLANs, die sollten auch unterschiedliche IP Adressen,
haben also sprich, nicht gleich dem was auf den anderen Standorten vorhanden ist.
Allerdings wäre es nicht schlecht wenn @aqui, das hier noch einmal im Näheren erklärt
aber in diesem Fall muss ich eine andere Lösung finden...
Jo, und das auch auf jeden Fall zu deinem eingenen Wohl, denn den Streßwill sich freiwillig keiner antun.
Es sollte keine Mietleitung sein, sondern eine standard DSL Leitung...
Kann es sein das es überhaupt erst daran liegt und Du aufgrund der geringen Bandbreiteerst auf diese "verrückte" Idee gekommen bist!???
Gruß
Dobby
ESXi Hosts redundant aufbauen wen nicht die gleiche IP Netze vorhanden sind??
Das geht auch so nicht. Es sei denn du nutzt deren neue VxLAN Technologie. Ansonsten ist eine Redundanz in einer gerouteten Umgebung so nicht möglich.Redundanz erschafft man sich auch niemals so sondern immer lokal.
Im das genau beantworten zu können musst du aber mal einen ESXi Spezi befragen. Möglich auch das eine Redundanz über unterschiedliche IP Netze möglich ist mit einer gemeinsamen virtuellen IP über den Cluster.
Das kann nur ein VmWare Spezi beantworten.
P.S.: Wieso ist der Thread eigentlich auf "Gelöst" geklickt wenn er gar nicht gelöst ist ?!
Wieso ist der Thread eigentlich auch "Gelöst" geklickt wenn er gar nicht gelöst ist ?!
Psssst, sonst mobst er uns wieder die Punkte war schneller mit anklicken als mit ausprobieren, kommt nicht mehr vor;)
Kann man selber auch immer wieder löschen Es ist reine Neugier und ob es Praxistauglich ist, spielt dabei nicht einmal eine Rolle... Möchte es einfach ausprobieren und überwachen. Dazu ist der Lerneffekt sehr hoch, da ich viele spannend Themen ineinander fliesen lassen kann;)
Damit was den Lerneffekt anbetrifft hast du natürlich absolut Recht....