3
VPN LAN-LAN Kopplung und Internet über getrennte Leitungen mit mehreren Routern im Netz
Hallo...
Erst mal Danke für die Hilfe bei meinen letzten Problemen mit der IT-Technik.
Aber nun habe ich wieder ein kleines Problemchen an dem ich mir seid ein paar Tagen die Zähne aus beiße.
Folgendes Problem ist gegeben:
Ich möchte 2 Lan Netzwerke über ein mehr oder weniger unsicheres, privates Netzwerk miteinander verbinden.
Dieses Netzwerk ist unverschlüsselt und mehrere unterschiedliche Teilnehmer teilen sich diese Netzwerkinfrastruktur. Die Authentifizierung ist relativ leicht zu umgehen, jemand der sich etwas auskennt kann nicht nur mitlesen sondern auch noch MAC und IP Adressen unberechtigterweise verwenden und so Zugang zum Netzwerk erhalten. Es ist ein Netzwerk über eine nicht-öffentliche Telefonleitung mit SDSL Technik und Teilweise auch per Wlan-Richtfunk. Es sind keine angemieteten Telekom-Leitungen sondern eigene, und die SDSL Technik wurde selbst installiert und alle Modems sind IP Mäßig direkt miteinander verbunden, ohne weiteres Routing auf dieser Ebene.
Das private SDSL Netz hat allerdings keine Verbindung zum öffentlichen Telefonnetz oder dem Internet.
Im SDSL Netz soll es auch nicht mehr möglich sein, über unsere Internetverbindungen zu surfen oder unsere Netzwerkfreigaben zu sehen. Bisher ist noch kein Missbrauchsfall bekannt geworden aber wir möchten das ganze dicht machen bevor etwas passiert.
Kein Problem dachte ich, und habe 2 VPN Router FVS114 von Netgear gekauft und die VPN Verbindung entsprechend der Anleitung eingerichtet, was auch soweit funktioniert.
Habe auf beiden Seiten den WAN-Port an die private SDSL Infrastuktur angeschlossen und Fixed IP als Internetzugang im Netgear Router eingestellt. ( 172.16.x.x )
In beiden Gebäuden besteht noch ein direkter Internetzugang per T-DSL, der über einen weiteren separaten Router läuft.
Im Gebäude A wurden 192.168.0.x IP Adressen vergeben, im Gebäude B 192.168.1.x Adressen.
Die Lan-zu-Lan Verbindung soll über das private SDSL Netz laufen, die Internetverbindung soll über das normale öffentliche DSL laufen.
Jetzt habe ich aber das Problem, dass ich 2 Router in beiden Lans habe und ich weiß nicht wie ich das einrichten muss, dass beide Netze gleichzeitig parallel benutzbar sind. (VPN-LAN-LAN Kopplung und Internet)
Wenn ich die VPN Verbindung übers normale T-DSL laufen lasse und nur einen Router in jedem Netzwerk verwende ist es gar kein Problem jeder kommt ins Internet und Lan-Mäßig sind die Netze auch verbunden aber das ist in anbetracht der privaten 2,3 Mbit/s direktverbindung nicht gewünscht, vor allem da der eine T-DSL Zugang in Gebäude B ein Volumentarif ist.
Also soll quasi Internet per T-DSL laufen und die VPN-Verbindung über das private SDSL-Netz
Ausserdem möchte ich, dass Gebäude B zeitweise auch über den Internetzugang von Gebäude A ins Internet kann, da in Gebäude A eine Flatrate vorhanden ist, aber trotzdem in Gebäude B die Möglichkeit erhalten bleibt, sich jederzeit über die eigene DSL Verbindung einzuwählen. Die Möglichkeit, dass in Gebäude B jederzeit eine eigene Internetverbindung über den eigenen Zugang hergestellt werden kann muss erhalten bleiben.
Viele Grüße
Erst mal Danke für die Hilfe bei meinen letzten Problemen mit der IT-Technik.
Aber nun habe ich wieder ein kleines Problemchen an dem ich mir seid ein paar Tagen die Zähne aus beiße.
Folgendes Problem ist gegeben:
Ich möchte 2 Lan Netzwerke über ein mehr oder weniger unsicheres, privates Netzwerk miteinander verbinden.
Dieses Netzwerk ist unverschlüsselt und mehrere unterschiedliche Teilnehmer teilen sich diese Netzwerkinfrastruktur. Die Authentifizierung ist relativ leicht zu umgehen, jemand der sich etwas auskennt kann nicht nur mitlesen sondern auch noch MAC und IP Adressen unberechtigterweise verwenden und so Zugang zum Netzwerk erhalten. Es ist ein Netzwerk über eine nicht-öffentliche Telefonleitung mit SDSL Technik und Teilweise auch per Wlan-Richtfunk. Es sind keine angemieteten Telekom-Leitungen sondern eigene, und die SDSL Technik wurde selbst installiert und alle Modems sind IP Mäßig direkt miteinander verbunden, ohne weiteres Routing auf dieser Ebene.
Das private SDSL Netz hat allerdings keine Verbindung zum öffentlichen Telefonnetz oder dem Internet.
Im SDSL Netz soll es auch nicht mehr möglich sein, über unsere Internetverbindungen zu surfen oder unsere Netzwerkfreigaben zu sehen. Bisher ist noch kein Missbrauchsfall bekannt geworden aber wir möchten das ganze dicht machen bevor etwas passiert.
Kein Problem dachte ich, und habe 2 VPN Router FVS114 von Netgear gekauft und die VPN Verbindung entsprechend der Anleitung eingerichtet, was auch soweit funktioniert.
Habe auf beiden Seiten den WAN-Port an die private SDSL Infrastuktur angeschlossen und Fixed IP als Internetzugang im Netgear Router eingestellt. ( 172.16.x.x )
In beiden Gebäuden besteht noch ein direkter Internetzugang per T-DSL, der über einen weiteren separaten Router läuft.
Im Gebäude A wurden 192.168.0.x IP Adressen vergeben, im Gebäude B 192.168.1.x Adressen.
Die Lan-zu-Lan Verbindung soll über das private SDSL Netz laufen, die Internetverbindung soll über das normale öffentliche DSL laufen.
Jetzt habe ich aber das Problem, dass ich 2 Router in beiden Lans habe und ich weiß nicht wie ich das einrichten muss, dass beide Netze gleichzeitig parallel benutzbar sind. (VPN-LAN-LAN Kopplung und Internet)
Wenn ich die VPN Verbindung übers normale T-DSL laufen lasse und nur einen Router in jedem Netzwerk verwende ist es gar kein Problem jeder kommt ins Internet und Lan-Mäßig sind die Netze auch verbunden aber das ist in anbetracht der privaten 2,3 Mbit/s direktverbindung nicht gewünscht, vor allem da der eine T-DSL Zugang in Gebäude B ein Volumentarif ist.
Also soll quasi Internet per T-DSL laufen und die VPN-Verbindung über das private SDSL-Netz
Ausserdem möchte ich, dass Gebäude B zeitweise auch über den Internetzugang von Gebäude A ins Internet kann, da in Gebäude A eine Flatrate vorhanden ist, aber trotzdem in Gebäude B die Möglichkeit erhalten bleibt, sich jederzeit über die eigene DSL Verbindung einzuwählen. Die Möglichkeit, dass in Gebäude B jederzeit eine eigene Internetverbindung über den eigenen Zugang hergestellt werden kann muss erhalten bleiben.
Viele Grüße
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 54285
Url: https://administrator.de/contentid/54285
Ausgedruckt am: 26.11.2024 um 17:11 Uhr
3 Kommentare
Neuester Kommentar
Das ist eine ganz einfache und banale Routing Herausforderung die du hast, welche sich aber sehr leicht lösen laesst !!!
Du musst dich auf jedem Standort entscheiden welcher Router dein default Gateway sein soll, entweder der VPN Router in den anderen Standort oder der Internet Router.
Beide Varianten sehen dann so aus:
1.) Variante VPN Router:
Hier muss der VPN Router eine default Route auf die IP Adresse des Internet Routers haben.
D.h. alle Packete der Endgeräte gehen, sofern sie nicht fürs lokale Netz sind, erstmal zum VPN Router. Der routet dann Packete fuer den anderen Standort auch dahin alle andern Netze wuerde er aber nicht kenne. Da hilft dann die default Route, die dann alles zum Internet Router schickt und damit dann ins Internet.
2.) Variante Internet Router:
Alle Packete gehen jetzt hier hin. Da er erstmal nicht weiss wie das Netz am anderen Standort zu erreichen ist wuerde er es erstmal auch via Internet routen. Da du aber eine RFC 1918 Adresse (192.168.x.x) benutzt werden die dort verworfen.
Da hilft dann eine statische Route auf den VPN Router.
Fuer dein Gebaeude A lautet die dann:
Zielnetz: 192.168.1.0, Maske: 255.255.255.0, Gateway:<ip adresse vpn router>
Damit gehen dann alle Packete für den anderen Standort an diesen Router.
Willst du auch die Internetverbindung durch den Tunnel schcken erfordert das eine manualle Intervention. Du musst dann immerd den default gateway Eintrag der Endgeraete auf den VPN Router zeigen lassen und dem dann bei Bedarf auch sagen das seine default Route auf das TunnelGateway geht. Dann wuerde er auch alles (Internet) durch den Tunne auf die andere Seite schicken. Mit leistungsfaehigeren Routern waere sowas auch dynamisch moeglich, mit den Consumersystemen aber die du benutzt eerfordert das immer eine manuelle Konfiguration, die du natuerlich auch immer wieder rueckgaengig machen musst !
Du musst dich auf jedem Standort entscheiden welcher Router dein default Gateway sein soll, entweder der VPN Router in den anderen Standort oder der Internet Router.
Beide Varianten sehen dann so aus:
1.) Variante VPN Router:
Hier muss der VPN Router eine default Route auf die IP Adresse des Internet Routers haben.
D.h. alle Packete der Endgeräte gehen, sofern sie nicht fürs lokale Netz sind, erstmal zum VPN Router. Der routet dann Packete fuer den anderen Standort auch dahin alle andern Netze wuerde er aber nicht kenne. Da hilft dann die default Route, die dann alles zum Internet Router schickt und damit dann ins Internet.
2.) Variante Internet Router:
Alle Packete gehen jetzt hier hin. Da er erstmal nicht weiss wie das Netz am anderen Standort zu erreichen ist wuerde er es erstmal auch via Internet routen. Da du aber eine RFC 1918 Adresse (192.168.x.x) benutzt werden die dort verworfen.
Da hilft dann eine statische Route auf den VPN Router.
Fuer dein Gebaeude A lautet die dann:
Zielnetz: 192.168.1.0, Maske: 255.255.255.0, Gateway:<ip adresse vpn router>
Damit gehen dann alle Packete für den anderen Standort an diesen Router.
Willst du auch die Internetverbindung durch den Tunnel schcken erfordert das eine manualle Intervention. Du musst dann immerd den default gateway Eintrag der Endgeraete auf den VPN Router zeigen lassen und dem dann bei Bedarf auch sagen das seine default Route auf das TunnelGateway geht. Dann wuerde er auch alles (Internet) durch den Tunne auf die andere Seite schicken. Mit leistungsfaehigeren Routern waere sowas auch dynamisch moeglich, mit den Consumersystemen aber die du benutzt eerfordert das immer eine manuelle Konfiguration, die du natuerlich auch immer wieder rueckgaengig machen musst !
Hallo.
Danke für Deine Antwort.
Also wenn ich das Default Gateway auf den VPN Router setzte wird alles durch den VPN Tunnel geschickt. Soweit macht er das jetzt auch. Nur kommt dann der Standort B nicht über den NAT-Router von Standort A ins Internet.
Der Nat-Router von Standort A ist zwar pingbar und man kommt auch ins Webmenü aber nicht ins Internet. Auch der lokale Internetzugang von Standort B ist in dem Moment nicht möglich :/
Wenn ich auf Seite A nen Proxy aufsetze, kann ich über VPN auf den Proxy zugreifen und so ins Internet aber eigentlich sollte das ganze ja über NAT laufen.
Wenn ich eine weitere Route im Windows eintrage und die Default Gateway auf dem jeweiligen internet Router lasse, können beide Seiten unabhängig von einander ins Internet soweit hab ich das jetzt chon geschafft aber den Internetzugang über den Tunnel bekomm ich nicht hin.
Die Internetrouter als auch die VPN Router sind alles Consumerware und daher ist in den Geräten selbst alles gar nicht so fein einstellbar wie wir uns das gerne wünschen. In den Netgear Routern kann ich die Default Route noch nicht mal vom WAN Port auf den VPN Tunnel ändern, da die Default Route fest auf den WAN Port des Routers zeigt, er versucht übers SDSL Netz direkt den Internet-Traffic zu routen.
Wir überdenken den Einsatz dieser Consumergeräte und planen, das ganze mit einem Gerät aufzubauen was damit ohne große Bastelei klarkommt, also ein gerät was 2 WAN Ports hat und auch VPN Tunnel aufbauen kann und dann auch entsprechdes Routing von sich aus beherrscht damit auf den Clients möglichst alles transparent und ohne große änderungen funktioniert.
Welche Geräte sind denn da empfehlenswert? (die sollten auch möglichst nicht ganz so teuer sein)
Am liebsten wär es uns wenn die VPN Verbindung nachher so transparent ist wie eine direkte Verbindung der Netzwerke also bei den clients gar nicht irgendwie eingestellt oder beachtet werden muss.
Danke für Deine Antwort.
Also wenn ich das Default Gateway auf den VPN Router setzte wird alles durch den VPN Tunnel geschickt. Soweit macht er das jetzt auch. Nur kommt dann der Standort B nicht über den NAT-Router von Standort A ins Internet.
Der Nat-Router von Standort A ist zwar pingbar und man kommt auch ins Webmenü aber nicht ins Internet. Auch der lokale Internetzugang von Standort B ist in dem Moment nicht möglich :/
Wenn ich auf Seite A nen Proxy aufsetze, kann ich über VPN auf den Proxy zugreifen und so ins Internet aber eigentlich sollte das ganze ja über NAT laufen.
Wenn ich eine weitere Route im Windows eintrage und die Default Gateway auf dem jeweiligen internet Router lasse, können beide Seiten unabhängig von einander ins Internet soweit hab ich das jetzt chon geschafft aber den Internetzugang über den Tunnel bekomm ich nicht hin.
Die Internetrouter als auch die VPN Router sind alles Consumerware und daher ist in den Geräten selbst alles gar nicht so fein einstellbar wie wir uns das gerne wünschen. In den Netgear Routern kann ich die Default Route noch nicht mal vom WAN Port auf den VPN Tunnel ändern, da die Default Route fest auf den WAN Port des Routers zeigt, er versucht übers SDSL Netz direkt den Internet-Traffic zu routen.
Wir überdenken den Einsatz dieser Consumergeräte und planen, das ganze mit einem Gerät aufzubauen was damit ohne große Bastelei klarkommt, also ein gerät was 2 WAN Ports hat und auch VPN Tunnel aufbauen kann und dann auch entsprechdes Routing von sich aus beherrscht damit auf den Clients möglichst alles transparent und ohne große änderungen funktioniert.
Welche Geräte sind denn da empfehlenswert? (die sollten auch möglichst nicht ganz so teuer sein)
Am liebsten wär es uns wenn die VPN Verbindung nachher so transparent ist wie eine direkte Verbindung der Netzwerke also bei den clients gar nicht irgendwie eingestellt oder beachtet werden muss.
Späte aber wahre Erkenntnis... ! Mmhh ein Rat ist nicht einfach. Ich würde mir mal die Systeme von Draytek ansehen. Es gibt aber noch Funkwerk, Lancom, Cisco.... Ansonsten....die Cebit geht noch bis Mittwoch und in Halle 13 kannst du dich auf den neuesten Stand bringen 
