VPN Netzwerk mit verschiedenen Subnetzen
Wäre nett, wenn mir da jemand helfen könnte, der sich etwas mit Routing auskennt.
Wir haben ein Netzwerk mit einer Hauptstelle und 3 Filialen.
Der Hauptsitz besitzt das Segment 192.168.2.1 / 255.255.255.0 und die Filiale-A 192.168.1.1 / 255.255.255.0 und die
Filiale-B 192.168.3.1 / 255.255.255.0 und Filiale-C 192.168.4.1 / 255.255.255.0.
Der Hauptsitz ist mit je einem VPN-Link zu den Filialen verbunden. Das funktioniert soweit gut, das heisst, jedes
Filial-Netz kann nun den Hauptsitz kontaktieren und der Hauptsitz jedes einzelne Subnetz.
Nun kommt jedoch der Wunsch auf, dass jedes Subnetz auch jeweils das andere Subnetz kontaktieren sollte
können. Wie macht man das und wie sollte die Konfiguration aussehen ohne dass man zwischen den
Subnetzen auch noch je ein VPN legt. Durch legen von VPNs zwischen den einzelnen Subnetzen könnte
es doch Verbindungen kommen die dann im Kreis laufen.
Besten Dank für jeden Tip
Joe
Wir haben ein Netzwerk mit einer Hauptstelle und 3 Filialen.
Der Hauptsitz besitzt das Segment 192.168.2.1 / 255.255.255.0 und die Filiale-A 192.168.1.1 / 255.255.255.0 und die
Filiale-B 192.168.3.1 / 255.255.255.0 und Filiale-C 192.168.4.1 / 255.255.255.0.
Der Hauptsitz ist mit je einem VPN-Link zu den Filialen verbunden. Das funktioniert soweit gut, das heisst, jedes
Filial-Netz kann nun den Hauptsitz kontaktieren und der Hauptsitz jedes einzelne Subnetz.
Nun kommt jedoch der Wunsch auf, dass jedes Subnetz auch jeweils das andere Subnetz kontaktieren sollte
können. Wie macht man das und wie sollte die Konfiguration aussehen ohne dass man zwischen den
Subnetzen auch noch je ein VPN legt. Durch legen von VPNs zwischen den einzelnen Subnetzen könnte
es doch Verbindungen kommen die dann im Kreis laufen.
Besten Dank für jeden Tip
Joe
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 120895
Url: https://administrator.de/forum/vpn-netzwerk-mit-verschiedenen-subnetzen-120895.html
Ausgedruckt am: 26.12.2024 um 17:12 Uhr
8 Kommentare
Neuester Kommentar
Das ist ganz einfach und im Handumdrehen gemacht.
Normalerweise wird ja nur das Hauptsitz Netz ins VPN geroutet und alles andere würde lokal in den Filialen ins Internet gehen, da der lokale Router das default Gateway ist.
Damit geht es dann ins Nirwana, da deine RFC_1918_Netze im Internet nicht geroutet werden und sofort in den Mülleimer beim Provider wandern !
Die Lösung ist ganz einfach:
Du trägst in den Filialnetzen einfach eine Route ein die die anderen Filialnetze auch in den VPN Tunnel zum Hauptsitz routet und von da in die anderen Filialnetze.
Hier mal als Beispiel für die Filiale A
Statische Routen in die Filialen
Zielnetz: 192.168.3.0, Maske: 255.255.255.0, Gateway: <VPN Router IP Adresse>
Zielnetz: 192.168.4.0, Maske: 255.255.255.0, Gateway: <VPN Router IP Adresse>
Fertig bist du und schon funktioniert die Any zu Any Kommunikation aller Filialen !
P.S.: Du hast oben statt der IP Netzadressen fälschlicherweise eine IP Hostadresse angegeben für deine Netze.
Die IP Netzadresse ist IMMER die Adresse in der alle Hostbits auf Null sind !
Richtig lautet also die Liste mit einer 24 Bit Subnetzmaske:
Hauptsitz: 192.168.2.0 /24
Filiale A: 192.168.1.0 /24
Filiale B: 192.168.3.0 /24
Filiale C: 192.168.4.0 /24
Siehe:
http://de.wikipedia.org/wiki/IP-Adresse
Normalerweise wird ja nur das Hauptsitz Netz ins VPN geroutet und alles andere würde lokal in den Filialen ins Internet gehen, da der lokale Router das default Gateway ist.
Damit geht es dann ins Nirwana, da deine RFC_1918_Netze im Internet nicht geroutet werden und sofort in den Mülleimer beim Provider wandern !
Die Lösung ist ganz einfach:
Du trägst in den Filialnetzen einfach eine Route ein die die anderen Filialnetze auch in den VPN Tunnel zum Hauptsitz routet und von da in die anderen Filialnetze.
Hier mal als Beispiel für die Filiale A
Statische Routen in die Filialen
Zielnetz: 192.168.3.0, Maske: 255.255.255.0, Gateway: <VPN Router IP Adresse>
Zielnetz: 192.168.4.0, Maske: 255.255.255.0, Gateway: <VPN Router IP Adresse>
Fertig bist du und schon funktioniert die Any zu Any Kommunikation aller Filialen !
P.S.: Du hast oben statt der IP Netzadressen fälschlicherweise eine IP Hostadresse angegeben für deine Netze.
Die IP Netzadresse ist IMMER die Adresse in der alle Hostbits auf Null sind !
Richtig lautet also die Liste mit einer 24 Bit Subnetzmaske:
Hauptsitz: 192.168.2.0 /24
Filiale A: 192.168.1.0 /24
Filiale B: 192.168.3.0 /24
Filiale C: 192.168.4.0 /24
Siehe:
http://de.wikipedia.org/wiki/IP-Adresse
Das Ziel der Routen muss ein Router im Hauptnetz der Firma sein, welcher die anderen Netze kennt. Also der dortige VPN Router.
Mit <VPN Router IP Adresse> war also die VPN-IP des jeweiligen VPN Endpunktes am Hauptnetz gemeint, sofern dieser eine hat, oder auch die lokale LAN-IP des VPN Routers im Hauptnetz.
Mit <VPN Router IP Adresse> war also die VPN-IP des jeweiligen VPN Endpunktes am Hauptnetz gemeint, sofern dieser eine hat, oder auch die lokale LAN-IP des VPN Routers im Hauptnetz.
Ping im Filial-Netz 192.168.1.0 /24 auf 192.168.4.1
Es kommt in der Filiale immer
Antwort von 212.55.xx.xx (wobei es sich dabei um eine WAN-Adresse
handelt, die ich nicht kenne) : Zielhost nicht erreichbar
Es kommt in der Filiale immer
Antwort von 212.55.xx.xx (wobei es sich dabei um eine WAN-Adresse
handelt, die ich nicht kenne) : Zielhost nicht erreichbar
Dürfte der erste Router deines ISPs auf Seite der Filiale sein. Sieht so aus, als würde der Router das Paket nicht durch den VPN Tunnel sondern aufs WAN geben.
@JoeWied
Mit "<VPN Router IP Adresse>" ist immer die lokale IP Adresse des Routers/Servers gemeint der den next Hop ins Zielnetz herstellt.
So sollte dein Netz beispielhaft mit Filiale A aussehen:
Sofern das Hauptsitz Netzwerk in den VPN Tunnel übertragen wird muss im FVX bei den statischen Filial Routen die Tunnel IP des Hauptsitz Routers als next Hop Gateway angegeben werden !
Sofern der FVX das supportet kannst du die Routen auch ganz normal über den VPN Tunnel vom Hauptsitz propagieren über den VPN Tunnel. Die Filialrouter lernen es dann dynmaisch und du kannst die statischen Routen sparen. Bessere VPN Router supporten sowas problemlos.
NetGear ist nicht gerade bekannt für gute VPN Features (keine gute Wahl für ein Firmennetz ) so das es zweifelhaft ob die Komponenten das überhaupt supporten.
Mit statischen Routen sollte es aber auf Anhieb klappen !
Mit "<VPN Router IP Adresse>" ist immer die lokale IP Adresse des Routers/Servers gemeint der den next Hop ins Zielnetz herstellt.
So sollte dein Netz beispielhaft mit Filiale A aussehen:
Sofern das Hauptsitz Netzwerk in den VPN Tunnel übertragen wird muss im FVX bei den statischen Filial Routen die Tunnel IP des Hauptsitz Routers als next Hop Gateway angegeben werden !
Sofern der FVX das supportet kannst du die Routen auch ganz normal über den VPN Tunnel vom Hauptsitz propagieren über den VPN Tunnel. Die Filialrouter lernen es dann dynmaisch und du kannst die statischen Routen sparen. Bessere VPN Router supporten sowas problemlos.
NetGear ist nicht gerade bekannt für gute VPN Features (keine gute Wahl für ein Firmennetz ) so das es zweifelhaft ob die Komponenten das überhaupt supporten.
Mit statischen Routen sollte es aber auf Anhieb klappen !