2 VPN-Netze über Intranator verbinden

[Eric]

Hallo,

Ich verusche gerad zwei Netze, die über VPN an den Intranator angebunden sind über eben diesen zu verbinden.

Beide Netze sind zwar vom Netz des Intranators aus erreichbar, ich komm aber einfach nicht auf die Routing-Einstellungen bzw Firewall-Einstellungen um Netz A über den Intranator für Netz B erreichbar zu machen und umgekehrt.

Will ich unter Routing wieder ein Netz hinzufügen, hab ich wieder das Problem, das das Netz ja schon in den VPN-Einstellungen benutzt wird und nicht hinzugefügt werden kann. Ich weiß aber nichtmal, ob das der richtige Weg wäre...

Wie kann ich das nun realisieren?

MfG Eric

[Gerd von Egidy]

Hallo,

bei VPNs müssen Sie immer von vorneherein her alle möglichen Tunnel als VPN-Verbindung konfigurieren.

Bisher haben Sie vermutlich folgende VPN-Verbindungen:

Intranator-LAN <-> A
Intranator-LAN <-> B

was Sie jetzt noch benötigen wäre zusätzlich:

A <-> B

Das müssten Sie unter Dienste > VPN > Verbindungen im Intranator anlegen. Außerdem natürlich noch eine passende Konfiguration an den beiden Standorten A und B.

Allerdings gehen dann alle Daten von A nach B über die Leitung des Intranators. Es ist da normalerweise besser, wenn Sie zwischen A und B direkt eine VPN-Verbindung anlegen. Dann müssen die Daten nicht den Umweg über den Intranator nehmen.

Herzliche Grüße,

v. Egidy

[Eric]

Das Problem ist nur, dass beide VPNs dynamische IPs haben, DynDNS an der Stelle nicht läuft und daher eine Konfig ala A <-> B was schwierig wird.

Zudem ist eine Seite über nen Client angebunden, der nur eine Verbindung gleichzeitig aufbaut.

Bei den Lancoms, die hier noch als VPN-Gateway im Einsatz sind kann ich ohne Einrichten einer Verbindung ala A <-> B allein durch die Routing-Optionen diese Verbindung herstellen. Die aber haben schon min 4 Tunnel pro Gerät und ohne VPN-Option komm ich nicht über max 5 gleichzeitige Tunnel...

Das Ganze sollte sozusagen als Workaround für wie Weitlerleitung auf den Webserver im anderen VPN-Netz dienen...

Andere Möglichkeiten hab ich nicht?


MfG Eric

[bjoerns]

Hallo,

Andere Möglichkeiten hab ich nicht?

doch. Man könnte die Netze entsprechend zusammenfassen, also einen Tunnel für ein größeren Netzbereich definieren, welcher sowohl das Netz des Intranators als auch das Netz der anderen Gegenstelle umfasst.

Dazu muss man aber die lokalen Netze der 2 Lancom Routern und des Intranators wahrscheinlich umkonfigureieren.

Angenommen der Intranator hat als lokales Netz die 192.168.0.0/24,
der 1. Lancom hat als lokales Netz die 192.168.1.0/24,
und der 2. Lancom hat als lokales Netz die 192.168.2.0/24.

Dann könnte man für jeden Lancom Router eine Verbindung wie folgt konfigurieren:

Verbindung für den 1. Lancom Router: Lokales Netz, Freies Netz mit 192.168.0.0/16 und Netz auf Gegenseite, Freies Netz mit 192.168.1.0/24.

Verbindung für den 2. Lancom Router: Lokales Netz, Freies Netz mit 192.168.0.0/16 und Netz auf Gegenseite, Freies Netz mit 192.168.2.0/24.

Voraussetzung ist natürlich, dass die Verbindungen in dieser Art auch auf den Lancoms konfiguriert werden können.

MFG Björn

[Eric]

Die Lancoms waren jetzt nur nen Beispiel, da ich von denen weiß, das es geht, bauen die untereinander eine Verbindung auf.

Hier in dem Fall hab ich nen industriellen Router von Welotec (der das können sollte) auf der einen und nen Software-Client auf der anderen Seite.

Ich probier das aus, sobald ich weiß warum der Welotec-Router keine Verbindung mehr aufbaut...

Thx Eric

[Eric]

Ich glaub ich hab das noch nicht ganz verstanden.

Das Ganze könnte also funktionieren, auch wenn der Intranator das Netz 192.168.0.0/24 hat und auf als Netz auf der Gegenseite was ala 192.168.xxx.0/24 angegeben ist?
Was Anderes will er immerhin auch in der Konfig nicht haben, würd sich sonst zwangsweise ja überschneiden.

Edit:
Ich hab das vielleicht falsch verstanden... Diese Konfig hab ich probiert: Intrnator Netz 192.168.0.0/24 mit Freies netz 192.168.0.0/24 angegeben. Netz auf Gegenseite angegeben als 192.168.20.0/24
Mit nem Netz /16 gibt's Überschneidungen, die er nicht mag...

Beim Router als auch Client nun also versucht Netz auf Gegenseite mit 192.168.0.0/16 an zu geben, doch beiden bauen so keine Verbindung auf. Wo liegt mein Fehler?

MfG Eric

[Gerd von Egidy]

Hallo,

überschneiden dürfen sich die Netze nicht, das mit dem Zusammenfassen funktioniert also nur für eine von beiden Seiten.

Auf der anderen Seite, vorzugsweise dem einzelnen Client, können Sie aber "Alles (0.0.0.0/0.0.0.0)" als Gegenseite einstellen. Dann läuft aller Datenverkehr der nicht das dortige lokale Netz betrifft über das VPN zum Intranator und dann eben auch durchs VPN zum anderen Standort. Achten Sie nur darauf daß die virtuelle IP des Clients sich auch in dem zusammengefassten Netzbereich befindet.

Sie können aber das mit Gegenseite Alles auch auf beiden Seiten einrichten. Sie müssen eben nur darauf achten daß die Leitung vor dem Intranator nicht zum Flaschenhals wird.

Herzliche Grüße,

v. Egidy