IP-Maskierung mit 3 LANCOMs

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

Antworten
ibiss
Beiträge: 1
Registriert: 09 Dez 2019, 10:50

IP-Maskierung mit 3 LANCOMs

Beitrag von ibiss »

Hallo,

ich habe folgende Aufgabe bekommen und komme nicht weiter, bzw. kann nicht beurteilen ob dies technisch realisierbar ist.
Es handelt sich um folgenden Aufbau:
Router 1: 1781VAW (HOME-OFFICE) (Netz: 192.168.4.0/24)
Router 2: 1783VA (Firmengelände) (Netz: 172.21.16.0/20)
Router 3: 1783VA (Kundenanlage) (mehrere Netze u.a. (10.10.10.0/24)

Router 1 kann per IPSEC-Tunnel in das Firmengelände (Router 2) und hat vollen Zugriff
Router 2 kann per IPSEC-Tunnel in das Kundennetz (Router 3) und hat Netzzugriff auf mehrere Netze

PCs / Geräte aus Router 1 sollen nun Zugriff auf in das Netz von Router 3 bekommen.
Der Router der Kundenanlage lässt lediglich das Firmennetz zu, was auch so bleiben muss.
An diesem Router besteht keine Chance auf Änderung.

Mein Plan war nun, dies per Maskierung zu realisieren. Soll heißen: Ich wollte alle Anfragen von Router 1 die in das Zielnetz (10.10.10.0/24) gehen maskieren und entsprechend an das Kundennetz übertragen und zurückleiten.

Wie muss ich das realisieren, damit die Verbindung / Übertragung funktioniert.
Viele Dank im Voraus.

MFG
Patrick Gehrmann
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: IP-Maskierung mit 3 LANCOMs

Beitrag von backslash »

Hi ibiss,

als erstes mußt du natürlich im ROUTER-1 eine Route setzen, die auf das Netz des ROUTER-3 zeigt und durch den VPN-Tunnel (Gegenstelle ROUTER-2) geht.

Code: Alles auswählen

:/Setup/IP-Router/IP-Routing-Table

IP-Address       IP-Netmask       Rtg-tag  Peer-or-IP      Distance  Masquerade  Active   
===========================================-----------------------------------------------
10.10.10.0       255.255.255.0    0        ROUTER-2        0         no          Yes                                       
172.21.16.0      255.255.240.0    0        ROUTER-2        0         no          Yes                                       

Wenn du im VPN keine "any-2-any" Regel verwendest, mußt dann mußt du im ROUTER-2 eine VPN-Regel erstellen, die es dem Netz von ROUTER-1 erlaubt, auf das Netz von ROUTER-3 zuzugreifen

Entweder über die neuen VPN-Regeln unter VPN -> Allgemein -> Netzwerk-Regeln -> IPv4-Regel-Liste, bzw. im CLI

Code: Alles auswählen

:/Setup/VPN/Networks/IPv4-Rules

Name                             Local-Networks                    Remote-Networks
=================================-----------------------------  ------------------------------------
TO-ROUTER-1                      10.10.10.0/24, 172.21.16.0/20     192.168.4.0/24
die dann der VPN-Verbindung zugewiesen werden (Spalte IPv4-Regeln) in der Verbindungsliste. Achtung: aus Sicht der VPN-Verbindung zu ROUTER-1 ist das Netz des ROUTER-3 lokal!


oder aber über den alten Mechanismus mit der VPN-Firewall-Regel:
Name: ALLOW-VPN-ROUTER-3-TO-ROUTER-1

[ ] diese Regel ist für die Firewall aktin
[x] diese Regel wird zum Erzeugung von VPN-Netzbeziehungen (SAs) verwendet
[ ] weitere Regeln beachten, nachdem diese Regel zutrifft
[ ] diese Regel hält Verbindungszustände nach

Aktion: übertragen
Quelle: 10.10.10.0/255.255.255.0, 172.21.16.0/255.255.240.0
Ziel: Gegenstelle ROUTER-1
Dienste: alle Dienste

Und nun kommen wir endlich zum NAT:


Hier hast du nun zwei Möglichkeiten: Wenn im Firmennetz (ROUTER-2) noch ein ganzes /24 Netz frei ist (z.B. 172.21.31.0/24) , dann kannst du per N:N-NAT einfach das Netz des ROUTER-1 in das noch freie Netz mappen:
:/Setup/IP-Router/N-N-NAT

Idx. Src-Address Src-Mask Dst-Station Mapped-Network
======-------------------------------------------------------------------
1 192.168.4.0 255.255.255.0 ROUTER-3 172.21.31.0
Oder aber du nutzt "policy based NAT" mit dem du über Firewall-Regeln gesteuert festlegst, was hinter welcher Adresse maskiert werden soll. Dazu trägst du im ROUTER-2 eine Firewall-Regel ein, die Traffic von ROUTER-1 zum ROUTER-3 hinter einer (freien!) Adresse aus dem Netz von ROUTER-2 maskiert:
Name: NAT-ACCESS-ROUTER-1-TO-ROUTER-3

[x] diese Regel ist für die Firewall aktin
[ ] diese Regel wird zum Erzeugung von VPN-Netzbeziehungen (SAs) verwendet
[ ] weitere Regeln beachten, nachdem diese Regel zutrifft
[x] diese Regel hält Verbindungszustände nach

Aktion: übertragen, Policy-based-NAT: 172.21.16.x (hier eine freie Adresse aussuchen)
Quelle: Gegenstelle ROUTER-1
Ziel: Gegenstelle ROUTER-3
Dienste: alle Dienste
Damit solltest du von Netz-1 auf Netz-3 zugreifen können.


Gruß
Backslash
Antworten