Hallo,
ich habe folgende Aufgabe bekommen und komme nicht weiter, bzw. kann nicht beurteilen ob dies technisch realisierbar ist.
Es handelt sich um folgenden Aufbau:
Router 1: 1781VAW (HOME-OFFICE) (Netz: 192.168.4.0/24)
Router 2: 1783VA (Firmengelände) (Netz: 172.21.16.0/20)
Router 3: 1783VA (Kundenanlage) (mehrere Netze u.a. (10.10.10.0/24)
Router 1 kann per IPSEC-Tunnel in das Firmengelände (Router 2) und hat vollen Zugriff
Router 2 kann per IPSEC-Tunnel in das Kundennetz (Router 3) und hat Netzzugriff auf mehrere Netze
PCs / Geräte aus Router 1 sollen nun Zugriff auf in das Netz von Router 3 bekommen.
Der Router der Kundenanlage lässt lediglich das Firmennetz zu, was auch so bleiben muss.
An diesem Router besteht keine Chance auf Änderung.
Mein Plan war nun, dies per Maskierung zu realisieren. Soll heißen: Ich wollte alle Anfragen von Router 1 die in das Zielnetz (10.10.10.0/24) gehen maskieren und entsprechend an das Kundennetz übertragen und zurückleiten.
Wie muss ich das realisieren, damit die Verbindung / Übertragung funktioniert.
Viele Dank im Voraus.
MFG
Patrick Gehrmann
IP-Maskierung mit 3 LANCOMs
Moderator: Lancom-Systems Moderatoren
Re: IP-Maskierung mit 3 LANCOMs
Hi ibiss,
als erstes mußt du natürlich im ROUTER-1 eine Route setzen, die auf das Netz des ROUTER-3 zeigt und durch den VPN-Tunnel (Gegenstelle ROUTER-2) geht.
Wenn du im VPN keine "any-2-any" Regel verwendest, mußt dann mußt du im ROUTER-2 eine VPN-Regel erstellen, die es dem Netz von ROUTER-1 erlaubt, auf das Netz von ROUTER-3 zuzugreifen
Entweder über die neuen VPN-Regeln unter VPN -> Allgemein -> Netzwerk-Regeln -> IPv4-Regel-Liste, bzw. im CLI
die dann der VPN-Verbindung zugewiesen werden (Spalte IPv4-Regeln) in der Verbindungsliste. Achtung: aus Sicht der VPN-Verbindung zu ROUTER-1 ist das Netz des ROUTER-3 lokal!
oder aber über den alten Mechanismus mit der VPN-Firewall-Regel:
Und nun kommen wir endlich zum NAT:
Hier hast du nun zwei Möglichkeiten: Wenn im Firmennetz (ROUTER-2) noch ein ganzes /24 Netz frei ist (z.B. 172.21.31.0/24) , dann kannst du per N:N-NAT einfach das Netz des ROUTER-1 in das noch freie Netz mappen:
Gruß
Backslash
als erstes mußt du natürlich im ROUTER-1 eine Route setzen, die auf das Netz des ROUTER-3 zeigt und durch den VPN-Tunnel (Gegenstelle ROUTER-2) geht.
Code: Alles auswählen
:/Setup/IP-Router/IP-Routing-Table
IP-Address IP-Netmask Rtg-tag Peer-or-IP Distance Masquerade Active
===========================================-----------------------------------------------
10.10.10.0 255.255.255.0 0 ROUTER-2 0 no Yes
172.21.16.0 255.255.240.0 0 ROUTER-2 0 no Yes
Wenn du im VPN keine "any-2-any" Regel verwendest, mußt dann mußt du im ROUTER-2 eine VPN-Regel erstellen, die es dem Netz von ROUTER-1 erlaubt, auf das Netz von ROUTER-3 zuzugreifen
Entweder über die neuen VPN-Regeln unter VPN -> Allgemein -> Netzwerk-Regeln -> IPv4-Regel-Liste, bzw. im CLI
Code: Alles auswählen
:/Setup/VPN/Networks/IPv4-Rules
Name Local-Networks Remote-Networks
=================================----------------------------- ------------------------------------
TO-ROUTER-1 10.10.10.0/24, 172.21.16.0/20 192.168.4.0/24
oder aber über den alten Mechanismus mit der VPN-Firewall-Regel:
Name: ALLOW-VPN-ROUTER-3-TO-ROUTER-1
[ ] diese Regel ist für die Firewall aktin
[x] diese Regel wird zum Erzeugung von VPN-Netzbeziehungen (SAs) verwendet
[ ] weitere Regeln beachten, nachdem diese Regel zutrifft
[ ] diese Regel hält Verbindungszustände nach
Aktion: übertragen
Quelle: 10.10.10.0/255.255.255.0, 172.21.16.0/255.255.240.0
Ziel: Gegenstelle ROUTER-1
Dienste: alle Dienste
Und nun kommen wir endlich zum NAT:
Hier hast du nun zwei Möglichkeiten: Wenn im Firmennetz (ROUTER-2) noch ein ganzes /24 Netz frei ist (z.B. 172.21.31.0/24) , dann kannst du per N:N-NAT einfach das Netz des ROUTER-1 in das noch freie Netz mappen:
Oder aber du nutzt "policy based NAT" mit dem du über Firewall-Regeln gesteuert festlegst, was hinter welcher Adresse maskiert werden soll. Dazu trägst du im ROUTER-2 eine Firewall-Regel ein, die Traffic von ROUTER-1 zum ROUTER-3 hinter einer (freien!) Adresse aus dem Netz von ROUTER-2 maskiert::/Setup/IP-Router/N-N-NAT
Idx. Src-Address Src-Mask Dst-Station Mapped-Network
======-------------------------------------------------------------------
1 192.168.4.0 255.255.255.0 ROUTER-3 172.21.31.0
Damit solltest du von Netz-1 auf Netz-3 zugreifen können.Name: NAT-ACCESS-ROUTER-1-TO-ROUTER-3
[x] diese Regel ist für die Firewall aktin
[ ] diese Regel wird zum Erzeugung von VPN-Netzbeziehungen (SAs) verwendet
[ ] weitere Regeln beachten, nachdem diese Regel zutrifft
[x] diese Regel hält Verbindungszustände nach
Aktion: übertragen, Policy-based-NAT: 172.21.16.x (hier eine freie Adresse aussuchen)
Quelle: Gegenstelle ROUTER-1
Ziel: Gegenstelle ROUTER-3
Dienste: alle Dienste
Gruß
Backslash