Guten Abend,
auf der Suche nach einer korrekten Lösung bin ich auf einige Themen gestoßen die ähnlich meines Anliegens sind, aber doch unterschiedlich. Nachdem ich mich aber schon vor Kurzem einmal selbst ausgesperrt habe und die Fahrt zum Remote-Standort nötig wurde, wollte ich hier sicherheitshalber nochmal konkret nachfragen...
Ausgangssituation:
Zwei Standorte die mit einer LAN-LAN-Kopplung verbunden sind, der Zugriff auf die Geräte am jeweils anderen Standort funktioniert einwandfrei. Zugriff aufs Internet erfolgt auf beiden Seiten direkt lokal.
Ziel:
Nur einzelne Rechner am Standort A sollen ihren Internetverkehr nun durch den VPN-Tunnel zum Standort B leiten und über den Internetanschluss am Standort B aufs Internet zugreifen.
Wenn ich die Informationen aus den ähnlichen Themen richtig zusammengetragen haben, dann müsste ich hierfür:
1. In der Firewall am Standort A eine Regel hinzufügen, die für die Quell-IP des umzuleitenden Rechners und das Ziel "...alle Stationen" ein Routing-Tag (z.B. 1) setzt.
2. In der Routing-Tabelle am Standort A eine zweite Default-Route eintragen mit dem Routing-Tag aus 1. und zwar VOR der regulären Default-Route mit Routing-Tag 0. Muss das Ziel hier die VPN-Gegenstelle oder die IP des Routers am Standort B sein?
3. In der Firewall am Standort B eine zusätzliche Regel erzeugen, OHNE "...ist für die Firewall aktiv" aber MIT "...zum Erzeugen von VPN-Netzbeziehungen...". Quelle "ALLES" und Ziel die Quell-IP aus 1.
Ist das soweit korrekt, oder habe ich was vergessen/falsch verstanden?
Wenn das soweit passt, dann wäre die Pflicht erledigt und es bleibt die Frage zur Kür: Kann man in dieser Konstellation auch noch erreichen das der umgeleitete Rechner auch den DNS vom Standort B nutzt, ohne dass man diesen am Rechner manuell einträgt.
Und rein aus Interesse: Was passiert, wenn der VPN-Tunnel nicht verfügbar ist? Wird dann die zweite Default-Route irgendwie ungültig und der umgeleitete Rechner greift sozusagen Fall-Back-Mäßig über den lokalen Internetzugang wieder aufs Internet zu?
Je länger ich darüber nachdenke desto mehr Fragen kommen irgendwie auf und ich hoffe dass ihr hier weiterhelfen könnt. Vielen Dank!
Gruß
booker
Default Gateway für einzelne Rechner durch VPN-Tunnel leiten
Moderator: Lancom-Systems Moderatoren
Re: Default Gateway für einzelne Rechner durch VPN-Tunnel leiten
Hi booker
Ab der 10.40 kannst du das über die "administrative Distanz" in der Routing-Tabelle lösten, indem du eine Route mit Tag aufs VPN mit z.B. administrativer Distanz 1 une eine mit Tag auf die Internetverbindung mit administrativer Distanz 2 erstellst. (nur hast du dann wieder ein Problem mit der DNS-Weiterleitung)
Gruß
Backslash
korrekt1. In der Firewall am Standort A eine Regel hinzufügen, die für die Quell-IP des umzuleitenden Rechners und das Ziel "...alle Stationen" ein Routing-Tag (z.B. 1) setzt.
sie steht automatisch VOR der Route mit Tag 0...2. In der Routing-Tabelle am Standort A eine zweite Default-Route eintragen mit dem Routing-Tag aus 1. und zwar VOR der regulären Default-Route mit Routing-Tag
natürlich die VPN-Gegenstelle... Das VPN weiss dann, wie es die Pakete zum Stabdort B befördertMuss das Ziel hier die VPN-Gegenstelle oder die IP des Routers am Standort B sein?
korrekt (oder als Ziel direkt das ganze Netz des Standorts A)3. In der Firewall am Standort B eine zusätzliche Regel erzeugen, OHNE "...ist für die Firewall aktiv" aber MIT "...zum Erzeugen von VPN-Netzbeziehungen...". Quelle "ALLES" und Ziel die Quell-IP aus 1.
nein, das geht nicht - du könntest höchstens den gsamten DNS-Traffic vom Standort A über dne Stanbdort B leiten indem du ein Forwarding für "*.*" zu, DNS-Server im Stabdort B einrichtest. Selektiv für einzelne hosts geht das mit dme LANCOM nicht.Kann man in dieser Konstellation auch noch erreichen das der umgeleitete Rechner auch den DNS vom Standort B nutzt, ohne dass man diesen am Rechner manuell einträgt.
nein, fann ist das Internet für den Host "tot"...Und rein aus Interesse: Was passiert, wenn der VPN-Tunnel nicht verfügbar ist? Wird dann die zweite Default-Route irgendwie ungültig und der umgeleitete Rechner greift sozusagen Fall-Back-Mäßig über den lokalen Internetzugang wieder aufs Internet zu?
Ab der 10.40 kannst du das über die "administrative Distanz" in der Routing-Tabelle lösten, indem du eine Route mit Tag aufs VPN mit z.B. administrativer Distanz 1 une eine mit Tag auf die Internetverbindung mit administrativer Distanz 2 erstellst. (nur hast du dann wieder ein Problem mit der DNS-Weiterleitung)
Gruß
Backslash