IPv4 Regelliste

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
lonesome_walker
Beiträge: 50
Registriert: 15 Mai 2012, 09:42

IPv4 Regelliste

Beitrag von lonesome_walker »

Hallo zusammen,

wir haben gerade ein Phänomen auf einem unserer zentralen VPN-Gateways beobachtet, welches ich so erstmal nicht erwartet hätte.

Zentrales Gateway ist ein Lancom 9100+ mit LCOS 10.20RU4. Derzeit sind ca. 40 IPSEC IKEv1 VPN-Tunnel aktiv und in den Außenstellen befinden sich Router des Herstellers Teltonika.

Sämtliche VPN-Verbindungen verwenden die gleichen IPSec Phase 1 und 2 Einstellungen. Die Regelerzeugung ist auf "Manuell" gestellt und alle Verbindungen verwenden die gleiche IPv4-Regelliste. Prinzipiell sind in dieser Regelliste die Remote-Netzwerke mit einem 10.5.0.0/16 Subnetz und 3 unserer internen lokalen Subnetze angegeben, die hinter dem 9100+ geroutet werden. Die Außenstellen haben jeweils ein 10.5.xyz.0/24 Subnetz.

Das Routing funktioniert, die VPNs sind online und alles ist erstmal chic. Wenn wir jedoch über den Lanmonitor einen Tunnel manuell trennen, der von der 9100+ ausgehend ausgehandelt wurde, werden auch alle anderen VPN-Tunnel getrennt, die mit der gleichen IPv4 Regelliste arbeiten und ausgehend von der 9100+ ausgehandelt wurden. Das Verhalten hätte ich so erstmal nicht erwartet.

Ist das ein normales Verhalten "by design", oder handelt es sich hier um einen Bug?

Falls das Verhalten normal ist, wäre dann die logische Konsequenz, für jede VPN-Verbindung eine eigene IPv4-Regelliste zu erstellen? In einem kurzen Test werden immer alle VPNs getrennt, die die gleiche IPv4-Regelliste verwenden.


Besten Dank vorab!

Grüße,
Norman.
hicks
Beiträge: 5
Registriert: 25 Feb 2019, 11:37

Re: IPv4 Regelliste

Beitrag von hicks »

Habe so ein Gerät nicht zur Verfügung, kann mich aber an einen Eintrag in der Konfiguration älterer Geräte erinnern (auf der ersten Seite im VPN, der irgendwas besagte wie "Tunnel gemeinsam aufbauen, für...".

Vielleicht ist es das ja... (oder zumindest ein Ansatzpunkt)

Gruß
Kelsey
Antworten