LAN-LAN Kopplung von mehreren VLAN-Netzen

[Bernie137]

Hallo,

es besteht eine funktionierende IKEv2 S2S-VPN Verbindung zwischen Standort A (10.10.0.0/16) Tag 0 und Standort B (10.11.0.0/16) Tag 0.
Beide Standorte sollen um ein weiteres IP-Netz erweitert werden:
A 172.24.0.0/23 Tag 24
B 172.24.2.0/23 Tag 24

Wie legt man weitere IP-Netze durch den bestehenden S2S VPN-Tunnel? Muss jedes Netz extra getunnelt werden?

Gruß Bernie

[GrandDixence]

Keine Ahnung was genau "IKEv2 S2S-VPN Verbindung" sein soll, aber ich antworte auf der Basis der VPN-Anleitung:
fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795
für einen IKEv2/IPSec VPN-Tunnel zwischen zweier LANCOM-Geräte.

Welche IP-Datenpakete durch einen VPN-Tunnel dürfen, wird mit der Security Association (SA) definiert. Siehe auch:

fragen-zum-thema-vpn-f14/frage-zu-vorde ... 17087.html

viewtopic.php?f=14&t=17091&p=96922&hili ... gel#p96922

Die SA's werden unter LCOS mit den IPv4-Regeln und IPv4-Regelliste konfiguriert:

https://www.lancom-systems.de/docs/LCOS ... 19_35.html

Für die neue Verbindung durch den VPN-Tunnel ist eine neue IPv4-Regel zu erstellen. Die bestehende IPv4-Regel für die bestehende Verbindung durch den VPN-Tunnel ist mit der neuen IPv4-Regel in einer IPv4-Regelliste zu "bündeln". Die IPv4-Regelliste ist dann unter:

/Setup/VPN/IKEv2/Gegenstellen/IPv4-Regeln

https://www.lancom-systems.de/docs/LCOS ... _1_12.html

einzutragen. Fertig!

[Bernie137]

Keine Ahnung was genau "IKEv2 S2S-VPN Verbindung" sein soll,

S2S= Site to Site = LAN-LAN Kopplung, Zentrale 1900EF, Filiale 1781EF+, LCOS 10.30.0167RU1 (beide)

Welche IP-Datenpakete durch einen VPN-Tunnel dürfen, wird mit der Security Association (SA) definiert. Siehe auch:

Das ist mir bekannt.

Die SA's werden unter LCOS mit den IPv4-Regeln und IPv4-Regelliste konfiguriert:

Das ist schon erledigt und nicht das Problem. So sieht es aus in der Filiale...

Code: Alles auswählen

root@VPN-HD:/
> show vpn @ zentrale

VPN SPD and IKE configuration:

  # of rules = 8

  Rule #6          ikev2        172.24.2.0/255.255.254.0:0 <-> 172.24.0.0/255.255.254.0:0 any

    Name:                       ZENTRALE
    Unique Id:                  ipsec-0-ZENTRALE-pr0-l0-r0
    Flags:                      IKE_SA_INIT
    Local  Network:             IPV4_ADDR_SUBNET(any:0, 172.24.2.0/255.255.254.0)
    Local  Gateway:             IPV4_ADDR(any:0, 192.168.71.11)
    Remote Gateway:             IPV4_ADDR(any:0, 192.168.71.1)
    Remote Network:             IPV4_ADDR_SUBNET(any:0, 172.24.0.0/255.255.254.0)

  Rule #7          ikev2        10.11.0.0/255.255.0.0:0 <-> 10.10.0.0/255.255.0.0:0 any

    Name:                       ZENTRALE
    Unique Id:                  ipsec-1-ZENTRALE-pr0-l0-r0
    Flags:                      IKE_SA_INIT
    Local  Network:             IPV4_ADDR_SUBNET(any:0, 10.11.0.0/255.255.0.0)
    Local  Gateway:             IPV4_ADDR(any:0, 192.168.71.11)
    Remote Gateway:             IPV4_ADDR(any:0, 192.168.71.1)
    Remote Network:             IPV4_ADDR_SUBNET(any:0, 10.10.0.0/255.255.0.0)

  Rule #8          ikev2        10.11.0.0/255.255.0.0:0 <-> 0.0.0.0/0.0.0.0:0 any

    Name:                       ZENTRALE
    Unique Id:                  ipsec-2-ZENTRALE-pr0-l0-r0
    Flags:                      IKE_SA_INIT
    Local  Network:             IPV4_ADDR_SUBNET(any:0, 10.11.0.0/255.255.0.0)
    Local  Gateway:             IPV4_ADDR(any:0, 192.168.71.11)
    Remote Gateway:             IPV4_ADDR(any:0, 192.168.71.1)
    Remote Network:             IPV4_ADDR_SUBNET(any:0, 0.0.0.0/0.0.0.0)


root@VPN-HD:/

Hinweis: Local und Remote Gateway sind IPs von einem RiFU Transfernetz, daher nicht öffentliche IPs.

So die Zentrale:

Code: Alles auswählen

root@VPN-ZENTRALE:/
> show vpn @ hd

VPN SPD and IKE configuration:

  # of rules = 19

  Rule #17         ikev2        172.24.0.0/255.255.254.0:0 <-> 172.24.2.0/255.255.254.0:0 any

    Name:                       HD
    Unique Id:                  ipsec-0-HD-pr0-l0-r0
    Flags:                      IKE_SA_INIT
    Local  Network:             IPV4_ADDR_SUBNET(any:0, 172.24.0.0/255.255.254.0)
    Local  Gateway:             IPV4_ADDR(any:0, 192.168.71.1)
    Remote Gateway:             IPV4_ADDR(any:0, 192.168.71.11)
    Remote Network:             IPV4_ADDR_SUBNET(any:0, 172.24.2.0/255.255.254.0)

  Rule #18         ikev2        0.0.0.0/0.0.0.0:0 <-> 10.11.0.0/255.255.0.0:0 any

    Name:                       HD
    Unique Id:                  ipsec-2-HD-pr0-l0-r0
    Flags:                      IKE_SA_INIT
    Local  Network:             IPV4_ADDR_SUBNET(any:0, 0.0.0.0/0.0.0.0)
    Local  Gateway:             IPV4_ADDR(any:0, 192.168.71.1)
    Remote Gateway:             IPV4_ADDR(any:0, 192.168.71.11)
    Remote Network:             IPV4_ADDR_SUBNET(any:0, 10.11.0.0/255.255.0.0)

  Rule #19         ikev2        10.10.0.0/255.255.0.0:0 <-> 10.11.0.0/255.255.0.0:0 any

    Name:                       HD
    Unique Id:                  ipsec-1-HD-pr0-l0-r0
    Flags:                      IKE_SA_INIT
    Local  Network:             IPV4_ADDR_SUBNET(any:0, 10.10.0.0/255.255.0.0)
    Local  Gateway:             IPV4_ADDR(any:0, 192.168.71.1)
    Remote Gateway:             IPV4_ADDR(any:0, 192.168.71.11)
    Remote Network:             IPV4_ADDR_SUBNET(any:0, 10.11.0.0/255.255.0.0)


root@VPN-ZENTRALE:/

Rule #8 und Rule #18 sind für Internet Traffic aus der Filiale.

einzutragen. Fertig!

Und was ist mit der Routing Tabelle?

Code: Alles auswählen

root@VPN-HD:/
> ls /Setup/IP-Router/IP-Routing-Table/

IP-Address       IP-Netmask       Rtg-tag  Peer-or-IP        Distance  Masquerade  Active   Comment
===========================================-----------------------------------------------------------------------------------------------------------------
172.24.0.0       255.255.254.0    24       ZENTRALE          0         No          No
10.10.0.0        255.255.0.0      0        ZENTRALE          0         No          Yes
224.0.0.0        224.0.0.0        0        0.0.0.0           0         No          Yes      block multicasts: 224-255.x.y.z
255.255.255.255  0.0.0.0          5        ZENTRALE          0         No          Yes      Internet Traffic nach BU
255.255.255.255  0.0.0.0          1        INTERNET          0         on          Yes      lokales VDSL
255.255.255.255  0.0.0.0          0        RIFU711           0         on          Yes      RiFu-Verbindung

root@VPN-HD:/

Code: Alles auswählen

root@VPN-ZENTRALE:/
> ls /Setup/IP-Router/IP-Routing-Table/

IP-Address       IP-Netmask       Rtg-tag  Peer-or-IP        Distance  Masquerade  Active   Comment
===========================================-----------------------------------------------------------------------------------------------------------------
172.24.2.0       255.255.254.0    24       HD                0         No          No
10.11.0.0        255.255.0.0      0        HD                0         No          Yes
224.0.0.0        224.0.0.0        0        0.0.0.0           0         No          Yes      block multicasts: 224-255.x.y.z
255.255.255.255  0.0.0.0          7        RIFU711           0         on          Yes      RiFu VLAN711
255.255.255.255  0.0.0.0          2        BACKUP            0         on          Yes      DSL16
255.255.255.255  0.0.0.0          0        RIFU.93           0         on          Yes      Internet

root@VPN-ZENTRALE:/

Aktiviere ich beide Routen, also die 172.24.x.x in beiden Routern, dann "knallts". D.h. der Tunnel bleibt bestehen, aber die 10.10.0.0/16 kann nicht mehr mit 10.11.0.0/16 kommunizieren und umgekehrt.

Hast Du sowas schon einmal konfiguriert?

Gruß Bernie

[GrandDixence]

Hast Du sowas schon einmal konfiguriert?

Nein. Aber aus Sicherheitsgründen hätte ich den Netzen:

10.10.0.0/16
10.11.0.0/16

ein Routing-Tag > 0 vergeben.
viewtopic.php?f=15&t=17569&p=99671#p99671

und die entsprechend erforderlichen Einträge in der WAN-Tag-Tabelle (/Setup/IP-Router/Tag-Tabelle/) ergänzt:

fragen-zum-thema-vpn-f14/vpn-clients-mi ... 12347.html

https://www2.lancom.de/kb.nsf/b8f10fe56 ... 6c00408781

fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795

[sixty]

Warum eigentlich so kompliziert?

ARF klingt für mich so, als ob die beiden Netze nichts miteinander zu tun haben sollen (z.B. Gastnetz, 2 Firmen) und kein Routing dazwischen gebraucht wird.

Dann baue doch einfach zwei unabhängige VPN-Verbindungen parallel auf. Das kostet nichts - allerhöchstens eine zusätzliche Lizenz, falls Ihr mit den 25 bzw. 5 eingebauten gerade am Limit seid.

[Bernie137]

Nein. Aber aus Sicherheitsgründen hätte ich den Netzen:

10.10.0.0/16
10.11.0.0/16

ein Routing-Tag > 0 vergeben.

Das lässt sich ja noch nachholen.

Dann baue doch einfach zwei unabhängige VPN-Verbindungen parallel auf. Das kostet nichts - allerhöchstens eine zusätzliche Lizenz, falls Ihr mit den 25 bzw. 5 eingebauten gerade am Limit seid.

Die 25er ist schon im Einsatz. Es wird nicht nur ein Zweites, sondern auch noch ein drittes und viertes Netz aufgemacht. Das an mehreren Standorten. Du verstehst?

Ich bin mir ziemlich sicher, dass ich das hier schon einmal vor ca. 2 Jahren von Jirka gelesen habe in Zusammenhang mit VoiP, dass man alles durch einen IPSec Tunnel schickt, anstatt mehrere. Den Beitrag finde ich leider nicht mehr. Leider finde ich auch keine Hinweise im Ref Manual oder Knowledgebase oder ich bin zu blöd.

Hier wird davon gesprochen aktuelle-lancom-router-serie-f41/vlan-k ... 11539.html, nur ist im Beitrag die Anforderungen das sich die Netze ständig ändern - bei uns nicht. Der Beitrag ist jetzt 7 Jahre alt. Seinerzeit war eine Firmware so um 8.62 aktuell. Daher hier meine Frage, macht man das immer noch so, oder löst man es jetzt einfacher, eleganter, anders...?

Gruß Bernie

[GrandDixence]

Wurde eigentlich schon mit dem entsprechenden "IP-Router"- und Firewall-Trace versucht, den Fehler einzugrenzen? Gemäss der Beschreibung handelt es sich ja um ein Problem im "IP-Router/Firewall"-Modul und nicht im VPN-Modul. Also um eine Fehlkonfiguration irgendwo im Bereich von Routingtabelle, Firewallregeln, WAN-Tag-Tabelle etc.

Regel #18 ist eine Teilmenge von Regel #19. Regel #7 ist eine Teilmenge von Regel #8.
https://de.wikipedia.org/wiki/Teilmenge
Deshalb könnte das in diesem Heise-Artikel ganz unten als "Narrowing" beschriebene Verhalten zum Einsatz kommen:
https://www.heise.de/security/artikel/E ... #kasten-u3
Da ich aber keinen VPN-Tunnel mit einer ähnlichen SA-Konfiguration im Einsatz habe, bleibt dies nur eine Vermutung...

[Jirka]

Hallo Bernie,
natürlich alles durch einen IPsec-Tunnel. Mir ist unklar, wo hier das Problem sein soll. Soll eigentlich jedes Netz mit jedem Netz der Gegenseite eine Beziehung haben? Oder nur das erste mit dem ersten und das zweite mit dem zweiten?
Viele Grüße,
Jirka

[Bernie137]

Wurde eigentlich schon mit dem entsprechenden "IP-Router"- und Firewall-Trace versucht, den Fehler einzugrenzen? Gemäss der Beschreibung handelt es sich ja um ein Problem im "IP-Router/Firewall"-Modul und nicht im VPN-Modul. Also um eine Fehlkonfiguration irgendwo im Bereich von Routingtabelle, Firewallregeln, WAN-Tag-Tabelle etc.

Nein. Das macht zu viel Stress am lebenden Objekt. Ich werde mir noch eine parallele Testumgebung aufbauen.

natürlich alles durch einen IPsec-Tunnel.

Ich war mir sicher, dass ich es von Dir gelsen habe.

Soll eigentlich jedes Netz mit jedem Netz der Gegenseite eine Beziehung haben? Oder nur das erste mit dem ersten und das zweite mit dem zweiten?

Das erste mit dem ersten, das zweite mit dem zweiten usw...

Extra Tunnel im IPSec sind notwendig, oder nicht? aktuelle-lancom-router-serie-f41/lancom ... 14024.html

Gruß Bernie

[Jirka]

Hallo Bernie,

Nein. Das macht zu viel Stress am lebenden Objekt. Ich werde mir noch eine parallele Testumgebung aufbauen.

Einfach ordentlich Routing-Tags und Schnittstellen-Tags vergeben, das ist so oder so erforderlich und die Automatik macht das alles. Verstehe wie gesagt immer noch nicht, wo hier ein Problem sein soll.

Ich war mir sicher, dass ich es von Dir gelesen habe.

Vermutlich meinst Du diesen Beitrag hier: fragen-zum-thema-vpn-f14/vpn-automatisc ... 16599.html
Da war aber gerade das Problem, dass die VPN-Verbindung G auf beide Netze zugreifen können sollte. (Ein Netz remote zu zwei Netzen lokal.) In den ls-Ausgaben siehst Du aber auch die anderen VPNs die Netz 1 zu 1 und Netz 2 zu 2 haben. Da wurde halt nur etwas grob anonymisiert. Aber B = C und D = E, vielleicht hilft Dir das weiter.

Extra Tunnel im IPSec sind notwendig, oder nicht?

Natürlich nicht.

Viele Grüße,
Jirka

[Bernie137]

Hallo Jirka,

Vermutlich meinst Du diesen Beitrag hier: fragen-zum-thema-vpn-f14/vpn-automatisc ... 16599.html

Den hatte ich schon gelesen. Es war ein anderer etwas älterer gewesen (und da war es eher am Rande erwähnt bei VoIP), aber das ist jetzt nicht wild. Ich suchte nur deshalb danach, um eine "Bestätigung" zu lesen, dass man alles durch einen Tunnel schickt, ohne Extranet Gedönse.

Natürlich nicht.

Danke! Ich wollte einfach nochmal sicher gehen, damit ich nicht auf dem Holzweg bin.

das ist so oder so erforderlich und die Automatik macht das alles.

In Wahrheit ist es ja komplexer, da verlasse ich mich lieber nicht auf die Automatik.
Ich habe festgestellt bei meinen Tests, dass es einen Unterschied macht wenn ich im Router der Zentrale das Zielnetz 0.0.0.0/0 (für Internet durch den VPN Tunnel) in der Firewall als VPN-Regel anlege - funktioniert der Internetzugiff in der Filiale. Bei /Setup/VPN/IKEv2/Gegenstellen/IPv4-Regeln funktioniert es nicht. Da steht zwar bei 'show vpn @ Gegenstelle' exakt die gleiche Regel, aber eben nicht an erster Stelle und ich bekomme im VPN-Paket Trace "no matching sa available" zu sehen. Nehme ich die 0.0.0.0/0 Regel in /Setup/VPN/IKEv2/Gegenstellen/IPv4-Regeln ganz heraus, dann sagt der Trace richtigerweise "no policy found".

Verstehe wie gesagt immer noch nicht, wo hier ein Problem sein soll.

Ich selber auch nicht. Aber dann teste ich mich wieder weiter heran... Ich bekomme das schon noch hin.

Danke!

Gruß Bernie

[Bernie137]

Hallo,

ich kann nun Rückmeldung geben, es läuft jetzt fast alles wie gewünscht und auch stabil. Fast heißt, es gibt noch ein paar Dinge bzgl. des Lancom DNS Server. Dazu schreibe ich noch eigene Beiträge.

Es sind einige Dinge zusammen gefallen, die zum Problem führten. Am meißten habe ich mich vom Ping Befehl auf der CLI in die Irre führen lassen und daraus falsche Schlüsse gezogen. Aber auch solche Probleme gehörten dazu: aktuelle-lancom-router-serie-f41/lcos-w ... ml#p100069

Meine wichtigste Erkenntis ist, wenn ich mit separaten ARF-Netzen und entsprechenden Routing-Tags arbeite, dann funktioniert von der CLI beispielsweise kein "ping 172.24.0.1", das gibt einen Timeout. Ich musste erst begreifen, dass ich dem Ping die Absender-Adresse mit geben muss: "ping -a 172.24.4.1 172.24.0.1". Das war dann erfolgreich. Mir bleibt immer noch ein Rätsel, warum ich das mit einem AP jeweils hinter den beiden Routern nicht hinbekomme.

AP-Zentrale - Router Zentrale - Router Filiale - AP Filiale
172.24.0.30/23 172.24.0.1/23 172.24.4.1/23 172.24.4.30/23

Vom Router Zentrale konnte ich den Router und AP in der Filiale ping, umgekehrt auch vom Router Filiale den Router und AP in der Zentrale, aber nie von AP zu AP. Verwendete ich beispielsweise einen Windows Rechner auf beiden Seiten satt dem AP, dann hat das auf Anhieb funktioniert.

AP-Zentrale:
Ping -a 172.24.0.30 172.24.4.1 OK
Ping -a 172.24.0.30 172.24.4.30 Timeout

AP Filiale:
Ping -a 172.24.4.30 172.24.0.1 OK
Ping -a 172.24.4.30 172.24.0.30 Timeout

Vielen Dank Jirka und GrandDixence für Eure Unterstützung!

Gruß Bernie

[Jirka]

Hallo Bernie,

aber die -a-Option beim Ping und alles drumherum, also show bind, die Änderungen dazu in der 10.12 usw., wurden ausführlich hier im Forum diskutiert, mehrfach. Da wundert es mich dann irgendwie, dass Du das dann doch nicht so mitbekommen hast.
Z. B. hier: aktuelle-lancom-router-serie-f41/horror ... tml#p93927 (evt. auch einige Postings davor und danach)

Bzgl. der Pings von den APs: Da muss dann was bei den APs nicht stimmen. Vermutlich die Routing-Tabelle nicht. Denn da müsstest Du bei dieser eigenartigen Konfiguration - die es in der Praxis so halt selten gibt oder eben nur zu Testzwecken, weil man einen AP normal ja nur in ein Netz stellt, also das Intranet oder das Administrationsnetz, alle anderen Netze werden ja auch durchgebridged, ohne dass der AP in dem Netz selber steht, also eine IP-Adresse dort hat - ja auch zwei entsprechende Routen haben, damit die Pings auch richtig durchgehen.

Viele Grüße,
Jirka

[Bernie137]

Hallo Jirka,

aber die -a-Option beim Ping und alles drumherum, also show bind, die Änderungen dazu in der 10.12 usw., wurden ausführlich hier im Forum diskutiert, mehrfach. Da wundert es mich dann irgendwie, dass Du das dann doch nicht so mitbekommen hast.
Z. B. hier: aktuelle-lancom-router-serie-f41/horror ... tml#p93927 (evt. auch einige Postings davor und danach)

Ja das ist wohl irgendwie an mir vorbei gegangen. Ich hatte es eben bislang auch nciht wirklich benötigt.

Denn da müsstest Du bei dieser eigenartigen Konfiguration - die es in der Praxis so halt selten gibt oder eben nur zu Testzwecken, weil man einen AP normal ja nur in ein Netz stellt,

Richtig. Das waren meine Testkrücken. Generell sind die APs nicht in mehreren Netzen.

ja auch zwei entsprechende Routen haben, damit die Pings auch richtig durchgehen.

Das wird es wohl gewesen sein, danke.

Gruß Bernie