Hallo allerseits,
ich habe hier momentan eine Anfrage auf dem Tisch, ob es möglich ist einzelne, oder ein ganzes Subnetz, öffentlicher Adressen die auf das WAN-Interface gerouted werden nicht wie üblich in die DMZ, sondern über einen VPN-Tunnel (durch das LAN) zu einem zweiten LC zu leiten und dort zu nutzen.
Funktioniert das ? Und wenn ja, wie macht man dem LC begreiflich das man gerne VPN übers LAN hätte ?
Grüße
Dirk
PS: Wer sich fragt... Was soll das ? ... Jemand hat unserem IT-Leiter erzählt das VLANs dermassen unsicher sind, das man die nie und nimmer nicht nutzen soll. VPN übers LAN ist vieeeeeel besser.... Ähm, ja
Öffentliche IPs in VPN routen ?!?
Moderator: Lancom-Systems Moderatoren
Hi reuter
Du mußt also eine Router erstellen, die das öffentliche Netz auf den VPBN-Tunnel legt. Da es sich um öffentliche Adressen handelt, soll auch jeder darauf zugreifen können. Also mußt du eine VPN-Regel erstellen, die das ermöglicht:
Wenn auf der "anderen" Seite ein LANCOM steht, dann reicht es in diesem aus,
a) die Defaultroute auf den VPN-Tunnel zu legen
b) eine Route einzutragen, über die das erste LANCOM erreicht werden kann (denn das ist ja das VPN-Gateway)
aaaaaber: es geht hier um öffentliche Adressen, d.h. jeder außerhalb deines Netzes kann das sowieso mitlesen... daher ist es genaugenommen recht unsinnig und brignt nichts an Sicherheit.
VLANs sind eigentlich ausreichend sicher - solange man überall VLAN fähige Switches einsetzt. Denn dann werden die Netze vollständig voneinander getrennt (bis auf die Bereiche, in denen mehrere VLANs auf einem Strang existieren - doch diese Bereiche sollten niemals bei einem "normalen PC" enden...)
Natürlich verhindern VLANs nicht, daß sich jemand an so ein Kabel klemmt - aber wie oben schon gesagt: es geht um öffentliche Adressen und außerhalb deines Netzes kann das auch jeder mitlesen...
Gruß
Backslash
im Prinzip ja, aber...Funktioniert das ?
hier fangen die Probleme an... Du mußt die VPN-Regeln manuell erstellen, da das LANCOM für die automatische Regelerstellung als "Quelle" nur sein Intranet einsetzt.Und wenn ja, wie macht man dem LC begreiflich das man gerne VPN übers LAN hätte ?
Du mußt also eine Router erstellen, die das öffentliche Netz auf den VPBN-Tunnel legt. Da es sich um öffentliche Adressen handelt, soll auch jeder darauf zugreifen können. Also mußt du eine VPN-Regel erstellen, die das ermöglicht:
Code: Alles auswählen
Quelle: Alle Stationen
Ziel: entweder: das öffentliche Netz
oder: VPN-Gegenstelle
Aktion: übertragen
[x] diese Regel wird zur erzwugung von VPN-Regeln herangezogen.a) die Defaultroute auf den VPN-Tunnel zu legen
b) eine Route einzutragen, über die das erste LANCOM erreicht werden kann (denn das ist ja das VPN-Gateway)
PS: Wer sich fragt... Was soll das ? ... Jemand hat unserem IT-Leiter erzählt das VLANs dermassen unsicher sind, das man die nie und nimmer nicht nutzen soll. VPN übers LAN ist vieeeeeel besser.... Ähm, ja
aaaaaber: es geht hier um öffentliche Adressen, d.h. jeder außerhalb deines Netzes kann das sowieso mitlesen... daher ist es genaugenommen recht unsinnig und brignt nichts an Sicherheit.
VLANs sind eigentlich ausreichend sicher - solange man überall VLAN fähige Switches einsetzt. Denn dann werden die Netze vollständig voneinander getrennt (bis auf die Bereiche, in denen mehrere VLANs auf einem Strang existieren - doch diese Bereiche sollten niemals bei einem "normalen PC" enden...)
Natürlich verhindern VLANs nicht, daß sich jemand an so ein Kabel klemmt - aber wie oben schon gesagt: es geht um öffentliche Adressen und außerhalb deines Netzes kann das auch jeder mitlesen...
Gruß
Backslash
Funktioniert nicht (Zumindest nicht vom WAN aus).
Ich kann die ankommenden Pakete für das VPN-Ziel im Ethernet-Trace sehen, der Router nimmt die aber nicht auf und stellt die in den Tunnel. Missbrauche ich das DMZ Interface und lege dort das WAN drauf, dann funktioniert das ganze.
Egal, ich habe inzwischen eine andere Lösung in dem Projekt bevorzugt.
Grüße
Dirk
Ich kann die ankommenden Pakete für das VPN-Ziel im Ethernet-Trace sehen, der Router nimmt die aber nicht auf und stellt die in den Tunnel. Missbrauche ich das DMZ Interface und lege dort das WAN drauf, dann funktioniert das ganze.
Egal, ich habe inzwischen eine andere Lösung in dem Projekt bevorzugt.
Grüße
Dirk