site 2 site netzwerk mit cisco (wahrsch.)

[taylor2]

hi,

wir müssen ein S2S VPN von einem LANCOM 1783VA-4G mit einem (wir nehmen an..) Cisco auf der anderen Seite aufbauen. Wir haben dazu als Parameter eine konkrete IP für das VTI Transfernetzerk bekommen. Ich habe das Gefühl, die kann ich im LANCOM nirgendwo eintragen. Trügt mich das?

T.

[Dr.Einstein]

VTI kenne ich, Transfernetz in dem Zusammenhang sagt mir nicht. Meinst du, dass sich dein Netzwerk hinter einer IP-Adresse verbergen sollen, quasi NAT? Das geht einfach.

Für IKEv1 Verbindungen setzt du unter VPN / IKE / Verbindungsliste die mitgeteilte IP als Extranet-Adresse ein.

Für IKEv2 Verbindungen legst du unter Kommunikation / Protokolle / IP-Parameter einen neuen Eintrag an. Als Gegenstelle trägst du dort die VPN Verbindung ein, als IP-Adresse die die dir mitgeteilt wurde, Subnetzmaske 255.255.255.255, Rest auf 0.0.0.0. Zusätzlich editierst du unter IP-Router / Routing / IPv4-Routing Tabelle alle Einträge, die auf den VPN zeigen und setzt dort Intranet und DMZ maskieren.

Wenn es das nicht ist, bitte genauer schildern, was du brauchst.

Gruß Dr.Einstein

[taylor2]

danke erstmal. ich erkläre mal genauer.

vorab: ich weiss null was cisco macht und habe mir das hiernach ein bisschen zusammengereimt: https://study-ccnp.com/site-to-site-vir ... ver-ipsec/)

normalerweise hast du

local:
gateway IP (also öffentliche IP vom DSL)
LAN (also das lokale LAN von dem du aus kommst)

remote:
gateway IP (also öffentliche IP vom DSL)
LAN (also das remote LAN was du erreichen willst)

den Rest macht der LANCOM.

wir haben zusätzlich bekommen:

Transfernetwork for VTI and Routing: 10.0.0.16/30
VTI: 10.0.0.18 VTI: 10.0.0.17

würde das deiner meinung nach dem von dir besprochenen szenario mit dem IP paramter entsprechen?

[GrandDixence]

LANCOM-Konfiguration gemäss der VPN-Anleitung "Anleitung für VPN-Tunnel zwischen zweier LANCOM-Geräte" unter:
fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795
durchführen.

[Dr.Einstein]

Transfernetwork for VTI and Routing: 10.0.0.16/30
VTI: 10.0.0.18 VTI: 10.0.0.17

Wenn du lediglich das als IP-Adressen bekommen hast (+ WAN IP / Hostname), dann wird das einfach deine Ziel IP-Adresse in der Routing Tabelle sein. Ich würde vorerst einen ganz normalen Site-to-Site VPN Tunnel aufbauen wie GrandD. beschrieben hat. Sollte es danach am Routing und/oder NAT klemmen, sollte das das geringste Problem werden. Bei Fragen komm gerne nochmal auf uns zu. Im Fehlerfall lass den VPN zu dir aufbauen und schneide den Aufbau mittels LanTracer oder SSH mit:

Code: Alles auswählen

trace # VPN-Status VPN-IKE VPN-Debug

Die Cisco Leute sind da meist immer etwas verklemmt was Debugging angeht.

[taylor2]

..ja, verklemmt ist kein ausdruck problem ist, dass die gegenüber das VPN nur im wartungsfenster einschalten, dann muss es gehen, wenn nicht, dann schalten sie es wieder aus. nix mal schnell zusammen debuggen.

was ich mich frage ist:

Wenn du lediglich das als IP-Adressen bekommen hast (+ WAN IP / Hostname), dann wird das einfach deine Ziel IP-Adresse in der Routing Tabelle sein.

Die muss ich ja auf meiner seite irgendwo eintragen: wo konkret?

[Dr.Einstein]

Routing Tabelle.

Der Knowledge Base Artikel zeigt an sich alles schön:

https://support.lancom-systems.com/know ... d=32983585