site 2 site netzwerk mit cisco (wahrsch.)

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
taylor2
Beiträge: 9
Registriert: 05 Mai 2023, 10:15

site 2 site netzwerk mit cisco (wahrsch.)

Beitrag von taylor2 »

hi,

wir müssen ein S2S VPN von einem LANCOM 1783VA-4G mit einem (wir nehmen an..) Cisco auf der anderen Seite aufbauen. Wir haben dazu als Parameter eine konkrete IP für das VTI Transfernetzerk bekommen. Ich habe das Gefühl, die kann ich im LANCOM nirgendwo eintragen. Trügt mich das?

T.
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: site 2 site netzwerk mit cisco (wahrsch.)

Beitrag von Dr.Einstein »

VTI kenne ich, Transfernetz in dem Zusammenhang sagt mir nicht. Meinst du, dass sich dein Netzwerk hinter einer IP-Adresse verbergen sollen, quasi NAT? Das geht einfach.

Für IKEv1 Verbindungen setzt du unter VPN / IKE / Verbindungsliste die mitgeteilte IP als Extranet-Adresse ein.

Für IKEv2 Verbindungen legst du unter Kommunikation / Protokolle / IP-Parameter einen neuen Eintrag an. Als Gegenstelle trägst du dort die VPN Verbindung ein, als IP-Adresse die die dir mitgeteilt wurde, Subnetzmaske 255.255.255.255, Rest auf 0.0.0.0. Zusätzlich editierst du unter IP-Router / Routing / IPv4-Routing Tabelle alle Einträge, die auf den VPN zeigen und setzt dort Intranet und DMZ maskieren.

Wenn es das nicht ist, bitte genauer schildern, was du brauchst.

Gruß Dr.Einstein
taylor2
Beiträge: 9
Registriert: 05 Mai 2023, 10:15

taylor2

Beitrag von taylor2 »

danke erstmal. ich erkläre mal genauer.

vorab: ich weiss null was cisco macht und habe mir das hiernach ein bisschen zusammengereimt: https://study-ccnp.com/site-to-site-vir ... ver-ipsec/)

normalerweise hast du

local:
gateway IP (also öffentliche IP vom DSL)
LAN (also das lokale LAN von dem du aus kommst)

remote:
gateway IP (also öffentliche IP vom DSL)
LAN (also das remote LAN was du erreichen willst)

den Rest macht der LANCOM.

wir haben zusätzlich bekommen:

Transfernetwork for VTI and Routing: 10.0.0.16/30
VTI: 10.0.0.18 VTI: 10.0.0.17

würde das deiner meinung nach dem von dir besprochenen szenario mit dem IP paramter entsprechen?
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: site 2 site netzwerk mit cisco (wahrsch.)

Beitrag von GrandDixence »

LANCOM-Konfiguration gemäss der VPN-Anleitung "Anleitung für VPN-Tunnel zwischen zweier LANCOM-Geräte" unter:
fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795
durchführen.
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: taylor2

Beitrag von Dr.Einstein »

taylor2 hat geschrieben: 06 Mai 2023, 12:13 Transfernetwork for VTI and Routing: 10.0.0.16/30
VTI: 10.0.0.18 VTI: 10.0.0.17
Wenn du lediglich das als IP-Adressen bekommen hast (+ WAN IP / Hostname), dann wird das einfach deine Ziel IP-Adresse in der Routing Tabelle sein. Ich würde vorerst einen ganz normalen Site-to-Site VPN Tunnel aufbauen wie GrandD. beschrieben hat. Sollte es danach am Routing und/oder NAT klemmen, sollte das das geringste Problem werden. :) Bei Fragen komm gerne nochmal auf uns zu. Im Fehlerfall lass den VPN zu dir aufbauen und schneide den Aufbau mittels LanTracer oder SSH mit:

Code: Alles auswählen

trace # VPN-Status VPN-IKE VPN-Debug
Die Cisco Leute sind da meist immer etwas verklemmt was Debugging angeht.
taylor2
Beiträge: 9
Registriert: 05 Mai 2023, 10:15

Re: site 2 site netzwerk mit cisco (wahrsch.)

Beitrag von taylor2 »

..ja, verklemmt ist kein ausdruck ;) problem ist, dass die gegenüber das VPN nur im wartungsfenster einschalten, dann muss es gehen, wenn nicht, dann schalten sie es wieder aus. nix mal schnell zusammen debuggen.

was ich mich frage ist:
Wenn du lediglich das als IP-Adressen bekommen hast (+ WAN IP / Hostname), dann wird das einfach deine Ziel IP-Adresse in der Routing Tabelle sein.
Die muss ich ja auf meiner seite irgendwo eintragen: wo konkret?
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: site 2 site netzwerk mit cisco (wahrsch.)

Beitrag von Dr.Einstein »

Routing Tabelle.

Der Knowledge Base Artikel zeigt an sich alles schön:

https://support.lancom-systems.com/know ... d=32983585
Antworten