Site-2-Site und ein weiteres LAN

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
RalphT
Beiträge: 268
Registriert: 23 Mai 2005, 20:40
Wohnort: Bremen

Site-2-Site und ein weiteres LAN

Beitrag von RalphT »

Moin,

ich habe in der Hauptstelle folgendes LAN:
LAN 1: 192.168.1.0/24

In der Nebenstelle habe ich folgende LANs:
LAN 2: 192.168.2.0/24
LAN 3: 192.168.3.0/24

Bislang habe ich beim Tunnel die Verbindung so konfiguriert, dass LAN 1 mit LAN 2 und auch mit LAN 3 verbunden war. (VPN - Netzwerk-Regeln)
Also:
192.168.1.0 mit 192.168.2.0
192.168.1.0 mit 192.168.3.0
Das funktioniert auch.

Ist es möglich, dass man dort nur das LAN 1 mit dem LAN 2 verbindet, aber ein Zugriff vom LAN 1 zum LAN 3 möglich ist?
Ich habe das mal gerade probiert und habe in der Hauptstelle das Routing vom LAN 3 auf das Ziel vom VPN geleitet und Firewallregeln entsprechend erlaubt.
Auf der Gegenseite kommt aber nichts an.

Kann dieses Vorgehen überhaupt funktionieren oder muss man klassisch jedes LAN unter VPN Netzwerk-Regeln alles angeben?
UKernchen
Beiträge: 108
Registriert: 22 Jul 2020, 16:53
Wohnort: Naumburg (Saale)
Kontaktdaten:

Re: Site-2-Site und ein weiteres LAN

Beitrag von UKernchen »

Ich bin mir nicht ganz sicher was du meinst.
Du hast bisher 2 VPN-Tunnel eingerichtet, um von LAN1 auf LAN2 bzw. auf LAN3 zu kommen?

Das geht natürlich auch mit einer Verbindung.
Einfach 1x VPN-Verbindung einrichten und dann Routen auf beide Zielnetze über das gleiche Gateway (VPN-Verbindung) einrichten.

Oder habe ich dich falsch verstanden?

Gruß Uwe
RalphT
Beiträge: 268
Registriert: 23 Mai 2005, 20:40
Wohnort: Bremen

Re: Site-2-Site und ein weiteres LAN

Beitrag von RalphT »

UKernchen hat geschrieben: 07 Jun 2023, 16:56 Ich bin mir nicht ganz sicher was du meinst.
Du hast bisher 2 VPN-Tunnel eingerichtet, um von LAN1 auf LAN2 bzw. auf LAN3 zu kommen?

Das geht natürlich auch mit einer Verbindung.
Einfach 1x VPN-Verbindung einrichten und dann Routen auf beide Zielnetze über das gleiche Gateway (VPN-Verbindung) einrichten.

Oder habe ich dich falsch verstanden?

Gruß Uwe
Das hast du richtig verstanden. Ich habe vorhin nur mal eben einen Schnellschuss gemacht und habe auf der Lancom der Haupstelle die Route auf das LAN 3 gesetzt. Ich habe dann auf der Hauptseite einen PING in das LAN 3 abgesetzt. Die Antwort war: Zielnetz nicht erreichbar.
Dann hatte ich einen Trace auf der Nebenstelle gemacht. Da kam nichts an.
Ok, es fehlt natürlich noch die Route auf der Gegenseite. Werde ich morgen mal eben nachholen. Ich dachte eigentlich nur, dass die Pakete eigentlich rausgehen müssten. Die Antwort Zielnetz nicht erreichbar macht mich etwas stutzig. Firewallregeln sind ok.

Nachtrag:

Bei der Route war unten "Intranet und DMZ maskieren" gesetzt. Das ist ja falsch. Das habe ich eben korrigiert. Jetzt kommt nur eine Zeitüberschreitung. Ich habe aber eben gerade gesehen, dass in der Gegenstelle die Rückroute auf einen Switch zeigt. Das muss ich noch ändern. Aber nicht jetzt.

Aber dann bin ich ja schon mal beruhigt, dass das so funktionieren muss.
Mein Gedankengang ist folgender:
Ich habe in einem praktischen Beispiel viele SUB-LANs. Ich finde das ziemlich aufwändig und kompliziert 10 LANs über eine VPN-Verbindung zu konfigurieren. Besser wäre doch nur ein kleines LAN und alles andere mit den Routungeinträgen zu versorgen.
Antworten