Site-2Site VPN (NAT oder FW)

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
ub99
Beiträge: 17
Registriert: 26 Mär 2023, 12:04

Site-2Site VPN (NAT oder FW)

Beitrag von ub99 »

Hallo zusammen,

ich bin recht neu im Thema Lancom VPN unterwegs, konnte nun schonmal mit Hilfe hier eine Site-2-Site Verbindung bzgl. MTU optimieren und vernünftig zum Laufen bringen.

Die Verbindung wird immer von der Zentrale (DS-Lite) zur Filiale (echte dyn. IPv4-Adresse, LTE) aufgebaut. VPN steht stabil.
Nun möchte ich noch sicherstellen, dass von der Filiale keine, oder ggf. nur sehr selektiv Verbindungen zu den Netzen der Zentrale aufgebaut werden können. Ich nutze das Setup für IoT Anbindung einer Remote-Gebäudes (nenne es hier Filiale weil Lancom üblicher Begriff), bei dem aber physischer Zugang nicht optimal sichergestellt werden kann

Zentrale: 10.82.1.0/24
Filiale: 10.82.9.0/24

Umgekehrt sollten Hosts aus der Zentrale aber Verbindungen (TCP) zu allen Zielhosts in der Filiale jederzeit aufbauen können.
Das Einfachste wäre ja m.E. NAT zu verwenden, aber das bekomme ich irgendwie nicht konfiguriert.
Auch passende Firewall-Regeln für den Tunnel wollen mir nicht gelingen.

Vielleicht gibt es ja ein How-To für diesen Fall, das ich gerade nicht finde und jemand kann mich in die Richtige Richtung stupsen. Das wäre super hilfreich.

Beste Grüße,

Uwe
Profil stillgelegt -> Neues Profil: cybersmart
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: Site-2Site VPN (NAT oder FW)

Beitrag von tstimper »

ub99 hat geschrieben: 02 Apr 2023, 14:00 Nun möchte ich noch sicherstellen, dass von der Filiale keine, oder ggf. nur sehr selektiv Verbindungen zu den Netzen der Zentrale aufgebaut werden können. Ich nutze das Setup für IoT Anbindung einer Remote-Gebäudes (nenne es hier Filiale weil Lancom üblicher Begriff), bei dem aber physischer Zugang nicht optimal sichergestellt werden kann

Zentrale: 10.82.1.0/24
Filiale: 10.82.9.0/24

Umgekehrt sollten Hosts aus der Zentrale aber Verbindungen (TCP) zu allen Zielhosts in der Filiale jederzeit aufbauen können.
Das Einfachste wäre ja m.E. NAT zu verwenden, aber das bekomme ich irgendwie nicht konfiguriert.
Auch passende Firewall-Regeln für den Tunnel wollen mir nicht gelingen.

Vielleicht gibt es ja ein How-To für diesen Fall, das ich gerade nicht finde und jemand kann mich in die Richtige Richtung stupsen. Das wäre super hilfreich.

Beste Grüße,

Uwe
Hallo Uwe,


das Szenario würde ich mit passenden Firewall Regeln in der Zentrale und in der Filiale abbilden.



Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
Antworten