LANCOM 1803 und Telekom Mobile IP-VPN-Basic

[Dirac]

Hallo zusammen,

ich werde bald ein Projekt von einem Kollegen übernehmen, der mit dem Produkt Mobile IP-VPN-Basic von der Telekom nicht weiter kommt.

Hier wurde mal wieder von der Telekom ganz schlecht beraten und nach dem Vertragsabschluss fehlt scheinbar jeglicher Support. Unsere Firma hat das Produkt sich andrehen lassen, scheinbar ohne große oder zu schlechte Beratung.

Mein Kollege hat es bisher geschafft den APN der Telekom mit unserem LANCOM Router zu verbinden. Er konnte auch mehrere SIM Karten einrichten, die sich am privaten APN anmelden. Die Karten sollen in Mobilfunkroutern betrieben werden, an denen Rechner hängen, die auf unser Hausnetz zugreifen sollen, das funktioniert auch schon.

Jetzt aber das Problem, wir müssen auch auf Rechner im Netz hinter den Mobilfunkroutern zugreifen und das kriegt mein Kollege bisher nicht zum Laufen. Ist das mit dem Produkt Telekom Mobile IP-VPN-Basic überhaupt möglich (in der spärlichen Werbeflyern werden immer nur Smartphones abgebildet) oder muss ich hier VPN Tunnel zwischen dem LANCOM Router und dem Mobilfunkrouter aufbauen, damit das funktioniert?

Gruß Dirac

[Frühstücksdirektor]

Hallo,

ich kenne das spezielle Telekom-Produkt nur aus der Theorie. Ich hätte das schon gerne mal selbst zum Testen...

Dabei bekommst du auf deiner WWAN-Verbindung mit privaten APN eine private IP-Adresse in der Du schon in einem VPN bist.
Die Telekom schickt deine Daten in einen IPSec-Tunnel zu Deinem Router in der Zentrale. Der Vorteil ist ja gerade, dass man kein VPN zusätzlich braucht.

Aus Sicht des LANCOMs ist das seine WAN-Adresse auf dem WWAN. Möchtest man von dort das LAN erreichen, muss man ein normales Port-Forwarding machen, da der Router hier NAT auf der WWAN-Adresse macht. Routing ohne Maskierung wird in dem Produkt wohl nicht unterstützt bei IPv4?? Mangels meiner praktischen Erfahrung wäre das aber herauszufinden.

Das Portforwarding wird wohl einfach gehen. Damit hat man aber kein vollständig geroutetes Netz.

https://knowledgebase.lancom-systems.de ... OM+Routers

Scheinbar ist aber auch IPv6 möglich, dabei bekommt man pro Router ein /64 Präfix mit dem man dann Routing ohne Maskierung machen kann. Damit müsstest Du aber auch im LAN und in der Zentrale IPv6 ausrollen.

Ich kann Dir gerne bei Detailfragen per PN helfen.

[Dr.Einstein]

Also ich kenne es so, dass du den Lancom Router in der Zentrale hast. Dieser baut mittels IPSec einen Tunnel zu T-Mobile auf. Die Mobilfunkclient werden mittels individuellen APN in das selbe Netzwerk reingebracht, wie dein Lancom Router. Dafür hast du im Formular einen IP Adressbereich bekommen, den deine Mobilfunkclients zugewiesen bekommen, d.h. du solltest auf deine Lancom Mobilfunk-Router zugreifen können. Soweit mir bekannt ist, gibt es nun keine Funktion, aus der Zentrale auf die Clients dahinter zuzugreifen.

Wenn du nur auf Ressourcen der Zentrale zugreifen willst, sollte ein einfaches NAT/PAT (Maskierung auf der Gegenstelle T-Mobile) genügen. Wenn du dagegen einzelne Ressourcen auf den Mobilfunk-Routern erreichen willst, könntest du Portweiterleitungen einrichten. Falls du eine transparente Vernetzung benötigt, so bleibt dir vermutlich nichts übrig, als über den IPSec Tunnel der T-Mobile einen weiteren IPSec-Tunnel aufzubauen, der dann als Standortvernetzung dient.

[5624]

Was spricht dagegen, bei kleinen Setups statisches Routing und bei größeren BGP (reiner iBGP-Betrieb) einzusetzen? Maskierung ist ja auf WAN-Schnittstellen nicht zwingend notwendig. Bei RIP und OSPF, die besser geeignet wären, würde ich mal tippen, dass diese nicht funktionieren, da im Papierkram nur von L3-Konnektivität gesprochen wird, daher bezweifel ich die Multicast-Tauglichkeit dieser Verbindungen mal an.

Für Mobilfunk hab ich es nicht getestet, aber bei kabelgebundenen WAN-Techniken kann man LANCOM auch als dummen Router benutzen.

[ua]

Moin,

ist doch ganz einfach:

Über den vorhanden WAN-Anschluss einen IP-Sec Tunnel nach TMO, dann eine Statische Router auf den zugewiesenen IP-Kreis legen (ohne NAT) und fertig.
Das läuft in der Konstellation bei sehr vielen FW/Rettungsdiensten. Der Vorteil ist, das du den Internetzugang der Klients kontrollieren kannst.

VG

[Dirac]

Moin,

ist doch ganz einfach:

Über den vorhanden WAN-Anschluss einen IP-Sec Tunnel nach TMO, dann eine Statische Router auf den zugewiesenen IP-Kreis legen (ohne NAT) und fertig.
Das läuft in der Konstellation bei sehr vielen FW/Rettungsdiensten. Der Vorteil ist, das du den Internetzugang der Klients kontrollieren kannst.

VG

Danke für den Hinweis, das wurde ja scheinbar auch so eingerichtet, da die abgesetzten Clients über die Mobilfunkrouter (es handelt sich um Netmodule Netboxen) bereits die Zentrale erreichen können. Die abgesetzten Clients können aber nicht aus dem Netzwerk der Zentrale erreicht werden, was bisher versucht wurde weiß ich nicht, ich vermute Portweiterleitung auf den Mobilfunkroutern.

[ua]

Moin,

mutmaßlich werden die Mobilfunkrouter dann natten.
In Dokus habe ich auf die Schnelle nicht zum Thema "port forwarding" gefunden.
Ggf. vom Client einen weiteren Tunnel drüber legen?

Vg