Guten Abend zusammen....
ich scheitere gerade an folgender Konfig:
ich habe 4 LanCom 1790VA miteinander im VPN verbunden.
Von VPN1 auf Zentrale geht Problemlos von beiden Seiten
Von VPN2 auf Zentrale geht Problemlos von beiden Seiten
Von VPN3 auf Zentrale geht Problemlos von beiden Seiten
Was leider "noch" nicht geht, aber sehr hilfreich wäre:
Von allen VPN Netze gegenseitig auf alle VPN-Netze zugreifen.
Wo liegt hier das Problem...?
Ich komm nicht drauf....
NETZE:
Zentrale: 192.168.1.0/24 (Router: 192.168.1.2)
VPN1: 192.168.2.0/24 (Router: 192.168.2.2)
VPN2: 192.168.10.0/24 (Router: 192.168.10.2)
VPN3: 192.168.20.0/24 (Router: 192.168.20.2)
Ich hab versucht Routen zu bauen, allerdings hat das nicht so geklappt wie erhofft...
Das hier ist die Routing-Table der Zentrale...
Wäre über Hilfe echt dankbar..
Lancom Routing
Moderator: Lancom-Systems Moderatoren
Lancom Routing
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Re: Lancom Routing
Hi theHias
Zentrale <-> VPN1
Zentrale <-> VPN2
Zentrale <-> VPN3
angelegt - was fehlt sind die Beziehungen zwischen den Filialen, also
VPN1 <-> VPN2
VPN1 <-> VPN3
VPN2 <-> VPN1
VPN2 <-> VPN3
VPN3 <-> VPN1
VPN3 <-> VPN2
Diese müssen auch in der Zentrale hinterlegt sein...
Wie du siehst, wird das aber schnell sehr unübersichtlich - die Anzahl der nötigen Regeln wächst am Ende quadratisch mit der Anzahl der Gegenstellen.
Als Lösung hilft, alle Filialen in einem übergeordneten Netz zusammmenzufassen - in deinem Beispiel wäre das das Netz 192.168.0.0/16. Dann reicht es, in den Filialen eine Route zum 192.168.0.0/16-Netz zur Zentrale zu legen, und in der Zentrale mußt du den VPN-Verbindungen noch eine Regel zuweisen, die als lokales und entferntes Netz das übergeordnete Netz 192.168.0.0/16 hat... (oder du weist gleich die Regel "RAS-WITH-NETWORK-SELECTION" zu - dann mußt du aber dafür sorgen, daß die Zentrale niemals aktiv die Verbindung aufbaut, wenn du Felhlermeldungen der Form "no proposal chosen" vermeiden willst)
Gruß
Backslash
das ist das klassiche Problem der Netzwerkregeln... Das LANCOM erzeugt die Netzwerkregeln zunächst nur aus der Routing-Tabelle, d.h. es werden in der Zentrale Regeln fürWas leider "noch" nicht geht, aber sehr hilfreich wäre:
Von allen VPN Netze gegenseitig auf alle VPN-Netze zugreifen.
Wo liegt hier das Problem...?
Ich komm nicht drauf....
Zentrale <-> VPN1
Zentrale <-> VPN2
Zentrale <-> VPN3
angelegt - was fehlt sind die Beziehungen zwischen den Filialen, also
VPN1 <-> VPN2
VPN1 <-> VPN3
VPN2 <-> VPN1
VPN2 <-> VPN3
VPN3 <-> VPN1
VPN3 <-> VPN2
Diese müssen auch in der Zentrale hinterlegt sein...
Wie du siehst, wird das aber schnell sehr unübersichtlich - die Anzahl der nötigen Regeln wächst am Ende quadratisch mit der Anzahl der Gegenstellen.
Als Lösung hilft, alle Filialen in einem übergeordneten Netz zusammmenzufassen - in deinem Beispiel wäre das das Netz 192.168.0.0/16. Dann reicht es, in den Filialen eine Route zum 192.168.0.0/16-Netz zur Zentrale zu legen, und in der Zentrale mußt du den VPN-Verbindungen noch eine Regel zuweisen, die als lokales und entferntes Netz das übergeordnete Netz 192.168.0.0/16 hat... (oder du weist gleich die Regel "RAS-WITH-NETWORK-SELECTION" zu - dann mußt du aber dafür sorgen, daß die Zentrale niemals aktiv die Verbindung aufbaut, wenn du Felhlermeldungen der Form "no proposal chosen" vermeiden willst)
Gruß
Backslash
Re: Lancom Routing
OK, danke für die Information.
Hast du mir ein Beispiel, was in der Netzwerkregel drin stehen muss, wenn ich die einzelnen Filialen einzeln anlege,
ohne die Netze nochmal komplett umzubauen...
Hast du mir ein Beispiel, was in der Netzwerkregel drin stehen muss, wenn ich die einzelnen Filialen einzeln anlege,
ohne die Netze nochmal komplett umzubauen...
Re: Lancom Routing
Hi theHias
In den Filialen mußt du natürlich neben der Route zur Zentrale auch die Routen zu den anderen Filial-Netzen auf den VPN-Tunnel legen, z.B. in VPN1:
Das wird aber irgendwann unübersichtlich - inbesonders wenn die Anzahl der Filialen steigt, denn dann mußt du bei jeder neuen Filiale in allen anderen Filialen die Routen nachtragen und in der Zentrale die Regeln ergänzen. Die Anzahl der Regeln steigt dabei quadratisch mit der Anzahl der Filialen...
Wenn du das Ganze hingegen mit dem übergeordneten Nezu aufziehst, dann reicht in der Zentrale eine Regel:
und in allen Filialen eine Route
das mußt du erst erweiteitern, wenn du mehr als 254 Filialen hast...
Gruß
Backslash
da du in den Netzwerkregeln die VPN-Gegenstellen angeben kannst (das LANCOM baut daraus anhand der Routing-Tabelle dann die eigentlichen Regeln), kannst du die Regeln in der Zentrale wie schon beschrieben anlegen (unter der Annahme, daß die VPN-Gegegsntellen VPN1, VPN2 und VPN3 heißen):Hast du mir ein Beispiel, was in der Netzwerkregel drin stehen muss, wenn ich die einzelnen Filialen einzeln anlege,
Code: Alles auswählen
:/Setup/VPN/Networks/IPv4-Rules/
> l
Name Local-Networks Remote-Networks
=============== ----------------- --------------------
VPN1<->VPN2 VPN1 VPN2
VPN1<->VPN3 VPN1 VPN3
VPN2<->VPN1 VPN2 VPN1
VPN2<->VPN3 VPN2 VPN3
VPN3<->VPN1 VPN3 VPN1
VPN3<->VPN2 VPN3 VPN2
Code: Alles auswählen
:/Setup/IP-Router/IP-Routing-Table
> l
IP-Address IP-Netmask Rtg-tag Admin-Distance Peer-or-IP Distance Masquerade Active Comment
===========================================================-------------------------------------------------------------------
192.168.20.0 255.255.255.0 0 0 ZENTRALE 0 No Yes
192.168.10.0 255.255.255.0 0 0 ZENTRALE 0 No Yes
192.168.1.0 255.255.255.0 0 0 ZENTRALE 0 No Yes
Das wird aber irgendwann unübersichtlich - inbesonders wenn die Anzahl der Filialen steigt, denn dann mußt du bei jeder neuen Filiale in allen anderen Filialen die Routen nachtragen und in der Zentrale die Regeln ergänzen. Die Anzahl der Regeln steigt dabei quadratisch mit der Anzahl der Filialen...
Wenn du das Ganze hingegen mit dem übergeordneten Nezu aufziehst, dann reicht in der Zentrale eine Regel:
Code: Alles auswählen
:/Setup/VPN/Networks/IPv4-Rules/
> l
Name Local-Networks Remote-Networks
====================== ------------------- --------------------
FILIALEN<->FILIALEN 192.168.0.0/16 192.168.0.0/16
Code: Alles auswählen
:/Setup/IP-Router/IP-Routing-Table
> l
IP-Address IP-Netmask Rtg-tag Admin-Distance Peer-or-IP Distance Masquerade Active Comment
===========================================================-------------------------------------------------------------------
192.168.0.0 255.255.0.0 0 0 ZENTRALE 0 No Yes
das mußt du erst erweiteitern, wenn du mehr als 254 Filialen hast...
Gruß
Backslash