Hallo zusammen,
ich versuche mittels zweier Lancom-Router (7100) zwei VLans in verschiedenen Standorten transparent zu koppeln.
Meine Voraussetzungen :
Standort 1 (Zentrale):
VLan150 am Lancom
Standort2 (Standort):
VLan150 am Lancom
Aktuell besteht zwischen den Routern ein VPN (IPSec). Da sich die Zahl der Netze auf die der Standort in der Zentrale zugreift sich häufig ändert, sind Anpassungen an den IPSec-Regeln erforderlich.
Nach der Lancom Doku soll es die Möglichkeit geben in einem VPN-Tunnel (IPSec) mehrere PPTP-Tunnel zu betreiben und diese an VLans zu koppeln.
Durch das VLan könnten somit die Zugriffe einfach auf die Firewall in der Zentrale geroutet werden ohne Anpassungen an den IPSec-Regeln.
Leider kann ich nirgends finden, wie eine solche Konfiguration erstellt wird. Hat jemand so etwas schon gemacht oder gibt es eine Anleitung / Beschreibung.
Danke im Voraus.
VLan-Kopplung durch VPN
Moderator: Lancom-Systems Moderatoren
Hi Nerd123
Letztendlich ist es simpel: Du richtest erstmal einen VPN-Tunnel ein, auf dem die PPTP-Verbindunge laufen sollen. Da die Tunnel nur dazu dienen, die PPTP-Verbindungen zu terminieren, kannst du sie auch auf beiden Seiten als "Extranet-VPN" betreiben. Dazu trägst du auf beiden Seiten unter VPN -> Allgemein -> Verbindungsliste für den Tunnel eine beliebige IP-Adresse ein, z.B. 10.0.0.1 und 10.0.0.2. In die Routing-Tabellen (IP-Router -> Routing -> Routing-Tabelle) der beiden Seiten tragst du dann jeweils Routen für das 10.0.0.2/32. bzw. 10.0.0.1/32-"Netz" ein, die du auf die VPN-Tunnel bindest.
Dann richtest du unter Kommunikation -> Protokolle -> PPTP-Liste die PPTP-Verbindungen ein, so daß sie über den VPN-Tunnel aufgebaut werden, d.h. die jeweilen Extranet-Adressen als Server-Adresse nutzen. Die PPP-Parameter (username, paßwort etc.) richtest du in der PPP-Liste ebenfalls unter Kommunikation -> Protokolle ein. Achte darauf, daß du sichere Paßwörter verwendest, denn daß das PPTP durch den VPN-Tunnel geht, ändert nichts an der Tatsache, daß das LANCOM auf jedem Interface PPTP-Verbindungen annehmen kann...
Und nun kommt die Magie der Routing-Tags ins Spiel. Angenommen du hast 3 VLANs, auf denen natürlich auch unterschiedliche IP-Netze laufen, z.B.
VLAN1: 192.168.1.0/24 <-> 171.16.1.0/24
VLAN2: 192.168.2.0/24 <-> 171.16.2.0/24
VLAN3: 192.168.3.0/24 <-> 171.16.3.0/24
Dann richtest du auf beiden Seiten für jedes VLAN unter TCP/IP -> Allgemein -> Netzwerke ein ARF-Netz ein und vergibst diesen unterschiedliche Schnittstellen-Tags (die z.B. gleich den VLAN-Tags sein können)
Danach richtest du Routen zum jeweils gegenüberliegenden Netz ein und bindest diese an die PPTP-Verbindungen. Zusätzlich setzt du in diesen Routen das Routing-Tag auf das Schnittstellen-Tag des zugehörenden ARF-Netzes.
Und als letztes mußt du den PPTP-Verbindungen auch noch Schnittstellen-Tags verpassen. Das geschieht unter Kommunikation -> Gegenstellen -> WAN-Tag-Tabelle. Hier setzt du für jede PPTP-Tabelle das Schnittstellen-Tag, das du bereits beim zugehörigen ARF-Netz und der jeweiligen Route verwendet hast.
Dadurch sind die VLANs getrennt voneinander über den Tunnel gekoppelt.
Gruß
Backslash
nun ja, letztendlich bindest du die PPTP-Tunnel nicht an VLANs sondern an Routing-Kontexte über Interface- und Routing-Tags. Die jeweiligen ARF-Netze hängen dann an den VLANs...Nach der Lancom Doku soll es die Möglichkeit geben in einem VPN-Tunnel (IPSec) mehrere PPTP-Tunnel zu betreiben und diese an VLans zu koppeln.
Letztendlich ist es simpel: Du richtest erstmal einen VPN-Tunnel ein, auf dem die PPTP-Verbindunge laufen sollen. Da die Tunnel nur dazu dienen, die PPTP-Verbindungen zu terminieren, kannst du sie auch auf beiden Seiten als "Extranet-VPN" betreiben. Dazu trägst du auf beiden Seiten unter VPN -> Allgemein -> Verbindungsliste für den Tunnel eine beliebige IP-Adresse ein, z.B. 10.0.0.1 und 10.0.0.2. In die Routing-Tabellen (IP-Router -> Routing -> Routing-Tabelle) der beiden Seiten tragst du dann jeweils Routen für das 10.0.0.2/32. bzw. 10.0.0.1/32-"Netz" ein, die du auf die VPN-Tunnel bindest.
Dann richtest du unter Kommunikation -> Protokolle -> PPTP-Liste die PPTP-Verbindungen ein, so daß sie über den VPN-Tunnel aufgebaut werden, d.h. die jeweilen Extranet-Adressen als Server-Adresse nutzen. Die PPP-Parameter (username, paßwort etc.) richtest du in der PPP-Liste ebenfalls unter Kommunikation -> Protokolle ein. Achte darauf, daß du sichere Paßwörter verwendest, denn daß das PPTP durch den VPN-Tunnel geht, ändert nichts an der Tatsache, daß das LANCOM auf jedem Interface PPTP-Verbindungen annehmen kann...
Und nun kommt die Magie der Routing-Tags ins Spiel. Angenommen du hast 3 VLANs, auf denen natürlich auch unterschiedliche IP-Netze laufen, z.B.
VLAN1: 192.168.1.0/24 <-> 171.16.1.0/24
VLAN2: 192.168.2.0/24 <-> 171.16.2.0/24
VLAN3: 192.168.3.0/24 <-> 171.16.3.0/24
Dann richtest du auf beiden Seiten für jedes VLAN unter TCP/IP -> Allgemein -> Netzwerke ein ARF-Netz ein und vergibst diesen unterschiedliche Schnittstellen-Tags (die z.B. gleich den VLAN-Tags sein können)
Danach richtest du Routen zum jeweils gegenüberliegenden Netz ein und bindest diese an die PPTP-Verbindungen. Zusätzlich setzt du in diesen Routen das Routing-Tag auf das Schnittstellen-Tag des zugehörenden ARF-Netzes.
Und als letztes mußt du den PPTP-Verbindungen auch noch Schnittstellen-Tags verpassen. Das geschieht unter Kommunikation -> Gegenstellen -> WAN-Tag-Tabelle. Hier setzt du für jede PPTP-Tabelle das Schnittstellen-Tag, das du bereits beim zugehörigen ARF-Netz und der jeweiligen Route verwendet hast.
Dadurch sind die VLANs getrennt voneinander über den Tunnel gekoppelt.
Gruß
Backslash
Hallo Backslash,
danke für die ausführliche Beschreibung.
Die Einrichtung der VLans samt passender Netze ist bereits im Einsatz. Auch mit dem Setzen von Schnittstellentags habe ich schon Erfahrungen gesammelt. Bei der Einrichtung von PPTP habe ich gehangen. Ich werde deine Beschreibung in der kommende Woche testen.
Wenn ich deine Beschreibung richtig verstanden habe, reduziert dieses Vorgehen aber nicht den Konfigurationsaufwand beim Hinzukommen von Netzen. Aktuell muss ich wenn Standort 1 auf ein weiteres Netz in Standort 2 zugreifen will das Routing / IPSec für den Tunnel erweitern. Nach deiner Beschreibung muss ich bei Einsatz von PPTP aber immer noch Routingregeln modifizieren. Ich hatte nach dem Lesen des Manuals diese Funktionalität als so eine Art "MPLS" verstanden. Sprich das was auf der einen Seite auf den Port / VLan geht kommt auf der anderen aus einem Port / VLan raus. Quasi eine Art virtuelles Kabel zwischen zwei Switches. Die Idee war: Ich könnte z.B. die Daten von der Firewall in Standort 1 auf die Firewall in Standort 1 routen ohne mit um das dazwischen zu kümmern (halt wie bei einem Kabel). Habe ich das falsch verstanden oder geht das auch?
Zu den Routing-Tags. Hier gibt es ein Problem in Bezug auf VLans. Ich kann dem Netz was am VLan-Port hängt einen Tag zuweisen, das funktioniert. Alle Daten die ein Absende-IP in diesem Netz haben bekommen den Tag. Bei mir ist das Netz aber nur ein Routingnetz zwischen Lancom und Firewall. Sprich ich route Daten auf die Lancom IP und dieser leitet sie weiter. Für diese Daten wird nicht zwingend der Routing Tag des VLan-Netzes vergeben. Der Lancom prüft, ob der dieses Netz (Quell-IP) irgendwo findet wenn ja vergibt er einen Tag egal über welches VLan die Daten kommen. Das Problem hätte ich halt auch nicht mehr mit so einem „virtuellen Kabel“. Wäre toll wenn sich an diesem „Bug“ mal was tun würde. Wenn es hier eine Lösung gibt bin ich natürlich auch für jede Hilfe dankbar.
Wenn ich deine Beschreibung aber richtig verstehe, habe ich Routen mit entsprechenden Tags. Nach meinen Erfahrungen / Tests mit auf VLan IP-s gerouteten Daten und Tags (siehe oben) geht das nur wenn Quelle und Ziel in den betroffenen VLans (auf beiden Seiten) sind. Wenn dem nicht so ist würde ich mich freuen und wäre für einen Tip dankbar.
Danke
Stefan
Ich bin mir aber nicht sicher ob ich nach deiner Beschreibung
danke für die ausführliche Beschreibung.
Die Einrichtung der VLans samt passender Netze ist bereits im Einsatz. Auch mit dem Setzen von Schnittstellentags habe ich schon Erfahrungen gesammelt. Bei der Einrichtung von PPTP habe ich gehangen. Ich werde deine Beschreibung in der kommende Woche testen.
Wenn ich deine Beschreibung richtig verstanden habe, reduziert dieses Vorgehen aber nicht den Konfigurationsaufwand beim Hinzukommen von Netzen. Aktuell muss ich wenn Standort 1 auf ein weiteres Netz in Standort 2 zugreifen will das Routing / IPSec für den Tunnel erweitern. Nach deiner Beschreibung muss ich bei Einsatz von PPTP aber immer noch Routingregeln modifizieren. Ich hatte nach dem Lesen des Manuals diese Funktionalität als so eine Art "MPLS" verstanden. Sprich das was auf der einen Seite auf den Port / VLan geht kommt auf der anderen aus einem Port / VLan raus. Quasi eine Art virtuelles Kabel zwischen zwei Switches. Die Idee war: Ich könnte z.B. die Daten von der Firewall in Standort 1 auf die Firewall in Standort 1 routen ohne mit um das dazwischen zu kümmern (halt wie bei einem Kabel). Habe ich das falsch verstanden oder geht das auch?
Zu den Routing-Tags. Hier gibt es ein Problem in Bezug auf VLans. Ich kann dem Netz was am VLan-Port hängt einen Tag zuweisen, das funktioniert. Alle Daten die ein Absende-IP in diesem Netz haben bekommen den Tag. Bei mir ist das Netz aber nur ein Routingnetz zwischen Lancom und Firewall. Sprich ich route Daten auf die Lancom IP und dieser leitet sie weiter. Für diese Daten wird nicht zwingend der Routing Tag des VLan-Netzes vergeben. Der Lancom prüft, ob der dieses Netz (Quell-IP) irgendwo findet wenn ja vergibt er einen Tag egal über welches VLan die Daten kommen. Das Problem hätte ich halt auch nicht mehr mit so einem „virtuellen Kabel“. Wäre toll wenn sich an diesem „Bug“ mal was tun würde. Wenn es hier eine Lösung gibt bin ich natürlich auch für jede Hilfe dankbar.
Wenn ich deine Beschreibung aber richtig verstehe, habe ich Routen mit entsprechenden Tags. Nach meinen Erfahrungen / Tests mit auf VLan IP-s gerouteten Daten und Tags (siehe oben) geht das nur wenn Quelle und Ziel in den betroffenen VLans (auf beiden Seiten) sind. Wenn dem nicht so ist würde ich mich freuen und wäre für einen Tip dankbar.
Danke
Stefan
Ich bin mir aber nicht sicher ob ich nach deiner Beschreibung
Hi Nerd123,
Damit du eine durchgängige Trennung der VLANs bekommst, mußt du Routing-Tags und VLAN-Tags letztendlich auf der ganzen Strecke konsitent halten, d.h. du mußt auf beiden Seiten soviele Routing-Kontexte (= Routing-Tags) verwenden, wie du VLANs nutzt.
Gruß
Backslash
nein, das geht nicht... VLAN-Tags sind Layer-2 Informationen, die verloren gehen, sobald ein Paket an den Router (Layer-3) geht...Sprich das was auf der einen Seite auf den Port / VLan geht kommt auf der anderen aus einem Port / VLan raus. Quasi eine Art virtuelles Kabel zwischen zwei Switches. Die Idee war: Ich könnte z.B. die Daten von der Firewall in Standort 1 auf die Firewall in Standort 1 routen ohne mit um das dazwischen zu kümmern (halt wie bei einem Kabel). Habe ich das falsch verstanden oder geht das auch?
VLAN-Tags und Routing-Tags sind prinzipiell erstmal unabhängig voneinander. Du kannst prinzipiell also mehrere VLANs in einen Routing-Kontext packen (d.h. mit dem selben Interface-Tag versehen) - dann sind sie aber gekoppelt, d.h. untereinander über den Router des LANCOMs sichtbar.Wenn ich deine Beschreibung aber richtig verstehe, habe ich Routen mit entsprechenden Tags. Nach meinen Erfahrungen / Tests mit auf VLan IP-s gerouteten Daten und Tags (siehe oben) geht das nur wenn Quelle und Ziel in den betroffenen VLans (auf beiden Seiten) sind. Wenn dem nicht so ist würde ich mich freuen und wäre für einen Tip dankbar.
Damit du eine durchgängige Trennung der VLANs bekommst, mußt du Routing-Tags und VLAN-Tags letztendlich auf der ganzen Strecke konsitent halten, d.h. du mußt auf beiden Seiten soviele Routing-Kontexte (= Routing-Tags) verwenden, wie du VLANs nutzt.
Gruß
Backslash
Hallo Backslash,
zu Punkt 2:
Mir ist bekannt, dass VLan-Tags und Routing-Tags etwas verschiedenes sind.
Eventuell wurde meine Aussage missverstanden. Wenn ich ein VLan und ein Netz definiere was auf diesem "virtuellen" port liegt, dann kann ich diesem Netz einen Routing tag zuweisen. Soweit kein Problem und alles Funktioniert. IP-Daten von Adressen aus diesem Netz haben in den Lancom-Logs einen entsprechenden Tag. Wenn sich aber in dem Netz keine Rechner sondern ein weiterer Router befindet, routet dieser IP-Daten auf die IP des Lankoms. Als Absende-IP haben die Daten also keine IP aus dem VLan-Netz. In diesem Fall bekommen sie keinen Routing Tag des Netzes. Was mir fehlt ist ein "Schnittstellen Tag". Will meinen jedes Paket was über diese Schnittstelle (VLan xy, Lancom IP a) kommt soll einen Routing-Tag bekommen.
Bis dann
Stefan
zu Punkt 2:
Mir ist bekannt, dass VLan-Tags und Routing-Tags etwas verschiedenes sind.
Eventuell wurde meine Aussage missverstanden. Wenn ich ein VLan und ein Netz definiere was auf diesem "virtuellen" port liegt, dann kann ich diesem Netz einen Routing tag zuweisen. Soweit kein Problem und alles Funktioniert. IP-Daten von Adressen aus diesem Netz haben in den Lancom-Logs einen entsprechenden Tag. Wenn sich aber in dem Netz keine Rechner sondern ein weiterer Router befindet, routet dieser IP-Daten auf die IP des Lankoms. Als Absende-IP haben die Daten also keine IP aus dem VLan-Netz. In diesem Fall bekommen sie keinen Routing Tag des Netzes. Was mir fehlt ist ein "Schnittstellen Tag". Will meinen jedes Paket was über diese Schnittstelle (VLan xy, Lancom IP a) kommt soll einen Routing-Tag bekommen.
Bis dann
Stefan