VPN IKEv1 SA Aushandlung
Hallo Leute,
ich habe mal eine Frage bzgl. SA-Aushandlungen. Wenn wir z.B. folgende Konstellation haben:
VPN - Client -> VPN GW - > Coreswitch - VPN GW - Server
Die direkte Verbindung vom VPN-Client zum ersten GW ist mit gegenseitiger manueller SA-Regelerzeugung erstellt worden.
Nach meinem Kenntnisstand benötigt man nun ebenfalls eine SA vom VPN-Client zum Servernetz, die auf dem Client hinterlegt wird.
Was ist nun mit den ganzen Transfernetzen, die werden dann einfach durchgeroutet, oder wird für jedes Netz, zum Endnetz eine SA benötigt?
Vielen Dank
ich habe mal eine Frage bzgl. SA-Aushandlungen. Wenn wir z.B. folgende Konstellation haben:
VPN - Client -> VPN GW - > Coreswitch - VPN GW - Server
Die direkte Verbindung vom VPN-Client zum ersten GW ist mit gegenseitiger manueller SA-Regelerzeugung erstellt worden.
Nach meinem Kenntnisstand benötigt man nun ebenfalls eine SA vom VPN-Client zum Servernetz, die auf dem Client hinterlegt wird.
Was ist nun mit den ganzen Transfernetzen, die werden dann einfach durchgeroutet, oder wird für jedes Netz, zum Endnetz eine SA benötigt?
Vielen Dank
Please also mark the comments that contributed to the solution of the article
Content-Key: 389006
Url: https://administrator.de/contentid/389006
Printed on: April 20, 2024 at 00:04 o'clock
5 Comments
Latest comment
Das bedeutet, wenn ich eine Maske mit entsprechend großem Subnet habe....
Nein !Vermutlich hast du das missverstanden ?!
Nehmen wir mal an du hast remote die folgenden IP Netze:
- 192.168.10.0 /24
- 192.168.20.0 /24
- 192.168.30.0 /24
- bis 192.168.100.0 /24
Diese SA routet dann alle IP Netze von 192.168.0.1 bis 192.168.127.254 in den VPN Tunnel und deckt damit alle deine remoten Netze ab.
Hast du aber sowas:
- 10.1.1.0 /24
- 172.16.1.0 /24
- 172.32.100.0 /24
- 192.168.168.0 /24
Die Pakete zu einem Netzwerk gehen, für die es keine Netzbeziehung gibt (src <=> dst) werden verworfen. Die Netzbeziehung ist aber nicht nötig, wenn ein solches Netz nur für den Transit genutzt wird, da ja keine direkte Kommunikation mit dem Netzwerk nötig ist.
Ist im Internet genauso, in reine Transitverbindungen eines Providers kannst du nicht reingreifen, wenn du diese überhaupt siehst.
Ist im Internet genauso, in reine Transitverbindungen eines Providers kannst du nicht reingreifen, wenn du diese überhaupt siehst.