8
VPN Site-to-Site
Hallo,
ich habe 2 Netgear FVS318v3 die Site-to-Site VPN Tunnel aufbauen.
Das klappt auch alles wunderbar. Clients aus dem einen Netz können Clients aus dem anderen Netz anpingen etc.
Ich möchte aber, dass die Clients der Außenstelle eine IP aus dem lokalen Netzwerk bekommen, damit sie auf einen Server zugreifen können, der nur bestimmte IPs aus dem Haupnetz zulässt.
Was muss ich konfigurieren?
Vielen Dank,
onpreludeoff
ich habe 2 Netgear FVS318v3 die Site-to-Site VPN Tunnel aufbauen.
Das klappt auch alles wunderbar. Clients aus dem einen Netz können Clients aus dem anderen Netz anpingen etc.
Ich möchte aber, dass die Clients der Außenstelle eine IP aus dem lokalen Netzwerk bekommen, damit sie auf einen Server zugreifen können, der nur bestimmte IPs aus dem Haupnetz zulässt.
Was muss ich konfigurieren?
Vielen Dank,
onpreludeoff
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 46971
Url: https://administrator.de/contentid/46971
Printed on: April 19, 2024 at 22:04 o'clock
8 Comments
Latest comment
korrigiert mich wenn ich falsch liege...
aber das geht meines wissen nicht.
du verbindest ja im prinzip 2 subnetze
ein rechner A aus subnetz 1 (Hauptnetz) will auf rechner B aus subnetz 2 (Aussenstelle) zugreifen
irgendwie muss ja rechner A wissen, dass rechner B bei der Aussenstelle sitzt
^^hierfür hast du ja deinen standardgateway gesetzt
der standardgateway kennt die aussenstelle
wenn rechner A jetzt auf rechner B zugreifen will muss ja der datenverkehr erstmal durch die Netgear geräte durch.
die netgear geräte kennen wiederrum die anderen netze (also Hauptnetz und Aussenstelle)
wenn du jetzt für Hauptnetz und Aussenstelle den selben IP-Range verwendest versucht der rechner A direkt in seinem subnetz auf den rechner B zuzugreifen
dort ist er ja nicht verfügbar, da du ja erst durch den Netgear durch musst
wird also nicht funktionieren
ich hoff ich hab das jetzt einigemaßen verständlich geschrieben
Gruß
Ralf
aber das geht meines wissen nicht.
du verbindest ja im prinzip 2 subnetze
ein rechner A aus subnetz 1 (Hauptnetz) will auf rechner B aus subnetz 2 (Aussenstelle) zugreifen
irgendwie muss ja rechner A wissen, dass rechner B bei der Aussenstelle sitzt
^^hierfür hast du ja deinen standardgateway gesetzt
der standardgateway kennt die aussenstelle
wenn rechner A jetzt auf rechner B zugreifen will muss ja der datenverkehr erstmal durch die Netgear geräte durch.
die netgear geräte kennen wiederrum die anderen netze (also Hauptnetz und Aussenstelle)
wenn du jetzt für Hauptnetz und Aussenstelle den selben IP-Range verwendest versucht der rechner A direkt in seinem subnetz auf den rechner B zuzugreifen
dort ist er ja nicht verfügbar, da du ja erst durch den Netgear durch musst
wird also nicht funktionieren
ich hoff ich hab das jetzt einigemaßen verständlich geschrieben
Gruß
Ralf
Kann dein Router NAT dann sag ihm doch einfach das die Fremdadresse == NAT adresse ist == welche IP Du auch immer brauchst.
Grüsse
Grüsse
wobei das dann ja den sinn einer Site-to-Site verbindung verfehlen würde
weil dann kann ja ein rechner aus dem Hauptnetz nicht mehr auf die rechner des Aussenstellennetzes zugreifen.
Dann hättest wieder eine Site-to-End Verbindung
fänd ich selbst keine optimale lösung
wie sieht es sonst mit Firewall regeln auf den Netgear geräten aus?
Bei ISA 2004 ist es zum beispiel möglich rechner aus dem Aussenstellennetz den zugriff nur auf bestimmte ressourcen des Hauptnetzes zu erlauben.
vielleicht kannst du das mit Firewallregeln auf den Netgears auch machen.
weil dann kann ja ein rechner aus dem Hauptnetz nicht mehr auf die rechner des Aussenstellennetzes zugreifen.
Dann hättest wieder eine Site-to-End Verbindung
fänd ich selbst keine optimale lösung
wie sieht es sonst mit Firewall regeln auf den Netgear geräten aus?
Bei ISA 2004 ist es zum beispiel möglich rechner aus dem Aussenstellennetz den zugriff nur auf bestimmte ressourcen des Hauptnetzes zu erlauben.
vielleicht kannst du das mit Firewallregeln auf den Netgears auch machen.
Hallo,
Eine Site-to-End Verbindung würde mir total reichen. Die clients der Außenstelle müssen nicht direkt für das Hauptnetz erreichbar sein.
Dann würde ich sagen, Aussenstelle1 bekommt die (interne) 192.168.0.1 als NAT Adresse und Außenstelle 2 die 192.168.0.2 usw.
Leider ist es aber so, dass die Netgear den VPN aufbauen und die Clients der Außenstelle ihre IP aus dem 192.168.1.x Netz behalten.
D.h. wenn ich von der Außenstelle meinen internen Serve pinge, sehe ich, dass der ping von 192.168.1.x kommt.
Wenn Ihr noch Ideen habt, ich kann jede Hilfe gebrauchen.
Vielen Dank,
onpreludeoff
Eine Site-to-End Verbindung würde mir total reichen. Die clients der Außenstelle müssen nicht direkt für das Hauptnetz erreichbar sein.
Dann würde ich sagen, Aussenstelle1 bekommt die (interne) 192.168.0.1 als NAT Adresse und Außenstelle 2 die 192.168.0.2 usw.
Leider ist es aber so, dass die Netgear den VPN aufbauen und die Clients der Außenstelle ihre IP aus dem 192.168.1.x Netz behalten.
D.h. wenn ich von der Außenstelle meinen internen Serve pinge, sehe ich, dass der ping von 192.168.1.x kommt.
Wenn Ihr noch Ideen habt, ich kann jede Hilfe gebrauchen.
Vielen Dank,
onpreludeoff
bei NAT solltest eigentlich nur die IP 192.168.0.2 sehen
weil von der IP kommt ja die Anfrage
Nur nochmal zum verständnis
Rechner A -> Hauptnetz
IP: 192.168.0.16
Rechner B -> Aussenstelle
IP: 192.168.1.16
Rechner B pingt Rechner A
Rechner B bekommt in etwa folgendes
Antwort von 192.168.0.16: Bytes=32 Zeit=80ms TTL=126
Rechner A kann Rechner B nicht anpingen -> da NAT
Es ist aber möglich den Router anzupingen
Antwort von 192.168.0.2: Bytes=32 Zeit=80ms TTL=126
Und wo soll nun die IP von Rechner B sichtbar sein?
Bei einem Ping von Rechner B zu Rechner A sieht Rechner A nur die IP des Routers
Wenn Rechner A wirklich die IP von Rechner B sieht dann hast du kein NAT sondern echtes Routing der beiden Netze
weil von der IP kommt ja die Anfrage
Nur nochmal zum verständnis
Rechner A -> Hauptnetz
IP: 192.168.0.16
Rechner B -> Aussenstelle
IP: 192.168.1.16
Rechner B pingt Rechner A
Rechner B bekommt in etwa folgendes
Antwort von 192.168.0.16: Bytes=32 Zeit=80ms TTL=126
Rechner A kann Rechner B nicht anpingen -> da NAT
Es ist aber möglich den Router anzupingen
Antwort von 192.168.0.2: Bytes=32 Zeit=80ms TTL=126
Und wo soll nun die IP von Rechner B sichtbar sein?
Bei einem Ping von Rechner B zu Rechner A sieht Rechner A nur die IP des Routers
Wenn Rechner A wirklich die IP von Rechner B sieht dann hast du kein NAT sondern echtes Routing der beiden Netze
Was ich möchte:
Rechner B soll auf Rechner A kommen, aber mit einer IP aus dem A Subnetz (192.168.0.x).
Oder mit anderen Worten: Rechner A darf nicht wissen, dass B nicht im gleichen Subnetz ist.
Masquerading?
Aber ich weiß nicht wie und ob die Netgears das können und ob es mit 2* Dyndns geht...
Es gibt noch viele Fragen...
Rechner B soll auf Rechner A kommen, aber mit einer IP aus dem A Subnetz (192.168.0.x).
Oder mit anderen Worten: Rechner A darf nicht wissen, dass B nicht im gleichen Subnetz ist.
Masquerading?
Aber ich weiß nicht wie und ob die Netgears das können und ob es mit 2* Dyndns geht...
Es gibt noch viele Fragen...
Jo, Masquerading.
Wobei das ja eh NAT ist..bzw heißt das so bei allen Routern
Ganz genau genommen machst du eh PAT...aber in den meisten Routern heißts halt NAT.
und dann hast du genau das was du möchtest!
In wieweit deine Netgear das können kann ich dir leider net sagen.
Warum darf Rechner A nur die IP-Adresse vom Subnetz 192.168.0.x sehen?
Wobei das ja eh NAT ist..bzw heißt das so bei allen Routern
Ganz genau genommen machst du eh PAT...aber in den meisten Routern heißts halt NAT.
und dann hast du genau das was du möchtest!
In wieweit deine Netgear das können kann ich dir leider net sagen.
Warum darf Rechner A nur die IP-Adresse vom Subnetz 192.168.0.x sehen?
Rechner A gehört einer anderen Firma und ist auch eine CISCO die nochmal wo anders hinroutet.
Gibt es nicht eine virtuelle Möglichkeit für solche Routing Geschichten?
Ein routing Simulator
Vielen Dank erstmal.
Gibt es nicht eine virtuelle Möglichkeit für solche Routing Geschichten?
Ein routing Simulator
Vielen Dank erstmal.
