9
2 Standorte per VPN 1 IP-Range
Hallo Zusammen,
wir wollen/müssen folgendes Szenario realisieren.
Es gibt 2 Standorte, welche über eine Fremdnetz verbunden sind, jedoch beide in der gleichen IP-Range sein müssen.
Es sind jeweils nur wenige IPs fest zugewiesen, welche auch nicht verändert werden können.
Würde dafür eine VPN reichen oder müssen wir uns wirklich mit 1:1 NAT herumschlagen?
Grundsätzlich sind wir auf die Sicherheit des VPNs nicht angewiesen, würde es deshalb noch eine andere Möglichkeit geben?
Danke schon einmal im Voraus!
wir wollen/müssen folgendes Szenario realisieren.
Es gibt 2 Standorte, welche über eine Fremdnetz verbunden sind, jedoch beide in der gleichen IP-Range sein müssen.
Es sind jeweils nur wenige IPs fest zugewiesen, welche auch nicht verändert werden können.
Würde dafür eine VPN reichen oder müssen wir uns wirklich mit 1:1 NAT herumschlagen?
Grundsätzlich sind wir auf die Sicherheit des VPNs nicht angewiesen, würde es deshalb noch eine andere Möglichkeit geben?
Danke schon einmal im Voraus!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 282541
Url: https://administrator.de/contentid/282541
Printed on: April 20, 2024 at 03:04 o'clock
9 Comments
Latest comment
Sers,
ist doch eigentlich kein Problem. Musst in dem Fall auf Layer 2 tunneln, und nicht Layer 3 (wie etwa bei IPSEC üblich).
Realisierbar wäre das über Site-to-Site Tunnel, e.g. via EoIP (auch direkt verschlüsselt möglich) oder L2TP.
Grüße,
Philip
ist doch eigentlich kein Problem. Musst in dem Fall auf Layer 2 tunneln, und nicht Layer 3 (wie etwa bei IPSEC üblich).
Realisierbar wäre das über Site-to-Site Tunnel, e.g. via EoIP (auch direkt verschlüsselt möglich) oder L2TP.
Grüße,
Philip
Hallo Vito,
was habt ihr denn für Geräte im Einsatz oder dürfen es auch neue sein? Wie sind die Netze sonst aufgebaut?
Schönen Abend,
Christian
PS: Darfst dich auch direkt per PN melden, ggf. lässt sich das über eine RED Konfiguration lösen.
was habt ihr denn für Geräte im Einsatz oder dürfen es auch neue sein? Wie sind die Netze sonst aufgebaut?
Schönen Abend,
Christian
PS: Darfst dich auch direkt per PN melden, ggf. lässt sich das über eine RED Konfiguration lösen.
Ok, das mit dem L2TP und EoIP hört sich schon einmal nach einer guten Variante an.
Hat man bei L2TP wirklich das gleiche Netz auf beiden Seiten, also auch wenn man es mit IPSec verschlüsselt? Man findet zu meiner benötigen Konstelation nur so wenig Infos dazu.
Zur Zeit gibt es noch gar keine Hardware, da wir gerade erst in der Planungsphase sind.
Das Netz sieht im Beispiel wie folgt aus:
Standort 1:
192.168.1.1 ...... 192.168.10
Standort 2:
192.168.1.11 ......... 192.168.1.20
evtl. kommt noch einmal ein dritter Standort dazu, aber das steht noch nicht fest. Um aber direkt mal in die Zukunft zu denken, was wäre dafür noch zu beachten? Site to Site fällt dann ja aus.
Hat man bei L2TP wirklich das gleiche Netz auf beiden Seiten, also auch wenn man es mit IPSec verschlüsselt? Man findet zu meiner benötigen Konstelation nur so wenig Infos dazu.
Zur Zeit gibt es noch gar keine Hardware, da wir gerade erst in der Planungsphase sind.
Das Netz sieht im Beispiel wie folgt aus:
Standort 1:
192.168.1.1 ...... 192.168.10
Standort 2:
192.168.1.11 ......... 192.168.1.20
evtl. kommt noch einmal ein dritter Standort dazu, aber das steht noch nicht fest. Um aber direkt mal in die Zukunft zu denken, was wäre dafür noch zu beachten? Site to Site fällt dann ja aus.
Hallo Vito,
warum will man in der Planungsphase sowas durchsetzen? Was spricht dafür?
warum will man in der Planungsphase sowas durchsetzen? Was spricht dafür?
Warum will man was durchsetzen? Das man den gleichen Adressbereich hat? Das geht wegen der anzuschaltenden Hardware leider nicht anders. Die kann leider nur in einem Adressbereich miteinander kommunizieren, bzw. ihre Daten an eine übergeordnete Stelle weitergeben.
OK, gib uns mal mehr Infos, wenn wir dir helfen sollen. Um welche Hardware geht es und warum soll diese nicht über Gateways hinweg miteinander kommunizieren?
Sind spezielle Steuerungs- und Messgeräte, welche eben nur in einem Adressbereich miteinander kommunizieren können, bzw. ihre Daten an eine übergeordnete Stelle weiterleiten können. Normalerweise sind solche Geräte alle an einem Standort und dort entweder in einem autarkem Netz oder in einem VLAN zusammengeschlossen.
In diesem Fall geht diese jedoch nicht, aber sie sollen trotzdem mit einer übergeordneten Stelle, bzw auch untereinander kommunizieren können und deswegen suche ich nach eine Möglichkeit, dieses Netz auf mehrere Standorte zu verteilen.
In diesem Fall geht diese jedoch nicht, aber sie sollen trotzdem mit einer übergeordneten Stelle, bzw auch untereinander kommunizieren können und deswegen suche ich nach eine Möglichkeit, dieses Netz auf mehrere Standorte zu verteilen.
Kannst du die Anforderung der Geräte genauer beschreiben?
Ich kenne das etwa von FARO Messarmen und deren WLAN Modul dass nur über Bonjour kommuniziert. Das lässt sich aber wie andere Multicast Protokolle auch durchaus über die IP Netzgrenze hinweg bewegen.
Eine andere Möglichkeit wäre statt EoIP oder L2TP gleich beim ISP einen MPLS Zugang je Standort zu buchen. Am Ende eine Frage des Budgets.
Ich kenne das etwa von FARO Messarmen und deren WLAN Modul dass nur über Bonjour kommuniziert. Das lässt sich aber wie andere Multicast Protokolle auch durchaus über die IP Netzgrenze hinweg bewegen.
Eine andere Möglichkeit wäre statt EoIP oder L2TP gleich beim ISP einen MPLS Zugang je Standort zu buchen. Am Ende eine Frage des Budgets.
jedoch beide in der gleichen IP-Range sein müssen.
Tödlich, denn das erfordert zwingend ein Layer 2 Bridging über den VPN Tunnel mit all den unkalkulierbaren Nachteilen.Darurch werden zwangsweise ALLE Broad- und Multicast Pakete beider Netze im Tunnel übertragen. Da dieser überlicherweise eine geringere Bandbreite hat (WAN) bedeutet das in der Regel eine massive Einschränkung der Performance bis zur Unbrauchbarkeit.
Überlege dir das also gut was du da machst.
Meist ist es einfacher und für die Zukunft besser, da skalierbarer auf einer Seite die IP Adressierung zu ändern !
Wenn du dort DHCP nutzt ist das eigentlich ne Sache von 15 Minuten das umzustellen.
Damit fährst du allemal besser als mit Bridging im Tunnel oder 1:1 NAT.
Letzteres wäre auch machbar erfordert aber entsprechende VPN Router HW die das supportet und...es ist ein erheblicher Konfig Aufwand das umzusetzen und zu managen !
Du tust also gut daran die IP Adressierung auf einer Seite zu ändern.Alles andere birgt eine sehr hohe Gefahr des Scheiterns !!
VPN Bridging mit OpenVPN:
https://openvpn.net/index.php/open-source/documentation/miscellaneous/76 ...
http://www.heise.de/netze/artikel/Bridge-Modus-224072.html
VPN Design Kriterien:
VPNs einrichten mit PPTP
Ohne VPN bleibt dir nur MPLS / VPLS oder eine Metro Connection mit Double Tagging.
