Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Externe VPN User durch Tunnel in Zentrale leiten

Frage Netzwerke Router & Routing

Mitglied: mc-doubleyou

mc-doubleyou (Level 2) - Jetzt verbinden

12.01.2015, aktualisiert 18:01 Uhr, 902 Aufrufe, 4 Kommentare

Hallo Zusammen,

unsere VPN Netz wird immer komplexer, da jedes als eigenes besteht wir aber dennoch die Möglichkeit der Fernwartung brauchen.
Leider will es einfach nicht funktionieren, warum auch immer.
Eingesetzt wird ZyXEL (20,50, 100, 200)


Details:
Zentrale LAN: 10.20.20.0/24
Außenposten LAN: 10.20.30.0/24
Außenposten VLAN: 10.30.30.0/24

Per L2TP wird mittels DHCP eine Adresse aus dem VLAN Pool vergeben und man kann dann durch eine Policy

Incoming: any (Excluding ZyXEL) - Source: VLAN Pool - Destination: any - Next Hop: WAN - SNAT: outgoing-interfcae

per VLAN über den Router des Außenpostens auch von unterwegs surfen. Muss ihn also nicht für SMB Zugriff aktivierund dund dann wirder deaktivieren.


Da in der Zentrale jedoch ein Server mit Software Applikationen steht würde ich gerne mit einer weiteren Policy (welche naturlich vor der oben sein muss) folgendes basiert.

10.30.30.1 will sich auf 10.20.20.253 verbinden

10.30.30.1 (VLAN in den Außenposten) => 10.20.30.254 (Traffic geht durch den Tunnel in die Zentrale) => 10.20.20.254 (und weiter an den Server) => 10.20.20.253

Bisher wird er scheinbar immer auf der WAN Seite ins Internet geschickt und bleibt somir unbeantwortet.

Danke!

LG mcdy
Mitglied: Jannis92
12.01.2015 um 21:35 Uhr
Sorry, aber deine Beschreibung ist sehr undeutlich geschrieben :x.
Ich kenne mich persönlich auch nicht mit ZyXEl aus... wir bauen über
einen LANCOM / UTM eine Site to Site Verbindung auf.

Verständnis:
1) mit Policy meinst du Firewall-Regel oder?
2) Wenn ich 1 richtig verstanden habe, ist die Regel dann in "ZyXEL" konfiguriert? Und existiert noch eine weitere Firewall?
3) GIbt es eine Regel welche es den Clients aus dem VPN-Pool erlaubt, auf den Application-Server/ Terminalserver zuzugreifen?
4) Bzw. wie soll auf den Server zugegriffen werden (RDP)?
Bitte warten ..
Mitglied: Dani
12.01.2015 um 23:11 Uhr
Moin,
ich weiß was du vor hast, kann aber deiner Beschreibung nicht folgen. Gibt es einen groben Netzwerkplan? Das würde die Antwort für dein Problem sehr vereinfachen.

Außenposten LAN: 10.20.30.0/24
Außenposten VLAN: 10.30.30.0/24
Ist das wirklich so oder ein Tippfehler im Subnetz?


Gruß,
Dani
Bitte warten ..
Mitglied: sk
13.01.2015, aktualisiert um 00:17 Uhr
Zitat von mc-doubleyou:
unsere VPN Netz wird immer komplexer, da jedes als eigenes besteht wir aber
dennoch die Möglichkeit der Fernwartung brauchen.

https://www.youtube.com/watch?v=vp9hw9tRSpM
Deshalb hatte ich Dir ja empfohlen, die Mobilclients nur in der Zentrale einwählen zu lassen. http://www.administrator.de/forum/l2tp-verbindungsproblem-und-kein-ping ...


Zitat von mc-doubleyou:
Da in der Zentrale jedoch ein Server mit Software Applikationen steht würde ich gerne mit einer weiteren Policy (welche
naturlich vor der oben sein muss) folgendes basiert.

10.30.30.1 will sich auf 10.20.20.253 verbinden

> 10.30.30.1 (VLAN in den Außenposten) => 10.20.30.254 (Traffic geht durch den Tunnel in die Zentrale) =>
10.20.20.254 (und weiter an den Server) => 10.20.20.253

Bisher wird er scheinbar immer auf der WAN Seite ins Internet geschickt und bleibt somir unbeantwortet.

Bedenke, dass es nicht genügt, in der Aussenstelle den Traffic der L2TP-Clients an die Zentrale per Policyroute in den entsprechenden Site-to-Site-Tunnel zu schieben, sondern dass auch in der Zentrale der Traffic zu den L2TP-Clients der Außenstelle wieder per Policyroute in den Tunnel geschoben werden muss. Anderenfalls kommen die Antwortpakete nicht zurück.
Administrativ am einfachsten ist es, an jeder Lokation für jede Verbindung zu einer anderen Lokation jeweils eine Policyroute nach folgendem Schema zu erstellen:

incoming interface=any
Source-Address=any
Destination Address=RemoteNetze_LokationX
Next Hop=der entsprechende VPN-Tunnel

"RemoteNetze_LokationX" ist eine Addressgroup, welche die Adressobjekte aller Netze an der LokationX enthält (also z.B. SUBNET_LAN_X und L2TP-Pool_X)
Kommen irgendwo Netze hinzu, musst Du nur noch das entsprechende Adressobjekt anlegen und der Addressgroup hinzufügen.


Gruß
sk
Bitte warten ..
Mitglied: mc-doubleyou
14.01.2015 um 17:47 Uhr
Danke sk,

ich muss mir das noch im Detail ansehen aber es klingt vielversprechend.
Wie immer grandios!

LG mcdy
Bitte warten ..
Ähnliche Inhalte
Windows Netzwerk
VPN User nur für einen Dienst zulassen (2)

Frage von NochEinBen zum Thema Windows Netzwerk ...

Router & Routing
Netgear FVS318v3 VPN - Tunnel steht, aber nichts erreichbar (10)

Frage von Xaero1982 zum Thema Router & Routing ...

Router & Routing
VPN Tunnel über MikroTik Switch einem Büroraum zur Verfügung stellen (1)

Frage von Androxin zum Thema Router & Routing ...

Windows Netzwerk
Drucken über VPN Tunnel langsam (3)

Frage von oellad zum Thema Windows Netzwerk ...

Neue Wissensbeiträge
RedHat, CentOS, Fedora

Fedora, RedHat, Centos: DNS-Search Domain setzen

(13)

Tipp von Frank zum Thema RedHat, CentOS, Fedora ...

Drucker und Scanner

Samsung SL-M4025ND, firmware update und (kompatible) Tonerkassetten

(1)

Erfahrungsbericht von markus-1969 zum Thema Drucker und Scanner ...

Heiß diskutierte Inhalte
Windows 10
Windows für Privatanwender "nicht mehr handhabbar" (35)

Frage von FA-jka zum Thema Windows 10 ...

LAN, WAN, Wireless
Komplett neues Netzwerk, Ubiquiti WLAN, Router, Switch (15)

Frage von Freak-On-Silicon zum Thema LAN, WAN, Wireless ...

Backup
Backup Wochen- Monats- Jahressicherung (13)

Frage von Meterpeter zum Thema Backup ...

RedHat, CentOS, Fedora
Fedora, RedHat, Centos: DNS-Search Domain setzen (13)

Tipp von Frank zum Thema RedHat, CentOS, Fedora ...