Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Externe VPN User durch Tunnel in Zentrale leiten

Frage Netzwerke Router & Routing

Mitglied: mc-doubleyou

mc-doubleyou (Level 2) - Jetzt verbinden

12.01.2015, aktualisiert 18:01 Uhr, 812 Aufrufe, 4 Kommentare

Hallo Zusammen,

unsere VPN Netz wird immer komplexer, da jedes als eigenes besteht wir aber dennoch die Möglichkeit der Fernwartung brauchen.
Leider will es einfach nicht funktionieren, warum auch immer.
Eingesetzt wird ZyXEL (20,50, 100, 200)


Details:
Zentrale LAN: 10.20.20.0/24
Außenposten LAN: 10.20.30.0/24
Außenposten VLAN: 10.30.30.0/24

Per L2TP wird mittels DHCP eine Adresse aus dem VLAN Pool vergeben und man kann dann durch eine Policy

Incoming: any (Excluding ZyXEL) - Source: VLAN Pool - Destination: any - Next Hop: WAN - SNAT: outgoing-interfcae

per VLAN über den Router des Außenpostens auch von unterwegs surfen. Muss ihn also nicht für SMB Zugriff aktivierund dund dann wirder deaktivieren.


Da in der Zentrale jedoch ein Server mit Software Applikationen steht würde ich gerne mit einer weiteren Policy (welche naturlich vor der oben sein muss) folgendes basiert.

10.30.30.1 will sich auf 10.20.20.253 verbinden

10.30.30.1 (VLAN in den Außenposten) => 10.20.30.254 (Traffic geht durch den Tunnel in die Zentrale) => 10.20.20.254 (und weiter an den Server) => 10.20.20.253

Bisher wird er scheinbar immer auf der WAN Seite ins Internet geschickt und bleibt somir unbeantwortet.

Danke!

LG mcdy
Mitglied: Jannis92
12.01.2015 um 21:35 Uhr
Sorry, aber deine Beschreibung ist sehr undeutlich geschrieben :x.
Ich kenne mich persönlich auch nicht mit ZyXEl aus... wir bauen über
einen LANCOM / UTM eine Site to Site Verbindung auf.

Verständnis:
1) mit Policy meinst du Firewall-Regel oder?
2) Wenn ich 1 richtig verstanden habe, ist die Regel dann in "ZyXEL" konfiguriert? Und existiert noch eine weitere Firewall?
3) GIbt es eine Regel welche es den Clients aus dem VPN-Pool erlaubt, auf den Application-Server/ Terminalserver zuzugreifen?
4) Bzw. wie soll auf den Server zugegriffen werden (RDP)?
Bitte warten ..
Mitglied: Dani
12.01.2015 um 23:11 Uhr
Moin,
ich weiß was du vor hast, kann aber deiner Beschreibung nicht folgen. Gibt es einen groben Netzwerkplan? Das würde die Antwort für dein Problem sehr vereinfachen.

Außenposten LAN: 10.20.30.0/24
Außenposten VLAN: 10.30.30.0/24
Ist das wirklich so oder ein Tippfehler im Subnetz?


Gruß,
Dani
Bitte warten ..
Mitglied: sk
13.01.2015, aktualisiert um 00:17 Uhr
Zitat von mc-doubleyou:
unsere VPN Netz wird immer komplexer, da jedes als eigenes besteht wir aber
dennoch die Möglichkeit der Fernwartung brauchen.

https://www.youtube.com/watch?v=vp9hw9tRSpM
Deshalb hatte ich Dir ja empfohlen, die Mobilclients nur in der Zentrale einwählen zu lassen. http://www.administrator.de/forum/l2tp-verbindungsproblem-und-kein-ping ...


Zitat von mc-doubleyou:
Da in der Zentrale jedoch ein Server mit Software Applikationen steht würde ich gerne mit einer weiteren Policy (welche
naturlich vor der oben sein muss) folgendes basiert.

10.30.30.1 will sich auf 10.20.20.253 verbinden

> 10.30.30.1 (VLAN in den Außenposten) => 10.20.30.254 (Traffic geht durch den Tunnel in die Zentrale) =>
10.20.20.254 (und weiter an den Server) => 10.20.20.253

Bisher wird er scheinbar immer auf der WAN Seite ins Internet geschickt und bleibt somir unbeantwortet.

Bedenke, dass es nicht genügt, in der Aussenstelle den Traffic der L2TP-Clients an die Zentrale per Policyroute in den entsprechenden Site-to-Site-Tunnel zu schieben, sondern dass auch in der Zentrale der Traffic zu den L2TP-Clients der Außenstelle wieder per Policyroute in den Tunnel geschoben werden muss. Anderenfalls kommen die Antwortpakete nicht zurück.
Administrativ am einfachsten ist es, an jeder Lokation für jede Verbindung zu einer anderen Lokation jeweils eine Policyroute nach folgendem Schema zu erstellen:

incoming interface=any
Source-Address=any
Destination Address=RemoteNetze_LokationX
Next Hop=der entsprechende VPN-Tunnel

"RemoteNetze_LokationX" ist eine Addressgroup, welche die Adressobjekte aller Netze an der LokationX enthält (also z.B. SUBNET_LAN_X und L2TP-Pool_X)
Kommen irgendwo Netze hinzu, musst Du nur noch das entsprechende Adressobjekt anlegen und der Addressgroup hinzufügen.


Gruß
sk
Bitte warten ..
Mitglied: mc-doubleyou
14.01.2015 um 17:47 Uhr
Danke sk,

ich muss mir das noch im Detail ansehen aber es klingt vielversprechend.
Wie immer grandios!

LG mcdy
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Netzwerk
VPN User nur für einen Dienst zulassen (2)

Frage von NochEinBen zum Thema Windows Netzwerk ...

Linux Netzwerk
OpenVPN, zwei OpenWRT Router verbinden und VLAN durchs VPN leiten (6)

Frage von sharbich zum Thema Linux Netzwerk ...

Router & Routing
Tunnel VPN to VPN (8)

Frage von itschloegl zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Windows Tools
gelöst Aussendienst Datensynchronisierung (12)

Frage von lighningcrow zum Thema Windows Tools ...

Windows Server
Suche passender Treiber (12)

Frage von stolli zum Thema Windows Server ...

Peripheriegeräte
Wlan stört Funkmaus (11)

Frage von Falaffel zum Thema Peripheriegeräte ...

Windows Server
RODC über VPN - Verbindung weg (10)

Frage von stefan2k1 zum Thema Windows Server ...