Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Externe VPN User durch Tunnel in Zentrale leiten

Frage Netzwerke Router & Routing

Mitglied: mc-doubleyou

mc-doubleyou (Level 2) - Jetzt verbinden

12.01.2015, aktualisiert 18:01 Uhr, 928 Aufrufe, 4 Kommentare

Hallo Zusammen,

unsere VPN Netz wird immer komplexer, da jedes als eigenes besteht wir aber dennoch die Möglichkeit der Fernwartung brauchen.
Leider will es einfach nicht funktionieren, warum auch immer.
Eingesetzt wird ZyXEL (20,50, 100, 200)


Details:
Zentrale LAN: 10.20.20.0/24
Außenposten LAN: 10.20.30.0/24
Außenposten VLAN: 10.30.30.0/24

Per L2TP wird mittels DHCP eine Adresse aus dem VLAN Pool vergeben und man kann dann durch eine Policy

Incoming: any (Excluding ZyXEL) - Source: VLAN Pool - Destination: any - Next Hop: WAN - SNAT: outgoing-interfcae

per VLAN über den Router des Außenpostens auch von unterwegs surfen. Muss ihn also nicht für SMB Zugriff aktivierund dund dann wirder deaktivieren.


Da in der Zentrale jedoch ein Server mit Software Applikationen steht würde ich gerne mit einer weiteren Policy (welche naturlich vor der oben sein muss) folgendes basiert.

10.30.30.1 will sich auf 10.20.20.253 verbinden

10.30.30.1 (VLAN in den Außenposten) => 10.20.30.254 (Traffic geht durch den Tunnel in die Zentrale) => 10.20.20.254 (und weiter an den Server) => 10.20.20.253

Bisher wird er scheinbar immer auf der WAN Seite ins Internet geschickt und bleibt somir unbeantwortet.

Danke!

LG mcdy
Mitglied: Jannis92
12.01.2015 um 21:35 Uhr
Sorry, aber deine Beschreibung ist sehr undeutlich geschrieben :x.
Ich kenne mich persönlich auch nicht mit ZyXEl aus... wir bauen über
einen LANCOM / UTM eine Site to Site Verbindung auf.

Verständnis:
1) mit Policy meinst du Firewall-Regel oder?
2) Wenn ich 1 richtig verstanden habe, ist die Regel dann in "ZyXEL" konfiguriert? Und existiert noch eine weitere Firewall?
3) GIbt es eine Regel welche es den Clients aus dem VPN-Pool erlaubt, auf den Application-Server/ Terminalserver zuzugreifen?
4) Bzw. wie soll auf den Server zugegriffen werden (RDP)?
Bitte warten ..
Mitglied: Dani
12.01.2015 um 23:11 Uhr
Moin,
ich weiß was du vor hast, kann aber deiner Beschreibung nicht folgen. Gibt es einen groben Netzwerkplan? Das würde die Antwort für dein Problem sehr vereinfachen.

Außenposten LAN: 10.20.30.0/24
Außenposten VLAN: 10.30.30.0/24
Ist das wirklich so oder ein Tippfehler im Subnetz?


Gruß,
Dani
Bitte warten ..
Mitglied: sk
13.01.2015, aktualisiert um 00:17 Uhr
Zitat von mc-doubleyou:
unsere VPN Netz wird immer komplexer, da jedes als eigenes besteht wir aber
dennoch die Möglichkeit der Fernwartung brauchen.

https://www.youtube.com/watch?v=vp9hw9tRSpM
Deshalb hatte ich Dir ja empfohlen, die Mobilclients nur in der Zentrale einwählen zu lassen. http://www.administrator.de/forum/l2tp-verbindungsproblem-und-kein-ping ...


Zitat von mc-doubleyou:
Da in der Zentrale jedoch ein Server mit Software Applikationen steht würde ich gerne mit einer weiteren Policy (welche
naturlich vor der oben sein muss) folgendes basiert.

10.30.30.1 will sich auf 10.20.20.253 verbinden

> 10.30.30.1 (VLAN in den Außenposten) => 10.20.30.254 (Traffic geht durch den Tunnel in die Zentrale) =>
10.20.20.254 (und weiter an den Server) => 10.20.20.253

Bisher wird er scheinbar immer auf der WAN Seite ins Internet geschickt und bleibt somir unbeantwortet.

Bedenke, dass es nicht genügt, in der Aussenstelle den Traffic der L2TP-Clients an die Zentrale per Policyroute in den entsprechenden Site-to-Site-Tunnel zu schieben, sondern dass auch in der Zentrale der Traffic zu den L2TP-Clients der Außenstelle wieder per Policyroute in den Tunnel geschoben werden muss. Anderenfalls kommen die Antwortpakete nicht zurück.
Administrativ am einfachsten ist es, an jeder Lokation für jede Verbindung zu einer anderen Lokation jeweils eine Policyroute nach folgendem Schema zu erstellen:

incoming interface=any
Source-Address=any
Destination Address=RemoteNetze_LokationX
Next Hop=der entsprechende VPN-Tunnel

"RemoteNetze_LokationX" ist eine Addressgroup, welche die Adressobjekte aller Netze an der LokationX enthält (also z.B. SUBNET_LAN_X und L2TP-Pool_X)
Kommen irgendwo Netze hinzu, musst Du nur noch das entsprechende Adressobjekt anlegen und der Addressgroup hinzufügen.


Gruß
sk
Bitte warten ..
Mitglied: mc-doubleyou
14.01.2015 um 17:47 Uhr
Danke sk,

ich muss mir das noch im Detail ansehen aber es klingt vielversprechend.
Wie immer grandios!

LG mcdy
Bitte warten ..
Ähnliche Inhalte
Linux Netzwerk
Raspberry Pi - Alle angeschlossenen DHCP Clients in VPN Tunnel leiten (iptables ?)
gelöst Frage von warbyrdLinux Netzwerk5 Kommentare

Hallo zusammen, ich habe einen Raspberry Pi 2, der einerseits als DHCP Client fungiert (an dem Ethernet Port) und ...

Router & Routing
Tunnel VPN to VPN
Frage von itschloeglRouter & Routing8 Kommentare

Guten Abend. Folgende Problemstellung: Ich habe ein Firmennetzwerk, welches mehrere Standorte umfasst. Alle Standorte sind via VPN an den ...

Netzwerkmanagement
Zentrales VPN-Management
gelöst Frage von aBakerNetzwerkmanagement8 Kommentare

Hallo zusammen, wir haben das Problem von mehreren unserer Kunden VPN Zugänge mit dem unterschiedlichsten VPN Clients zu haben, ...

LAN, WAN, Wireless
VPN Anbindung zur zentralen Nutzerverwaltung
Frage von RicoPausBLAN, WAN, Wireless1 Kommentar

moinmoin wir haben hier unsere beiden Hauptstandorte via site-to-site über zwei pfsense gekoppelt (2 x WIN 2K8 R2) Die ...

Neue Wissensbeiträge
Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 1 TagWindows 104 Kommentare

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 1 TagSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 1 TagInternet5 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 2 TagenDSL, VDSL2 Kommentare

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Heiß diskutierte Inhalte
Windows Server
KMS Facts for Client configuration
Frage von winlinWindows Server13 Kommentare

Hey Leute, wir haben in unserem Netz nun einen neuen KMS Server. Haben Bestands-VMs die noch nicht aktiviert sind. ...

Windows Server
GPO nur für bestimmte Computer
Frage von Leo-leWindows Server13 Kommentare

Hallo Forum, gern würde ich ein Robocopy script per Bat an eine GPO hängen. Wichtig wäre aber dort der ...

Batch & Shell
Kann man mit einer .txt Datei eine .bat Datei öffnen?
Frage von HelloWorldBatch & Shell13 Kommentare

Wie schon im Titel beschrieben würde ich gerne durch einfaches klicken auf eine Text oder Word Datei eine Batch ...

Router & Routing
OpenWRT bzw. L.E.D.E auf Buffalo WZR-HP-AG300H - update
gelöst Frage von EpigeneseRouter & Routing11 Kommentare

Guten Tag, ich habe auf einem Buffalo WZR-HP-AG300H die alternative Firmware vom L.E.D.E Projekt geflasht. Ich bin es von ...