5
Fehlendes Verständnis zu VPN
speziell Subnetze
Hallo zusammen,
Hab zwar schon einige Erfahrung im Admin-Bereich, allerdings bin ich bisher von Routering und VPN verschont geblieben. Genau das rächt sich aber nun.
Ich muß in Kürzester Zeit ein VPN-Netz aufbauen, was nicht so klappen will, wie es soll.
Zunächst mal das gewünschte Endergebnis:
Firmennetz A:
192.168.2.0 255.255.255.0 Gateway: 192.168.2.1 DNS und DHCP: 192.168.2.10
Gateway ist ein Netgear FVS318v3
Netz voll funktionsfähig
Filialnetz A (ohne eigenen DC, DNS, DHCP usw):
soll vollkommen über das Firmennetz A gesteuert werden. Grundkonfiguration ist wie jedes beliebige Heimnetz.
Gateway wird vermutlich ebenfalls ein Netgear FVS318v3 sein.
Firmennetz B:
192.168.1.0 255.255.255.0 Gateway: 192.168.1.1 DNS und DHCP: 192.168.1.10
Gateway bisher ein handelsüblicher Router
Netz voll funktionsfähig. Nur beschränkt administrationsfähig (da weit im Ausland)
Es sollen im Netz einige Geräte, die ein eigenes Subnet haben (Zeiterfassungsterminals) über VPN in das Firmennetz A eingebunden werden (ab Besten direkt in das Subnetz).
Zusätzlich sollen einige Geräte im 1er Subnet die Möglichkeit eine Terminalverbindung über VPN zum Firmennetz A aufbauen können.
eigene Clients A B C Z:
Unterschiedliche Rechner, von denen eine Terminalserver-Verbindung ins Firmennetz A aufgebaut werden soll (über VPN). Die Rechner mit unterschiedlichsten Netzen und Verbindungen Online (meist über die handelsüblichen "Heimnetze".
Software: Netgear ProSave
Bisher wurde alles über einfaches Port-Forward beim Router gemacht, was nicht unbedingt die Sicherste Variante ist ^^
Meine Experimente mit VPN sind bisher folgendermaßen verlaufen:
End to Site: VPN-Verbindung aufgebaut und stabil.
Nur seh ich einfach keinen anderen Rechner. Vermutung ist, dass sich der Client ja in einem anderen Subnetz befindet (3er). Allerdings muß ich ein anderes eingeben bei der Konfiguration.
Ist es nicht möglich, dem Client eine IP vom normalen Firmenpool A zu geben? Oder hab ich da grad ein massives Verständnisproblem?
An Anleitungen hab ich mir so ziemlich alles reingezogen was ich gefunden hab, aber nirgends wird mein Problem dargestellt bzw erklärt.
Ich hab alles eingestellt wie in der Konfigurationsanleitung von Netgear Kapitel 12 und 16 beschrieben.
Hoffe ihr könnt mir allgemeine Tipps, Hilfe und Problemlösung geben
Dank Euch
Aki
Hab zwar schon einige Erfahrung im Admin-Bereich, allerdings bin ich bisher von Routering und VPN verschont geblieben. Genau das rächt sich aber nun.
Ich muß in Kürzester Zeit ein VPN-Netz aufbauen, was nicht so klappen will, wie es soll.
Zunächst mal das gewünschte Endergebnis:
Firmennetz A:
192.168.2.0 255.255.255.0 Gateway: 192.168.2.1 DNS und DHCP: 192.168.2.10
Gateway ist ein Netgear FVS318v3
Netz voll funktionsfähig
Filialnetz A (ohne eigenen DC, DNS, DHCP usw):
soll vollkommen über das Firmennetz A gesteuert werden. Grundkonfiguration ist wie jedes beliebige Heimnetz.
Gateway wird vermutlich ebenfalls ein Netgear FVS318v3 sein.
Firmennetz B:
192.168.1.0 255.255.255.0 Gateway: 192.168.1.1 DNS und DHCP: 192.168.1.10
Gateway bisher ein handelsüblicher Router
Netz voll funktionsfähig. Nur beschränkt administrationsfähig (da weit im Ausland)
Es sollen im Netz einige Geräte, die ein eigenes Subnet haben (Zeiterfassungsterminals) über VPN in das Firmennetz A eingebunden werden (ab Besten direkt in das Subnetz).
Zusätzlich sollen einige Geräte im 1er Subnet die Möglichkeit eine Terminalverbindung über VPN zum Firmennetz A aufbauen können.
eigene Clients A B C Z:
Unterschiedliche Rechner, von denen eine Terminalserver-Verbindung ins Firmennetz A aufgebaut werden soll (über VPN). Die Rechner mit unterschiedlichsten Netzen und Verbindungen Online (meist über die handelsüblichen "Heimnetze".
Software: Netgear ProSave
Bisher wurde alles über einfaches Port-Forward beim Router gemacht, was nicht unbedingt die Sicherste Variante ist ^^
Meine Experimente mit VPN sind bisher folgendermaßen verlaufen:
End to Site: VPN-Verbindung aufgebaut und stabil.
Nur seh ich einfach keinen anderen Rechner. Vermutung ist, dass sich der Client ja in einem anderen Subnetz befindet (3er). Allerdings muß ich ein anderes eingeben bei der Konfiguration.
Ist es nicht möglich, dem Client eine IP vom normalen Firmenpool A zu geben? Oder hab ich da grad ein massives Verständnisproblem?
An Anleitungen hab ich mir so ziemlich alles reingezogen was ich gefunden hab, aber nirgends wird mein Problem dargestellt bzw erklärt.
Ich hab alles eingestellt wie in der Konfigurationsanleitung von Netgear Kapitel 12 und 16 beschrieben.
Hoffe ihr könnt mir allgemeine Tipps, Hilfe und Problemlösung geben
Dank Euch
Aki
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 64332
Url: https://administrator.de/contentid/64332
Printed on: April 16, 2024 at 04:04 o'clock
5 Comments
Latest comment
Bei komplexen Geschichten ist erstmal immer ne gute Idee, hier eine kleine Grafik der Netzwerktopologie reinzustellen - wer (ausser mir und aqui) ist schon verrückt genug, einen so komplexen Text von oben bis unten zu lesen und auch noch halbwegs zu verstehen worum es geht?
Du brauchst quasi eine klassische Site-to-Site Verbindung zw. Firmen-Netz A, Firmen-Netz B und dem Filialnetz A. Das dürfte so schwierig nicht werden. Zusätzlich brauchst du Remote Client VPN Zugang zum VPN Server für Clients die von daheim oder unterwegs zugreifen wollen (oder müssen?).
Prinzipiell ist bei Einsatz von Domänencontrollern eine gute Idee, vor Ort in jeder der Standorte einen Global Catalog Server laufen zu haben, damit die Bandbreite nicht zu sehr in Mitleidenschaft gezogen wird. Kommt aber auch auf die Anzahl der Clients an.
Wenn Du IPSEC verwendest (was die gängige, professionelle Variante ist) kannst Du wählen zwischen Tunnelmode (wo der ganze IP-Header eingekapselt wird), oder Transportmode (wo der IP Header erhalten bleibt, aber die Daten stark verschlüsselt werden.
Der Tunnelmode hat bei Client-VPN Zugriff den Vorteil dass der Client quasi "im" Firmen-Netz ist, auch ip-technisch erhält er eine IP aus dem Firmen-Netz, als wäre er vor Ort.
Soviel für heute.
Den Rest klärt hoffentlich aqui, ich bin müde.
Du brauchst quasi eine klassische Site-to-Site Verbindung zw. Firmen-Netz A, Firmen-Netz B und dem Filialnetz A. Das dürfte so schwierig nicht werden. Zusätzlich brauchst du Remote Client VPN Zugang zum VPN Server für Clients die von daheim oder unterwegs zugreifen wollen (oder müssen?).
Prinzipiell ist bei Einsatz von Domänencontrollern eine gute Idee, vor Ort in jeder der Standorte einen Global Catalog Server laufen zu haben, damit die Bandbreite nicht zu sehr in Mitleidenschaft gezogen wird. Kommt aber auch auf die Anzahl der Clients an.
Wenn Du IPSEC verwendest (was die gängige, professionelle Variante ist) kannst Du wählen zwischen Tunnelmode (wo der ganze IP-Header eingekapselt wird), oder Transportmode (wo der IP Header erhalten bleibt, aber die Daten stark verschlüsselt werden.
Der Tunnelmode hat bei Client-VPN Zugriff den Vorteil dass der Client quasi "im" Firmen-Netz ist, auch ip-technisch erhält er eine IP aus dem Firmen-Netz, als wäre er vor Ort.
Soviel für heute.
Den Rest klärt hoffentlich aqui, ich bin müde.
Hi,
danke für die schnelle Antwort.
Domänencontroller kommen beim Filialnetz nicht zum Einsatz, da es da gerade um 3 bis 4 Rechner handelt, die alle nicht in die Domäne eingebunden werden. Alle Mitarbeiter arbeiten außschließlich über Terminalserver.
Und das Firmennetz B geht mich nur indirekt was an ^^
Wie kann ich den Tunnelmode aktivieren?
Bzw was ist der unterschied zwischen den beiden Modes? Vor und Nachteile? Einschränkungen?
Aki
danke für die schnelle Antwort.
Domänencontroller kommen beim Filialnetz nicht zum Einsatz, da es da gerade um 3 bis 4 Rechner handelt, die alle nicht in die Domäne eingebunden werden. Alle Mitarbeiter arbeiten außschließlich über Terminalserver.
Und das Firmennetz B geht mich nur indirekt was an ^^
Wie kann ich den Tunnelmode aktivieren?
Bzw was ist der unterschied zwischen den beiden Modes? Vor und Nachteile? Einschränkungen?
Aki
Hmm, ich denke dann ist der Tunnelmode das richtige für mich . . .
Wenn man weiß, nach welchem Begriff man suchen muß, isses gleich viel einfacher *G*
Nuja, bisher hackts mich noch immer etwas bei den verfl Einstellungen von ProSave.
Ich bekomm einfach keine automatisch aufgebaute Verbindung hin, muß sie immer manuell aufbauen (ja, das entsprechende Häckchen hab ich gesehen)
Und den Tunnelmode bekomm ich auch ned hin.
Was muß ich eigntlich tun, wenn ich den Tunnelmode trotzdem nicht nutzen möchte, damit ich auch die beiden Subnetzte Zugreifen kann? 2er und 3er ?
Danke
Aki
Wenn man weiß, nach welchem Begriff man suchen muß, isses gleich viel einfacher *G*
Nuja, bisher hackts mich noch immer etwas bei den verfl Einstellungen von ProSave.
Ich bekomm einfach keine automatisch aufgebaute Verbindung hin, muß sie immer manuell aufbauen (ja, das entsprechende Häckchen hab ich gesehen)
Und den Tunnelmode bekomm ich auch ned hin.
Was muß ich eigntlich tun, wenn ich den Tunnelmode trotzdem nicht nutzen möchte, damit ich auch die beiden Subnetzte Zugreifen kann? 2er und 3er ?
Danke
Aki
Wie gesagt - ohne Netzwerk-Grafik ist das schwierig, hier im Forum weiter zu braten.
Mit den kleinen Netgear VPN Kisten hab ich auch noch nichts gemacht so dass ich hier keine detailierte Konfig-Anleitungs Hilfestellung zu geben vermag.
Die verschiedenen Niederlassungen u. Zweigstelle sollen ja nicht nur VPN Verbindung miteinander, sondern auch unabhängig voneinander Internet-Zugriff haben, unabhängig vom VPN Tunnel. Also wird man es so konfigurieren müssen, dass der Router erkennt, welche Daten er durch den Tunnel routen soll, und welche direkt ins Internet geroutet werden müssen. Bei Cisco gibts da Access Listen, die auf so genannten "Interesting Traffic" achten und je nach ACL diesen Traffic dann durch den Tunnel schicken oder sonst was damit anstellen, je nach Konfiguration.
Wie das bei Netgear ist weiss ich nicht.
Der Transport-Mode wäre halt etwas performanter (rein theoretisch) da beim Tunnel-Mode der gesamte Traffic eingekapselt wird. Transport Mode nutzt nur die Sicherungsmechanismen von IPSEC, tunnelt jedoch nicht den ganzen IP-Header.
Da an beiden Enden sowiso NAT gemacht wird (da ihr private IPs verwendet) könnte für die Site-to-Site Verbindungen der TransportMode besser sein, für die Client-to-Site Zugriffe jedoch der Tunnelmode.
Wie siehts aus mit ner kleinen Netzwerk-Grafik? Die brauchst du doch für dich selber auch, da komplexe Geschichten nicht mit Text begriffen werden können, sondern ne Grafik da ungemein hilft beim Verständnis des Aufbaus u. Finden von Fehlerquellen.
Mit den kleinen Netgear VPN Kisten hab ich auch noch nichts gemacht so dass ich hier keine detailierte Konfig-Anleitungs Hilfestellung zu geben vermag.
Die verschiedenen Niederlassungen u. Zweigstelle sollen ja nicht nur VPN Verbindung miteinander, sondern auch unabhängig voneinander Internet-Zugriff haben, unabhängig vom VPN Tunnel. Also wird man es so konfigurieren müssen, dass der Router erkennt, welche Daten er durch den Tunnel routen soll, und welche direkt ins Internet geroutet werden müssen. Bei Cisco gibts da Access Listen, die auf so genannten "Interesting Traffic" achten und je nach ACL diesen Traffic dann durch den Tunnel schicken oder sonst was damit anstellen, je nach Konfiguration.
Wie das bei Netgear ist weiss ich nicht.
Der Transport-Mode wäre halt etwas performanter (rein theoretisch) da beim Tunnel-Mode der gesamte Traffic eingekapselt wird. Transport Mode nutzt nur die Sicherungsmechanismen von IPSEC, tunnelt jedoch nicht den ganzen IP-Header.
Da an beiden Enden sowiso NAT gemacht wird (da ihr private IPs verwendet) könnte für die Site-to-Site Verbindungen der TransportMode besser sein, für die Client-to-Site Zugriffe jedoch der Tunnelmode.
Wie siehts aus mit ner kleinen Netzwerk-Grafik? Die brauchst du doch für dich selber auch, da komplexe Geschichten nicht mit Text begriffen werden können, sondern ne Grafik da ungemein hilft beim Verständnis des Aufbaus u. Finden von Fehlerquellen.