gaoshangliushui
Goto Top

Lancom 3550 - L2TP VPN in mehrere VLANs

Hallo zusammen,

ich habe zwei kleinere Probleme:
Ich habe einen SBS 2003, einen Lancom 3550 und ein Netzwerk mit 3 VLANs aber nur EIN IP-Kreis.
Die VLAN-Trennung erfolgt bisher über HP-Switche und ist auch funktionstüchtig.

1. VLAN ist das Verwaltungsnetz
2. VLAN ist Haus 1
3. VLAN ist Haus 3

Nun zu meinen Problemen:

Ich habe gestern eine L2TP VPN am Lancom eingerichtet. Diese VPN hat das VLAN3 Tag erhalten. Wenn ich mich nun mit einem Client einwähle, dann klappt dies auch erst einmal sehr gut. Jedoch habe ich das Problem das ich über diese VPN nicht im VLAN3 bleibe sondern auch IP-Adressen in den anderen VLANs anpingen kann.

Meine Befürchtung ist, dass es den Lancom gar nicht interessiert das ich der VPN quasi das VLAN3 Tag mitgegeben habe, da das Zielnetz immer den kleinen IP-Nummernkreis hat. Sprich VLAN1 bis VLAN3 gehen alle von 192.168.115.0 bis 254.

Ziel war und ist es, dass sich der User welcher über dieses VPN-Profil einwählt auch nur auf Geräte im VLAN 3 zugreifen kann. Die VLANs 1 und 2 sollen hierbei unsichtbar bleiben.

Weiterse Problem besteht in der User-authentifizierung. Obwohl dem Profil eine User-authentifizierung hinterlegt wurde, wird am Client-PC danach nicht gefragt. Der Client kann sich mit der Authentifizierungs-ID und dem Schlüssel einwählen und das wars.

Vielleicht habt Ihr ja ein paar Ideen, sofern sich das in praxis überhaupt bewerkstelligen lässt.
Danke GaoShangLiuShui

Content-Key: 215772

Url: https://administrator.de/contentid/215772

Ausgedruckt am: 28.03.2024 um 08:03 Uhr

Mitglied: MrNetman
MrNetman 31.08.2013 um 11:18:43 Uhr
Goto Top
Der LANCOM ist ein L3 Gerät und wie willst du ohne saubere Trennung deiner IP Bereiche in ein entsprechendes VLAN routen.

Es gab mal dieFunktion eines asymstrischen VLANs. Das ist eine Eigenschaft von Switches, keine von Routern. Auch hilft das nicht, wenn es dann hinterher eines Fernzugangs bedarf.

Also: Drei IP-Bereiche und die VLAN-Tags den IP-Ranges zuordnen. Im Lancom eine DHCP-Helperfunktin konfigurieren und diese drei DHCP Bereich im SBS einrichten.
Dann kann man Zugriffslisten einrichten und das Routing zwischen den Netzen einzuschränken.
Dann ist es sauber und geht.

GRuß
Netman
Mitglied: tikayevent
tikayevent 31.08.2013 um 12:59:08 Uhr
Goto Top
Ich frage mich gerade, wie du bei einem LANCOM-Router ein L2TP-VPN eingerichtet hast. Die Router können nur PPTP (verschlüsselt seit LCOS 8.60, der 3550 kann aber maximal LCOS 7.82). Das einzige, was fast alle LANCOM-Router können ist IPSec.

Wenn du IPSec nutzt, dann bringen die die VLAN-Tags nichts, da IPSec nur IP kann und damit erst ab Layer3 greift. Um dein Problem zu beheben, müsstest du mit ARF oder der Firewall arbeiten.
Mitglied: aqui
aqui 31.08.2013 um 15:43:25 Uhr
Goto Top
Das IP Design der VLANs ist schon in sich krank und fehlerhaft. Dieselben IPs in den 3 VLANs zu verwenden schliesst eine Kopplung der VLANs generell von vorn herein aus !
Diese VLANs können nur als strikt getrennte Broadcast Domains betrieben werden und nur ein einziges VLAN darf mit dem Lancom verbunden werden. Die restlichen beiden müssen immer getrennt bleiben.
Eine Routerkopplung über einen L3 Switch oder externen Router / Firewall schliest die Adressgleichheit aus !
Der Kardinalsfehler liegt also in der identischen IP Adressvergabe der VLANs ! Das musst du zwingend ändern wenn du mit dem VPN Client alle Netze erreichen willst.
Das Tagging des VPNs spielt in der Tat keinerlei Rolle dabei.
Grundlagen dazu findest du hier:
http://www.schulnetz.info/vlan-einstieg-was-ist-ein-vlan/
und
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern