Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Mehrere IPSec Tunnel

Frage Netzwerke LAN, WAN, Wireless

Mitglied: Aba-it

Aba-it (Level 1) - Jetzt verbinden

18.10.2012, aktualisiert 19.10.2012, 5149 Aufrufe, 24 Kommentare

Hallo Leute

Der Titel ist etwas oberflächlich gehalten, aber ich versuche meine Frage im Folgenden zu erläutern.

Im Folgenden Bild sind drei Netzwerke zu sehen. Im LAN 01 liegen zwei Router über denen mit IPSec im Transportmodus zwei gesicherte Verbindungen aufgebaut werden (Site-to-Site). Eine zu LAN 02 und eine zu LAN 03.

0e8d0c461807c31d2d7bfd103541e5c2 - Klicke auf das Bild, um es zu vergrößern

Dabei handelt es sich bei LAN 03 um einen unserer Standorte und bei LAN 02 um einen Dienstleister der einen Router bereitstellt welcher bereits vorkonfiguriert ist. Das Problem dass ich dabei habe ist, ich kann im LAN 01 nicht beide IPSec Tunnel in einem Router terminieren da der vom Dienstleister zugesendete Router dafür zwingend verwendet werden muss. Aber ich möchte auch zu dem anderen Standort eine IPSec Verbindung haben.

Beim Router vom Dienstleister handelt es sich um ein LANCOM und beim zweiten (für unsere Standorte) einen D-Link dsr-1000n.
Der LANCOM kann nicht ausgewechselt werden, der D-Link hingegen schon. Vorschläge sind willkommen.

Meine Frage die sich stellt ist die, wenn sich beispielsweise der Router vom LAN 02 eine Verbindung (per VPN) zu LAN 01 aufbauen möchte, woher weiss der Router bei LAN 01 das diese angeforderte IPSec Verbindung für den anderen Router im Netzwerk bestimmt ist? Wenn ich die Portweiterleitung auf den umstelle, kann dann die Verbindung mit LAN 03 noch funktionieren?

Ich habe zwar den Artikel (IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen) von spacyfreak durchgelesen, aber diese Frage blieb offen. http://www.administrator.de/contentid/73117

Ich bin für jede Hilfe sehr dankbar!
Mitglied: psannz
19.10.2012, aktualisiert um 08:31 Uhr
Sers,

du kannst im DLink so routen dass Traffic für das Netz 10.3.10.0 an die IP 10.3.3.1 routet (der ja dann weiter nach 10.3.30.0 routet). Musst einfach nur ne Transportregel aufstellen, logischerweise geltend für beide Richtungen.

Das ganze kannst du über "Rules" und "Routing" auf dem DLink realisieren. Über den Teil Routing kannst du z.B. ganz klar definieren wie welche Netze zu erreichen sind.
Das Handbuch ist hier dein bester Freund.

Eventuell müssen, falls Zugriff des Dienstleisters auf eure anderen Standorte von euch gewünscht ist, auch noch die Router 10.3.10.1 und 10.3.3.1 angepasst werden.

Grüße,
Philip
Bitte warten ..
Mitglied: Lochkartenstanzer
19.10.2012 um 09:56 Uhr
Sofern die Tunnel aus Internetsicht alle auf derselben IP-Adresse landen, hast Du ein Problem, weil Du Ports nicht so einfach weiterleiten kannst, ohne den anderen Tunnel zu stören.

Sofern Du auf den LANCOm Zugriff hast, könntest Du natürlich beide Tunnel im LANcom enden lassen.

Andere Möglichkeit wäre, durch passende regeln auf einem Router im LAN 1 IPSEC-Pakete vom dienstleister, der hoffentlich eine feste IP-Adresse hat, direkt zum LANcom per source-based-routing zum LANCOM durchzurouten. Könnte z.B. durch iptables auf eienr linux-Kiste gemacht werden.

lks
Bitte warten ..
Mitglied: Aba-it
19.10.2012, aktualisiert um 20:36 Uhr
Hallo Leute

@ lks
Eine Möglichkeit die sich vielleicht anbietet wäre folgende: Beim D-Link DSR-1000N handelt es sich um einen Dual WAN Router. Da könnte ich die Polycis entsprechend einstellen dass die VPN Kanäle über verschiedene (öffentliche) IP-Adresse laufen. Wobei ich eigentlich mit dem Dual-WAN auf Redundanz bauen möchte.

Ein anderer Punkt der mir einfällt ist dass, LANCOM seit der Version 8 IPSec-over-HTTPS unterstützt. Ich weiss jetzt nicht ob es sich dabei um SSL VPN handelt, so dass nur Browser Anwendungen möglich sind. Denn in dem Fall wäre das keine Option für mich.

Würden die IPSec Verbindung zum LANCOM über HTTPS getunnelt werden, so hätte ja dieser für die Verbindungen einen festen TCP Port. Oder fungiert in diesem Fall der LANCOM von uns als normaler Client und initiiert selber die Verbindung - so dass in meinem Netzwerk nicht mal zwingend eine statische IP notwendig wäre (wie mobile Clients). Das soll nicht heissen dass ich keine statische IP habe.

Vielen Dank für deine Hilfe lks.

@Philip
Das Problem sind nicht die Routen für die Netze später, sondern für den IPSec Verbindungsaufbaut zwischen LAN 02 und LAN 01. Da im LAN 01 zwei verschiedene Router sind die IPSec Verbindungen terminieren. Über dieselbe öffentliche IP Adresse.

Danke für deine Hilfe.

Gruss
Bitte warten ..
Mitglied: Lochkartenstanzer
19.10.2012 um 20:38 Uhr
Moin,

Muß der LANcom direkt an der öffentlichen IP hängen? wenn nciht, könntest Du, wie oben schon vorgeschlagen einen anderen Router reinhängen (könnte sogar ein alix nach aquis Bauanleitung sein) der einfach die IPSEC-verbindungen policy-based an die beiden Router verteilt.

lks
Bitte warten ..
Mitglied: Aba-it
19.10.2012, aktualisiert um 20:58 Uhr
Zitat von Lochkartenstanzer:
Moin,

Muß der LANcom direkt an der öffentlichen IP hängen? wenn nciht, könntest Du, wie oben schon vorgeschlagen
einen anderen Router reinhängen (könnte sogar ein alix nach aquis Bauanleitung sein) der einfach die IPSEC-verbindungen
policy-based an die beiden Router verteilt.

lks

Hab das Bild nochmals bearbeitet und die Router mit der Hardwarebezeichnung gekennzeichnet. Der LANCOM hängt zurzeit an der öffentlichen IP. Dies soll sich aber ändern, da nun weitere VPN Verbindungen dazukommen sollen. Und in solch einem Fall. müssen ja die entsprechenden Weiterleitungen eingerichtet werden. Ich muss noch mit dem Dienstleister abklären, wie die IPSec Verbindung eingerichtet ist (UDP?!?, TCP?!?), damit ich die Weiterleitung entsprechend konfigurieren kann.

Da der D-Link ein Dual WAN Router ist, möchte ich diesen an die öffentliche IP Adresse(n), und von dem aus auch weitere IPSec Tunnel terminieren. Ob der DSR-1000n "source-based-routing" unterstützt bin ich mir nicht sicher.
Ich muss mir das Handbuch noch genau anschauen.

Gruss
Bitte warten ..
Mitglied: aqui
20.10.2012, aktualisiert um 17:24 Uhr
.. .Da im LAN 01 zwei verschiedene Router sind die IPSec Verbindungen terminieren...
Das funktioniert logischerweise nicht wenn die Router kaskadiert sind oder wenn der erste Router auch eine IPsec Verbindung Terminieren muss und zudem noch NAT ins interne Netz macht !
Man müsste dann mit Port Forwarding arbeiten was aber fehlschlägt wenn der Eingangsrouter schon IPsec macht.
Eine Kaskadierung kannst du also vergessen die ist technisch unmöglich.
Anders ist die Sache wenn die beiden Router mit unterschiedlichen öffentlichen IPs am Internet hängen also quasi parallel. Dann ist das machbar ebenso wie mit einem Dial Port WAN Router, denn der hat ja 2 IP Adressen mit denen er angesprochen werden kann.
Nur in so einem Design ist das möglich.
Andere Option ist mit OpenVPN zu arbeiten:
http://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ...
Da kannst du die Ports des SSL Links selber bestimmen und entsprechend forwarden.
Bitte warten ..
Mitglied: Lochkartenstanzer
20.10.2012 um 17:28 Uhr
Zitat von aqui:
Nur in so einem Design ist das möglich.

Oder durch entsprechendes Routing/NAT nach Source-IP (= tricksen z.B. mit iptables & Co.)

Ist aber etwas knifflig, das ganze Sauber zu implementieren.

lks
Bitte warten ..
Mitglied: Aba-it
20.10.2012 um 20:25 Uhr
Hallo

Zitat von aqui:
Andere Option ist mit OpenVPN zu arbeiten:
http://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ...
Da kannst du die Ports des SSL Links selber bestimmen und entsprechend forwarden.

Nach diesem Thread hier http://www.administrator.de/contentid/170621, werde ich wohl so oder so auf diesen D-Link DSR-1000N verzichten und diesen unverzüglich zurück senden. Ich werde mir deine Anleitungen bezüglich OpenVPN und PFsense anschauen und wohl darauf bauen.

Zum Verständnis hätte ich aber noch die Frage wie das mit dem IPsec-over-HTTPS ist. Würde der LANCOM im LAN 01 mit dieser Konfiguration laufen, wie wäre das in solch einem Fall? Würde der LANCOM im LAN 01 jedes Mal die Verbindung initiieren? So dass theoretisch nicht einmal eine statische IP (im LAN 01) vonnöten wäre?

Danke für deine Hilfe aqui.
Bitte warten ..
Mitglied: aqui
20.10.2012, aktualisiert um 21:31 Uhr
Du musst ja immer einen Tunnelendpunkt definieren für jeden Tunnel. Das ist eine Ziel IP Adresse...logisch. Das ist immer so egal welches Tunnelprotokoll du verwendest.
Das Problem ist dann wieder bei einer Router Kaskade das du für den Router hinter dem NAT Router Port Forwarding eingeben musst. Bei der HTTPS Encapsulierung ist das dann TCP 443. Das würde ggf. klappen. Nachteil ist dann in deinem Design das du mit unterschiedlichen Tunnelprotokollen fährst was deine gesamte VPN Vernetzung unnötig verkompliziert und schwerer macht zum Troubleshooten.
Zudem ist diese Encapsulation recht selten (vermutlich proprietär) mal abgesehen von dem erheblich größeren Protokoll Overhead und dem kleineren Anteil von Nutzdaten im Paket.
Ggf. wäre damit aber eine Lösung möglich. Ist die Frage ob du dir diese Frickelei antun willst ?!
D-Link ist nun aber nicht gerade bekannt für gute VPN Produkte also überlege dir das gut. Das ist Billighardware vom untersten Ende für die die beim Blödmarkt nix ausgeben wollen.
Ein verlässliches Firmennetz damit zu betreiben ist eigentlich außerhalb jeglicher Diskussion.
Bitte warten ..
Mitglied: Aba-it
20.10.2012 um 22:07 Uhr
Zitat von aqui:
Das würde ggf. klappen. Nachteil ist dann in deinem Design das du mit unterschiedlichen Tunnelprotokollen fährst was deine gesamte VPN Vernetzung unnötig verkompliziert und schwerer macht zum Troubleshooten.
Ich denke das wird jedoch nicht notwendig sein. Mir ist zwar nicht bekannt wie der LANCOM zurzeit die IPSec Verbindung durchführt, aber das würde sich erübrigen wenn ich beispielsweise - wie von die vorgeschlagen - OpenVPN einsetzten würde.

Zudem ist diese Encapsulation recht selten (vermutlich proprietär) mal abgesehen von dem erheblich größeren
Protokoll Overhead und dem kleineren Anteil von Nutzdaten im Paket.
Hab das bisher auch nur bei LANCOM gesehen. Daher denke ich auch dass das proprietär sein muss.

D-Link ist nun aber nicht gerade bekannt für gute VPN Produkte also überlege dir das gut. Das ist Billighardware vom
untersten Ende für die die beim Blödmarkt nix ausgeben wollen.
Ein verlässliches Firmennetz damit zu betreiben ist eigentlich außerhalb jeglicher Diskussion.
Werde mir auf jeden Fall die Hardwarelösungen anschauen welche PFsense untersützt/unterstützen. Gibt es bei PFSense auch eine Art Kapazitätslimit wie bei der m0n0wall (wenn ich mich nicht irre habe ich das mal bei deinen Anleitungen gelesen...).
Bitte warten ..
Mitglied: Aba-it
26.10.2012, aktualisiert 11.11.2012
Hallo

Ich konnte das nun in einem Testlauf mit pfSense realisieren. Hat auch wunderbar geklappt (mit dem VPN Passtrough). OpenVPN habe ich zwar noch nicht getestet, aber das werde ich noch.

Für den Zugriff vom Client mit der IP Adresse 10.3.3.100 (aus meinem Netzwerk) in das VPN Netz, war eine Route im pfSense notwendig. Soweit kein Problem. Aber dafür musste ich das Netz wie im folgenden Bild einrichten.

0d83e0b765a161688c29b1d37bda46ae - Klicke auf das Bild, um es zu vergrößern

Die Route sieht quasi so aus, dass sie über den Port der pfSense (welcher als DHCP Client konfiguriert ist) verlauft. Der LANCOM geht dann anschliessend über seinen WAN Port raus.

Ich habe damit kein Problem, funktionieren tut alles. Aber mache ich da vielleicht einen Denkfehler (dass ich den LANCOM zweimal anschliessen muss) und es würde auch anders funktionieren? Oder müsste ich dafür auf das LANCOM Gerät zugreifen (was mir nicht erlaubt ist)?
Bitte warten ..
Mitglied: aqui
27.10.2012 um 11:27 Uhr
Mmmhhh...die Frage ist was du genau machen willst. Vermutlich ein Denkfehler, denn so ein Szenario der doppelten Anbindung ist eigentlich Unsinn, es sei denn du willst sowohl mit OVPN aus der pfSense und dem IPsec VPN über den Lancom auf ein und dasselbe lokale LAN Segment zugreifen...?
Durch das ganze Hin und Her ist dein Ziel hier etwas unklar geworden....
Bitte warten ..
Mitglied: Aba-it
27.10.2012, aktualisiert 29.10.2012
Zitat von aqui:
Mmmhhh...die Frage ist was du genau machen willst. Vermutlich ein Denkfehler, denn so ein Szenario der doppelten Anbindung ist
eigentlich Unsinn, es sei denn du willst sowohl mit OVPN aus der pfSense und dem IPsec VPN über den Lancom auf ein und
dasselbe lokale LAN Segment zugreifen...?
Durch das ganze Hin und Her ist dein Ziel hier etwas unklar geworden....

Bisher ist es so.

01.
[INTERNET]--[MODEM]--[LANCOM]--[LOKALES NETZ]
Der springende Punkt ist, dass alles was über diesen LANCOM verlauft, zum Dienstleister gesendet wird (auch wenn es nicht relevant für die Dienstleistung ist). Und das ist nicht gewollt. Also soll nur der Netzwerkverkehr über den LANCOM verlaufen, wenn auf die Ressourcen des Dienstleister zugegriffen werden muss.

Dafür muss es so aussehen:
01.
[INTERNET]--[MODEM]--[pfSense]--[LOKALES NETZ] 
02.
03.
                      [LANCOM]
Es wird dann zwar mehrere lokale Netze geben (VLAN's) aber das ist jetzt mal unwichtig. Die würden dann auch alle am pfSense dran hängen. Es sollen keine Arbeitsstationen an das LANCOM angebracht werden.

Dazu kommt dass auf der pfSense später eine OpenVPN Verbindung terminiert werden soll. Das lokale Netz soll dann auf alle Netze Zugriff haben, sowohl auf das VPN vom Dienstleister (was auf dem LANCOM terminiert wird) als auch auf das was in der pfSense terminiert ist. Zwar werden nicht alle Netzte diese Verbindungen benötigen, aber das kann mit entsprechenden Firewall Regeln dann angepasst werden.

Ich muss ehrlich gestehen, dass ich beim LANCOM noch nicht überprüft habe ob es nur mit einer Verbindung funktioniert. Aber in einem virtuellen Versuch mit VMWare hat es nicht funktioniert. Eine weitere Verbindung war notwendig. Daher habe ich den Testlauf beim praktischen Versuch gleich mit zwei Verbindungen gestartet und die Routen auf der pfSense entsprechend angepasst.

Hier noch ein Bild, wie die Versuche im virtuellen Testlauf aussahen.

3d8b10d686acfcddee6a01cfa9cf4d31 - Klicke auf das Bild, um es zu vergrößern

Eigendlich die gleiche Konfiguration wie oben erwähnt.
Bitte warten ..
Mitglied: aqui
28.10.2012 um 12:29 Uhr
Das ist so nicht möglich, denn dann müsste der Lancom wenn er nur einbeinig angekorkt ist an die pFSense sämtlichen incoming und outgoing Traffic über eie Leitung machen.
Das dürfte nicht gehen, weil die IPsec Verbindung nur auf dem WAN Port terminiert werden kann.
Bitte warten ..
Mitglied: Aba-it
28.10.2012 um 12:39 Uhr
Zitat von aqui:
Das ist so nicht möglich, denn dann müsste der Lancom wenn er nur einbeinig angekorkt ist an die pFSense sämtlichen
incoming und outgoing Traffic über eie Leitung machen.
Das dürfte nicht gehen, weil die IPsec Verbindung nur auf dem WAN Port terminiert werden kann.

Also ist die zweite Verbindung notwendig? Auser der LANCON würde vom Dienstleister entsprechend konfiguriert werden...?!?
Bitte warten ..
Mitglied: aqui
28.10.2012, aktualisiert um 19:30 Uhr
Nein nicht unbedingt, du könntest das lokale Segment am Lancom mit deinem neuen lokalen LAN per Router verbinden.
Was unklar ist: Es geht doch darum das Clients oder Geräte im lokalen LAN des Lancoms andere im VPN erreichen können ?
Da du die Lancom Einstellungen nicht ändern kannst musst du doch mit diesen lokalen IPs leben. Du kannst doch jetzt so oder so das lokale LAN Segment am Lancom nicht einfach totlegen oder anderswo hinrouten deshalb ?! Dann funktioniert das VPN nicht mehr, denn das ist immer abhängig von der IP im lokalen LAN.
Irgendwie ist das unklar was du vorhast...sorry.
Bitte warten ..
Mitglied: Aba-it
28.10.2012, aktualisiert um 23:24 Uhr
Hallo aqui

Also ich versuche es mal so... Bisher sieht es so aus.

543abf69b24ef1589e39a356faedd93f - Klicke auf das Bild, um es zu vergrößern

Das Problem an dieser Konfiguration ist, dass jeglicher Verkehr zum Dienstleister gesendet wird (auch normaler Internetverkehr). Das möchte man nicht.

Mit dem neuen Router (pfSense), möchte man völlig unabhängig vom Lancom, eigene Netze erstellen. Natürlich dürfen diese dem Lancom Netz und dem Remote Netz vom Dienstleister nicht gleichen.

Der Lancom soll halt einfach als ein Tor zu den Resourcen vom Dienstleister dienen. Nicht mehr und nicht weniger. Auf dem lokalen Port vom Lancom, läuft ein DHCP Sever (192.168.1.0/24) und der WAN Port ist als DHCP Client konfiguriert.

In Zukunft sollen kein Arbeitsplätze oder ähnliches am lokalen Port vom Lancom hängen, sondern alles an der pfSense. Nur die pfSense alleine soll entscheiden was über den Lancom geht.

Irgendwie ist das unklar was du vorhast
Das Netz soll unabhängig von diesem Lancom sein, ich möchte selber über die Netzstruktur entscheiden.

Danke für deine Mühe aqui!
Bitte warten ..
Mitglied: aqui
29.10.2012 um 08:52 Uhr
OK, das macht die Sache klar.
Eine Lösung ist dann aber recht einfach:
Die Lancom Konfiguration musst du ja so belassen wie sie ist (vermutlich), denn die hat ja der Dienstleister konfiguriert und wird er ja vermutlich nicht anfassen.
Du musst also etwas tricksen und an der pfSense ein Segment nehmen wo du den WAN Anschluss des Lancom anbindest, was du ja schon gemacht hast.
Alle Endgeräte am Lancom LAN Segment nimmst du weg und setzt sie in ein neues lokales LAN mit anderer IP als die .1.0.
Damit können diese nun unabhängig vom Dienstleister ins Internet und auch eigene VPNs über die pfSense bedienen.
Um nun aber ins remote .2.0er Netz zu kommen musst du das Lancom LAN Interface irgendwie an dein neues lokales LAN ankorken.
Am einfachsten geht das mit einem kleinen NAT Router. Du könntest jeden Breitband Router aus dem Baumarkt nehmen besser ist aber etwas "zuverlässiges" wie ein Mikrotik 750 z.B. http://www.administrator.de/contentid/124700 (Varia Store usw.)
Damit verbindest du das LAN Interface des lancom mit dem neuen lokalen LAN deiner Endgeräte und trägst auf der pfSense eine statische Route ein, das sie alle Pakete mit Ziel .2.0er Netzwerk via Mikrotik routet, die dann via Lancom VPN auf die remote Seite gehen.
Alles andere geht dann direkt via pfSense unabhängig vom Lancom raus !
Bitte warten ..
Mitglied: Aba-it
29.10.2012 um 19:52 Uhr
Damit sähe die Konfiguration dan so aus,

a4af005c73211cdd09b125b39fefa26a - Klicke auf das Bild, um es zu vergrößern

Somit müsste ich den Lancom nicht zweimal an die pfSense anhängen.
Ich werde das morgen so mal Testweise umsetzen.

Und danach heisst es: "Frage gelöst".

Ein grosses Dankeschön.
Bitte warten ..
Mitglied: Aba-it
31.10.2012 um 20:40 Uhr
Hallo aqui

Das mit dem weiteren Router, würde so zwar funktionieren. Aber wie wäre es damit: Statt einen weiteren Router dazwischen zu setzen (in der Abbildung als "Home Router" gekennzeichnet), einfach die LAN Seite des Lancom's am Switch zu hängen. Dieser müsste VLAN fähig sein. Und der Port an dem das Lancom hängen würde, müsste ein eigenes VLAN sein.

Weil ich möchte nicht noch weitere Hardware dazu holen. Weniger aus Kostengründen, eher deshalb, dass noch weitere Hardware vorhanden wäre die aussteigen könnte.

Danke.
Bitte warten ..
Mitglied: aqui
03.11.2012 um 00:25 Uhr
Ja, das würde natürlich auch gehen aber der Switch müsste dann ein L3 Switch sein, der auch routen kann, denn du musst ja ein IP Routing zwischen dem neuen lokalen Netz und dem Lancom LAN machen.
Wenn das der Fall ist klappt diese Option natürlich auch, keine Frage. Der Mikrotik Router ist aber erheblich preiswerter....
Bitte warten ..
Mitglied: Aba-it
03.11.2012 um 12:36 Uhr
Muss es zwingend ein Switch mit internal Routing sein? Die Hosts hinter dem Switch können ja immer als default Gateway die pfSense nutzen und in der pfSense könnte ja dan anschliesend die Route eingetragen werden. Und für diese Route würde dan die pfSense halt als Gateway den Lancom (welcher am VLAN hängt) nutzen. Oder liege ich damit falsch?

L3 Switch die auch route können, sind halt sehr teuer.
Bitte warten ..
Mitglied: aqui
04.11.2012, aktualisiert um 15:49 Uhr
Ja das ginge auch, allerdings benötigst du für das lokale LAN am Lancom ja ein eigenes LAN, es sei denn du kannst die LAN IP Adresse am Lancom selber neu konfigurieren oder wenn nicht...lebst im neuen lokalen LAN mit der Lancom IP Adressierung, dann macht es natürlich Sinn die auch direkt in dein neues lokales LAN zu setzen...keine Frage.
Das ist dann in der Tat das einfachste, das du dein neues lokales LAN identisch in der IP Adressierung wie das Lancom Interface konfigurierst und den Lancomm dann mit ins neue lokale LAN hängst.
Alle Endgeräte bekommen dann die pfSense als Default Gateway und auf der pfSense trägst du eine statische Route ein das aller Traffic für das remote .2.0er Netz über die Lancom IP geroutet wird und fertig ist der Lack.
Sorry für die Verwirrung, aber ich dachte erst du wolltest dein neues lokales LAN in einem anderen IP Netz betreiben.
Das hätte dann den Klimmzug mit dem weiteren Interface zur Folge gehabt.
Wenn du also mit der Lancom IP leben kannst im neuen lokalen LAN ist das am einfachsten und schnellsten so umzusetzen...keine Frage !
Bitte warten ..
Mitglied: Aba-it
04.11.2012 um 16:13 Uhr
Alles klar. Nochmals ein rieses Dankeschön an dir aqui. Hiermit ist die Frage dann gelöst!
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Router & Routing
gelöst Routingproblem IPsec Tunnel (3)

Frage von tvprog1 zum Thema Router & Routing ...

Windows Server
Windows Firewall Einstellungen für OpenVPN Tunnel (4)

Frage von Aubanan zum Thema Windows Server ...

Netzwerkgrundlagen
IPsec - .conf und .secret erstellen aus Gruppe und User (16)

Frage von MaxMLe zum Thema Netzwerkgrundlagen ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...