Gleiche Remote-IPs bei IPSEC Lan2Lan-Verbindungen möglich?

Lan2Lan, VPN, SSL-VPN, Remote DialIn, statische Routen, Radius Setup

Moderatoren: TommyTC, alf, Petrus, andreastc, DSL-Hexe, nobody

Gleiche Remote-IPs bei IPSEC Lan2Lan-Verbindungen möglich?

Beitragvon ernschd » Do 16.07.2009 - 11:16

Hallo,

ich habe auf der Serverseite einen Vigor 2910, und bei den Clients jeweils einen Vigor 2700. Bis jetzt konnte ich den 2700ern immer eine unterschiedliche LAN-IP Adresse geben. Nun habe ich aber das Problem, dass ein Adressbereich doppelt auftauchen wird.
Ist es möglich (z.B. über die unterschiedlichen Peer-IDs), mehrere gleiche Remote-Adressen im 2910er zu verwenden?
Im Handbuch steht zu Remote Netzwerk-IP:
Bei IPSec wird hier die Ziel Client ID der Phase 2 (quick mode) angegeben.
Kann mir das jemand auf deutsch übersetzen? Kann das was zu der Lösung meines Problems beitragen?

Vielen Dank & Gruß,

ernschd
ernschd
User
 
Beiträge: 10
Registriert: Do 15.05.2008 - 13:50

Beitragvon nobody » Do 16.07.2009 - 22:48

Ich denke, das geht nicht.
ist auch schwer nachvollziehbar, wie das von der technik her möglich sein soll.

PC a schickt ein paket an b: 192.168.x.y
der router, der hat eine routing tabelle, die sagt:
schicke alles,was 192.168.x.y ist über VPN-Z
schicke alles, was 192.168.x.y ist übder VPN-X

Wenn Du nun VPN-X und VPN-Z hast, die beide die gleichen subnetze bedienen, dann kann das nicht gehen, denn, woher soll der router, der nur IP Adressen routet, wissen welches der beiden Netze das richtige ist ?
nobody
Hardcore-Poster
 
Beiträge: 1333
Registriert: So 19.09.2004 - 16:45

Beitragvon ernschd » Fr 17.07.2009 - 10:20

Ok, danke. Ich dachte halt, dass die Peer-ID damit was zu tun haben könnte.

Hab aber eine andere mögliche Idee zur Lösung meines Problems.
Die Clients haben zu 90% ihre bereits konfigurierten IP-Adressbereiche (z.B. 192.168.2.x, 192.168.178.x), an denen ich nichts ändern kann/darf.
Ich würde in den 2700ern fortlaufende LAN-IPs festlegen (192.168.24.254, 192.168.25.254, usw.), und die IP des Clients als 2. IP-Adresse eintragen (bei IP-Routing), also die 192.168.2.x, 192.168.178.x, usw..
Nun sollte ich ja eigentlich in jedem LAN-LAN Profil die fortlaufende IP-Adresse verwenden können, und die bisherigen Einstellungen der Clientseite bleiben davon unberührt, oder sehe ich das falsch?

Ich hoffe, ich habe mich verständlich ausgedrückt. :wink:
ernschd
User
 
Beiträge: 10
Registriert: Do 15.05.2008 - 13:50

Beitragvon nobody » Sa 18.07.2009 - 11:45

Soweit ich weiss ist die 2te Adresse nur für routing von öffentlichen adressen aus dem Internet gedacht.

ich zweifle etwas daran, dass dieser Plan funktioniert.
Dennoch, ein versuch wäre es wert.
nobody
Hardcore-Poster
 
Beiträge: 1333
Registriert: So 19.09.2004 - 16:45

Beitragvon ernschd » Mi 22.07.2009 - 10:02

Dann mal blöd gefragt: wie macht man sowas "richtig"?
Ich meine, es ist ja wohl meist der Fall, dass die entfernten internen IP-Netze mehrfach vorhanden sein können.
ernschd
User
 
Beiträge: 10
Registriert: Do 15.05.2008 - 13:50

Beitragvon nobody » Mi 22.07.2009 - 11:59

Du musst leider die Netze passend umstellen, ich denke, da gibt es keine passende lösung.
Denkt man an VPN, so vergibt man besser gleich beim erstmaligen setup der Router Adressen, die sich nicht in die Quere kommen.

geben tuts genug:
aus dem 192.168.x/24 netz: 255 Netze
aus dem 172.16.x/16 netz kann man ein 172.16.x./24 netz machen, dann hat man nochmals 254 netze. Gleiches gilt für das 10/8 netz.

und, wenn das nicht reicht kann man sogar öffentliche adressen nehmen, das fällt meist auch nicht auf.
nobody
Hardcore-Poster
 
Beiträge: 1333
Registriert: So 19.09.2004 - 16:45


Zurück zu Fernzugriff und Netzwerkkopplung

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste