Hallo,
wir haben ein Projekt bei einem Kunden, welcher zurzeit ein LANCom 1823+ als Router einsetzt und darüber auch seine VPN-Tunnel realisiert.
Nun soll eine Securepoint RC100 eingesetzt werden, der LANCom dient also nur noch als "besseres Modem" und um die VPN Verbindung bereitzustellen. Wenn nun ein Außendienstler den VPN Tunnel öffnet geht dieser auch auf, allerdings hat er keinen Zugriff auf interne (192.168.40.0) Netz, somit kann er auch kein Server usw erreichen.
Die VPNs bekommen eine IP aus dem 40er Bereich durch IKE-ConfigPush von LANCom zugewiesen.
IP_LANCom Router: 192.168.30.1
IP_RC100_Extern: 192.168.30.03
IP_RC100_Intern: 192.168.40.01
Wie kann ich das am Besten realisieren? Hat das schon mal jemand gemacht?
Grüße,
WB IT-Systeme
André
LANCom 1823+ und Securepoint - VPN vom LANCom weiter nutzen
Moderator: Securepoint
-
WB IT-Systeme
- Beiträge: 14
- Registriert: Mo 26.10.2009, 14:47
Zitat: Wie kann ich das am Besten realisieren?
indem der Lancom-Router entfernt wird und durch ein einfaches Modem (Speedport etc.) ersetzt wird.
Danach stellt die Securepoint VPN zur Verfügung.
Problem im Moment:
1. IP_RC100_Intern: 192.168.40.01
2. Die VPNs bekommen eine IP aus dem 40er Bereich durch IKE-ConfigPush von LANCom zugewiesen.
--> geht nicht, dass würde bedeuten, dass die Securepoint auf dem externen Interface Anfragen von "internen Adressen" (40er) bekommt.
--> den Lancom-VPN-Bereich auf "30er" bzw. irgendein anderes Netz als das 192.168.40.x einstellen.
indem der Lancom-Router entfernt wird und durch ein einfaches Modem (Speedport etc.) ersetzt wird.
Danach stellt die Securepoint VPN zur Verfügung.
Problem im Moment:
1. IP_RC100_Intern: 192.168.40.01
2. Die VPNs bekommen eine IP aus dem 40er Bereich durch IKE-ConfigPush von LANCom zugewiesen.
--> geht nicht, dass würde bedeuten, dass die Securepoint auf dem externen Interface Anfragen von "internen Adressen" (40er) bekommt.
--> den Lancom-VPN-Bereich auf "30er" bzw. irgendein anderes Netz als das 192.168.40.x einstellen.
Zuletzt geändert von achim am Mo 26.10.2009, 16:39, insgesamt 1-mal geändert.
-
WB IT-Systeme
- Beiträge: 14
- Registriert: Mo 26.10.2009, 14:47
Danke für die Antwort aber nicht wirklich zufriedenstellend :-)
Der Kunde möchte den LANCom behalten, weil er mehrere Außendienstler beschäftigt und es schwierig wird die VPN-Tunnel an den Clients neu einzurichten, wenn die Mitarbeiter nur selten ins Unternehmen kommen.
OK die VPNs sind nun umgestellt und bekommen nun die IP von LANCom über IKE-ConfigPush aus dem 30er Adressbereich. Also z.B. 192.168.30.241
Trotzdem kann ich nun über VPN nicht ins interne Netz zugreifen...
Ist das denn überhaupt so möglich?
Der Kunde möchte den LANCom behalten, weil er mehrere Außendienstler beschäftigt und es schwierig wird die VPN-Tunnel an den Clients neu einzurichten, wenn die Mitarbeiter nur selten ins Unternehmen kommen.
OK die VPNs sind nun umgestellt und bekommen nun die IP von LANCom über IKE-ConfigPush aus dem 30er Adressbereich. Also z.B. 192.168.30.241
Trotzdem kann ich nun über VPN nicht ins interne Netz zugreifen...
Ist das denn überhaupt so möglich?
Prinzipiell ist das möglich, ist aber unschön bzw. nur brauchbar für eine screened subnet/DMZ-Lösung...
>> Trotzdem kann ich nun über VPN nicht ins interne Netz zugreifen...
Wie ist denn das externe interface an der securepoint definiert (192.168.30.3 /24)?
Ist das Netz unter Netzwerkobjekte korrekt definiert (192.168.30.0 /24 - external)?
ist das externe Interface der Firewall unter Netzwerkobjekte korrekt definiert (192.168.30.3 /24 - firewall-external)?
Ist das Hide NAT für 192.168.30.0 -> 192.168.40.0 deaktiviert?
Welche Regeln existieren?
Wie sehen die Logs aus?
>> Trotzdem kann ich nun über VPN nicht ins interne Netz zugreifen...
Wie ist denn das externe interface an der securepoint definiert (192.168.30.3 /24)?
Ist das Netz unter Netzwerkobjekte korrekt definiert (192.168.30.0 /24 - external)?
ist das externe Interface der Firewall unter Netzwerkobjekte korrekt definiert (192.168.30.3 /24 - firewall-external)?
Ist das Hide NAT für 192.168.30.0 -> 192.168.40.0 deaktiviert?
Welche Regeln existieren?
Wie sehen die Logs aus?
-
WB IT-Systeme
- Beiträge: 14
- Registriert: Mo 26.10.2009, 14:47
Prinzipiell ist das möglich, ist aber unschön bzw. nur brauchbar für eine screened subnet/DMZ-Lösung...
Screened Subnet? Kenn ich nicht... Der Kunde möchte einfach nur seine VPNs weiter nutzen, mehr nicht.
Wie ist denn das externe interface an der securepoint definiert (192.168.30.3 /24)?externes Interace Securepoint: 192.168.30.03/24
Ist das Netz unter Netzwerkobjekte korrekt definiert (192.168.30.0 /24 - external)?Unter Netzwerkobjetke ist ein Objekt "externes Netzwerk" angelegt - IP: 192.168.30.0/24
ist das externe Interface der Firewall unter Netzwerkobjekte korrekt definiert (192.168.30.3 /24 - firewall-external)? Korrekt, genau so ist es definiert
Ist das Hide NAT für 192.168.30.0 -> 192.168.40.0 deaktiviert?
Solch ein Hide NAT hatten wir nie... Folgendes Hide NAT gibt es:
Typ: Include --> Quelle: Internal Network --> Schnittstelle: eth0 --> Ziel: Internet
Welche Regeln existieren?
1.) Internal Network --> Internet --> any --> Accept
2.) Internal Network --> Internal Interface --> proxy --> Accept
3.) externes Netzwerk --> Internal Network --> any --> Accept
Wie sehen die Logs aus?
Im Log steht nichts von Reject oder Drop drin...
Mache ich irgendwas komplett falsch?
Screened Subnet? Kenn ich nicht... Der Kunde möchte einfach nur seine VPNs weiter nutzen, mehr nicht.
Wie ist denn das externe interface an der securepoint definiert (192.168.30.3 /24)?externes Interace Securepoint: 192.168.30.03/24
Ist das Netz unter Netzwerkobjekte korrekt definiert (192.168.30.0 /24 - external)?Unter Netzwerkobjetke ist ein Objekt "externes Netzwerk" angelegt - IP: 192.168.30.0/24
ist das externe Interface der Firewall unter Netzwerkobjekte korrekt definiert (192.168.30.3 /24 - firewall-external)? Korrekt, genau so ist es definiert
Ist das Hide NAT für 192.168.30.0 -> 192.168.40.0 deaktiviert?
Solch ein Hide NAT hatten wir nie... Folgendes Hide NAT gibt es:
Typ: Include --> Quelle: Internal Network --> Schnittstelle: eth0 --> Ziel: Internet
Welche Regeln existieren?
1.) Internal Network --> Internet --> any --> Accept
2.) Internal Network --> Internal Interface --> proxy --> Accept
3.) externes Netzwerk --> Internal Network --> any --> Accept
Wie sehen die Logs aus?
Im Log steht nichts von Reject oder Drop drin...
Mache ich irgendwas komplett falsch?
>>Mache ich irgendwas komplett falsch?
ist in den Regeln denn das Logging aktiviert?
ist unter Netzwerk -> Appliance-Einstellungen unter logging mindestens "short" eingetragen?
Irgendetwas muss geloggt werden...
>>Ist das Hide NAT für 192.168.30.0 -> 192.168.40.0 deaktiviert?
>>Solch ein Hide NAT hatten wir nie... Folgendes Hide NAT gibt es:
>>Typ: Include --> Quelle: Internal Network --> Schnittstelle: eth0 --> Ziel: Internet
Unter Hide-Nat müsste etwas in der art eingetragen werden:
Quelle: Internal Network (192.168.40.0) --> eth0 --> Ziel: externes Netzwerk (192.168.30.0) "AUSNEHMEN" (grüner haken)
ist in den Regeln denn das Logging aktiviert?
ist unter Netzwerk -> Appliance-Einstellungen unter logging mindestens "short" eingetragen?
Irgendetwas muss geloggt werden...
>>Ist das Hide NAT für 192.168.30.0 -> 192.168.40.0 deaktiviert?
>>Solch ein Hide NAT hatten wir nie... Folgendes Hide NAT gibt es:
>>Typ: Include --> Quelle: Internal Network --> Schnittstelle: eth0 --> Ziel: Internet
Unter Hide-Nat müsste etwas in der art eingetragen werden:
Quelle: Internal Network (192.168.40.0) --> eth0 --> Ziel: externes Netzwerk (192.168.30.0) "AUSNEHMEN" (grüner haken)
-
WB IT-Systeme
- Beiträge: 14
- Registriert: Mo 26.10.2009, 14:47
Logging ist nun auf "Long" gestellt.
Unter Hide NAT habe ich nun folgendes eingetragen:
Typ: Include --> Quelle: Internal Network(192.168.40.0) --> Schnittstelle: eth0(192.168.30.3) --> Ziel: externes Netzwerk(192.168.30.0)
Wenn ich nun einen Ping an die 192.168.40.1(internes Interface) sende gibt es Zeitüberschreitung der Anforderung, das Log zeigt mir keine Anfragen von meiner IP an!
Kann das Problem am LANCom liegen? Muss ich irgendwas im LANCom umstellen?
Unter Hide NAT habe ich nun folgendes eingetragen:
Typ: Include --> Quelle: Internal Network(192.168.40.0) --> Schnittstelle: eth0(192.168.30.3) --> Ziel: externes Netzwerk(192.168.30.0)
Wenn ich nun einen Ping an die 192.168.40.1(internes Interface) sende gibt es Zeitüberschreitung der Anforderung, das Log zeigt mir keine Anfragen von meiner IP an!
Kann das Problem am LANCom liegen? Muss ich irgendwas im LANCom umstellen?
1. Fehler:
arbeite noch wenig mit dem Webinterface, aber wie gesagt, das NAT mus auf "Ausnehmen", also auf EXCLUDE gestellt werden.
2. Fehler:
Im Lancom-Router muss natürlich eine Route für das Netz: 192.168.40.0/24 existieren, damit dieser die Anfragen nicht ins Internet routet.
Route = 192.168.40.0 /24 über Gateway 192.168.30.3...
(wo genau das einzustellen ist, weiß ich nicht. führt zu meinem 1. post "Wie kann ich das am Besten realisieren?
"... "indem der Lancom-Router entfernt wird")
arbeite noch wenig mit dem Webinterface, aber wie gesagt, das NAT mus auf "Ausnehmen", also auf EXCLUDE gestellt werden.
2. Fehler:
Im Lancom-Router muss natürlich eine Route für das Netz: 192.168.40.0/24 existieren, damit dieser die Anfragen nicht ins Internet routet.
Route = 192.168.40.0 /24 über Gateway 192.168.30.3...
(wo genau das einzustellen ist, weiß ich nicht. führt zu meinem 1. post "Wie kann ich das am Besten realisieren?
"... "indem der Lancom-Router entfernt wird")
-
WB IT-Systeme
- Beiträge: 14
- Registriert: Mo 26.10.2009, 14:47
Hallo,
es klappt soweit ganz gut :-)
Ich bin nun direkt am LANCom angeschlossen, habe eine IP aus dem 192.168.30.0 Netz und kann ein Ping an das 192.168.40.0 Netz senden. Kann auch auf die Server zugreifen.
Jetzt habe ich noch ein kleines Problem... Das Outlook kann keine Verbindung mit Exchange aufbauen, vermutlich werden Ports blockiert. Welche Port muss ich für Exchange freischalten, damit Outlook wieder eine Verbindung aufbauen kann?
Und Remote Desktop funktioniert auch noch nicht :-(
Danke für die Hilfe...
es klappt soweit ganz gut :-)
Ich bin nun direkt am LANCom angeschlossen, habe eine IP aus dem 192.168.30.0 Netz und kann ein Ping an das 192.168.40.0 Netz senden. Kann auch auf die Server zugreifen.
Jetzt habe ich noch ein kleines Problem... Das Outlook kann keine Verbindung mit Exchange aufbauen, vermutlich werden Ports blockiert. Welche Port muss ich für Exchange freischalten, damit Outlook wieder eine Verbindung aufbauen kann?
Und Remote Desktop funktioniert auch noch nicht :-(
Danke für die Hilfe...
Zuletzt geändert von WB IT-Systeme am Di 27.10.2009, 09:58, insgesamt 1-mal geändert.
An dieser Stelle wieder:
Was sagen die Logs? wird irgendetwas geblockt?
- RDP ist 3389 TCP und müsste durchgehen.
- Outlook könnte etwas schwieriger werden. Stichwort: RPC over HTTP
Im Allgemeinen: Viel zu wenig Infos!
- Outlook Webaccess oder Client?
- Welche Regeln sind definiert
- Wird RDP an der Securepoint gedropt? -> Am besten Log starten, ping/RDP und Outlook-Zugriff starten -> Log der Securepoint posten
Ob der Lancom Router default etwas blockt, weiß ich nicht und bei der Lancom-Analyse kann ich nicht behilflich sein.
PS: ach ja, ich komme wieder zu meinem ersten post zurück (Transfernetz, Lancom)...
(OK, nur Spass)
Was sagen die Logs? wird irgendetwas geblockt?
- RDP ist 3389 TCP und müsste durchgehen.
- Outlook könnte etwas schwieriger werden. Stichwort: RPC over HTTP
Im Allgemeinen: Viel zu wenig Infos!
- Outlook Webaccess oder Client?
- Welche Regeln sind definiert
- Wird RDP an der Securepoint gedropt? -> Am besten Log starten, ping/RDP und Outlook-Zugriff starten -> Log der Securepoint posten
Ob der Lancom Router default etwas blockt, weiß ich nicht und bei der Lancom-Analyse kann ich nicht behilflich sein.
PS: ach ja, ich komme wieder zu meinem ersten post zurück (Transfernetz, Lancom)...
(OK, nur Spass)
Zuletzt geändert von achim am Di 27.10.2009, 11:35, insgesamt 1-mal geändert.
klappt jetzt eigentlich alles?