Site-to-Site Verbindung für eine VLAN Gruppe

Es gibt 9 Antworten in diesem Thema, welches 2.648 mal aufgerufen wurde. Der letzte Beitrag () ist von Knallex.

    Hallo,


    ich habe ein kleines Problem, bzw. eine Verständnisfrage:


    Auf der Dreammachine habe ich mehrere VLAN Gruppe und eine Site-to-Site Verbindung erstellt.


    mit der klassischen LAN (Kein VLAN) klappt die Verbindung zur Site-to-Site auch hervorragend.
    Jedoch nicht mit dem VLAN Netz. (Kein Ping etc.)

    Jetzt möchte ich gerne eine Regel haben, die dem LAN untersagt die Site-to-Site zu nutzen und eine Regel die dem VLAN erlaubt die Site-to-Site zu nutzen.
    Kurz gesagt die Site-to-Site soll nur von einer bestimmten Gruppe genutzt werden.


    Helft mir mal auf die Sprünge. Geht das?
    und wie muss ich das einstellen?
    Unter Firewall auf WAN out oder, oder....

    grrr.....ich hasse es, wenn es nicht gleich alles klappt :tired_face:

    Zitat von Knallex

    Geht das?

    Grundsätzlich ja, zumindest bei IPsec Site2Site VPN. Hier werden immer Netzwerke miteinander verbunden (z.B. Standort "A" mit 192.168.0.0/24 und Standort "B" 192.168.1.0/24), wobei es gehopst, wie gesprungen ist, ob diese Netze physisch existieren oder nur virtuell sind :smiling_face:

    • Offizieller Beitrag
    Zitat von Knallex

    Kannst du mir das noch die Einstellungen verraten, dass das Vlan zugriff hat. Aber nicht das lan? (Hauptnetz)

    Je nach dem müssen unter Remote Subnets bei IPSec

    oder bei OpenVPN

    die Netzwerke des jeweils anderen VPN-Partners eingetragen sein, welche über eben jene Verbindung erreicht werden können.

    Und der Haken bei Enabled muss natürlich gesetzt sein.


    Wenn Du auf Site A die Netze

    • 192.168.1.0/24
    • 192.168.11.0/24
    • 192.168.111.0/24

    hast und auf Site B die Netze

    • 192.168.2.0/24
    • 192.168.22.0/24
    • 192.168.222.0/24

    dann musste Du auf Site A alle Netz von Site B eintragen, die Du erreichen können möchtest und auf Site B die Netz von Site A, welche Du erreichen können willst.

    Ich kann es zwar aktuell nicht testen, meine aber, dass Du z.B. 192.168.22.0/24 auf Site A eintragen musst, wenn Hosts aus 192.168.22.0/24 auf ein Netz in Site A zugreifen sollen - wegen des "Rückwegs" der IP-Pakete. Bin mit aber nicht sicher.


    Schau' Dir auch gern folgndes an Knallex :

    Beitrag
    RE: Site-to-Site-VPN zwischen USG und USG‑PRO‑4 mit dyn. IP
    (Zitat von rodney76)

    • Name: up to you
    • Purpose: Site-to-Site VPN
    • VPN Type: OpenVPN
    • Enabled: true
    • Remote Subnets: alle Netze, die sich hinter dem jeweiligen Partner befinden und die erreicht werden soll. Netze, die hier nicht auftauchen, werden nicht hinter dem Remote-Gateway gesucht.
    • Route Distance: 30
    • Remote Host: DNS des Partners (auch dynDNS möglich!)
    • Remote Address und Local Address müssen jeweils gegenseitig konfiguriert werden. Bei uns sieht das so aus:
      • Me:
        • Remote Address: 10.66.123.10, Port: 1321
    razor

    Das hat (leider) nicht an Aktualität verloren.

    Oder auch das:

    Beitrag
    RE: Site-to-Site-VPN zwischen USG und USG‑PRO‑4 mit dyn. IP
    (Zitat von tomtim)

    Du musst die Netze, die Du erreichen willst, jeweils unter Remote Subnets eintragen und Deine Kids Deine / Dein VLAN und bei der anderen Verbindung die VLANs des jeweils anderen.

    Du hast dann praktisch bei allen Teilnehmner je 3 VPN-Verbindungen konfiguriert.
    Es darf natürlich gar keine Überschneidung mit den jeweiligen Remote-Netzen geben, so Du diese auch erreichen willst. Das trifft für jeden Teilnehmer zu.

    Schreib' doch mal die Netze auf, die an allen 3 Standorten existieren…
    razor

    Hallo Razor,
    danke erstmal.

    Glaube meine Frage war schlecht formuliert.


    Site-to-Site = Verbindung steht

    Site A hat :

    • LAN
    • VLAN 10
    • VLAN 20

    hat Zugriff auf Site B

    LAN JA

    VLAN 10 nicht

    VLAN 20 nicht


    Ich möchte jedoch:

    LAN NEIN

    VLAN 10 JA

    VLAN 20 NEIN


    Irgendwie klappt das nicht.

    Zitat von Knallex

    Irgendwie klappt das nicht.

    Sind denn die Netze auf beiden Seiten "über Kreuz" eingetragen und unterscheiden dies sich auch? Z.B. so:


    Seite A lokal:

    • LAN: 192.168.0.0
    • VLAN 10: 192.168.10.0
    • VLAN 20: 192.168.20.0

    Seite A entfernt:

    • LAN: 192.168.1.0
    • VLAN 10: 192.168.11.0
    • VLAN 20: 192.168.21.0

    Seite B lokal:

    • LAN: 192.168.1.0
    • VLAN 10: 192.168.11.0
    • VLAN 20: 192.168.21.0

    Seite B entfernt:

    • LAN: 192.168.0.0
    • VLAN 10: 192.168.10.0
    • VLAN 20: 192.168.20.0


    Wenn ja, kann man einfach den Zugriff durch weglassen oder hinzufügen von Netzen regeln, es sei denn, es sind noch irgendwo Filter/Regeln gesetzt, welche dies verhindern.

    Ah….

    Das könnte es sein. Guter Tip!

    Ich lasse auf Site B einmal das VLan 10 eintragen.

    Vlt. Ist es das schon.

    Hatte gedacht dass es schon reicht einfach wenn der tunnel vorhanden ist. Um zumindest ein Ping zu machen. (Vom vlan)

    Zitat von Knallex

    Ah….

    Das könnte es sein. Guter Tip!

    Ich lasse auf Site B einmal das VLan 10 eintragen.

    Vlt. Ist es das schon.

    Hatte gedacht dass es schon reicht einfach wenn der tunnel vorhanden ist. Um zumindest ein Ping zu machen. (Vom vlan)

    Nein, das reicht nicht. Deswegen hatte ich ja auf meine alten Posts verwiesen, welche nicht an Aktualität verloren haben was die Konfiguration der Zugriffe von einer Site auf die andere betrifft. :waving_hand:

    Zitat von Knallex

    Hatte gedacht dass es schon reicht einfach wenn der tunnel vorhanden ist. Um zumindest ein Ping zu machen. (Vom vlan)

    Was immer wieder von UI-verwöhnten Nutzern vergessen wird ist, dass ein Vlan sich -ich sag mal- IT-technisch nicht anders verhält, als ein "echtes" LAN. Beide sind auf ihren Broadcastbereich beschränkt (z.B. 192.168.10.1 bis 192.168.10.255 bei einem 255.255.255.0 er Netz), da geht kein Traffic (und auch kein Ping) raus oder rein, ohne dass man durch besondere Maßnahmen (Routing) dafür sorgt. Im Fall einer routerbasierten VPN-Verbindung übernimmt der Router das Routing dann bequemerweise von selbst, wenn man mehere Netze über VPN verbinden will - soweit der Router dazu überhaupt in der Lage ist (ich kenne welche, die können es nicht und ich kenne welche, die können da noch viel mehr).

    Da hast du wohl recht. Die UI ist echt schön.

    Montag teste ich mal die Funktion, wenn die Site B das VLAN auch eingetragen hat.

    Ich ging davon aus, dass das eigentlich keine Rolle spielt, da die beiden Sites eh eine Verbindung schon haben.

    und dann das VLAN automatisch über das LAN springt und auf Site B kommt.

    (Von Site B kommen keine Anfragen zu Site A…da sind nur ein paar Server)