Adressbereichüberschneidungen bei VPN

Es gibt 4 Antworten in diesem Thema, welches 968 mal aufgerufen wurde. Der letzte Beitrag () ist von razor.

    Ich stelle meine beiden flachen Netzwerke auf VLANs um (nur ein VLAN Media für Satelliten Receiver, TVs, Audioverstärker, Chromecast Sticks und ähnliches) und VLAN IoT für ebensolche Geräte.


    Zwecks Management aus der Ferne benutze ich ein L2TP VPN zwischen meinen beiden Sites und deshalb musste ich sicherstellen, dass beide verschiedene IP Bereiche benutzen (192.168.0.0/24 und 192.168.1.0/24 in meinem Fall).


    Muss ich jetzt aufpassen, dass auch die VLAN Addressbereiche verschieden sind? Media (VLAN 60) ist jetzt z.B. 192.168.60.x in beiden Netzen, aber das wird wohl problematisch, denn dann weiss der Router ja nicht welches Netzwerk ich mit der Adresse 192.168.60.15 meine, oder?


    Ich benutze für die Geräte feste IP Adressen mit lokalen DNS Records, z.B. befindet sich ein Satellitenreceiver in beiden Netzwerken jetzt mit der Adresse 192.168.60.19 (vorher war es 192.168.0.19 und 192.168.1.19), aber kann über sat1.net.1 und sat1.net2 die Zweideutigkeit umgangen werden?

    ╭───────────┬────────────────────────────────╮

    ·Network·1··DSL•Cable•LTE·─►·UXG•CK2•UNVR+·

    ├───────────┼────────────────────────────────┤

    ·Network·2··Fibre·────────────────►·UDM·SE·

    ╰───────────┴────────────────────────────────╯

    Hallo Carbonide ,


    wie auch schon oft an anderen Stellen darauf hingewisen darf es keine Überschneidungen mit den Adressräumen geben, wenn Du auf diese auch von außen (via VPN) zugreifen möchtest.

    Bei VLANs, auf die nur lokal zugegriffen werden braucht, könntest Du gleich Adressräume verwenden. Wenn ein Zugriff von außen erfoderlich ist, dann nicht.

    Falls es Überschneidungen geben sollte könntest Du einen sog. Jump-Host am Zielstandort dafür verwenden, um dennoch Zugriff auf das doppelte VLAN zu erhalten. Der Client an Standort 1 darf dann aber nicht wissen, dass es z.B. 192.168.156.0/24 auch an Standort 2 gibt - auch der Router / das Gateway nicht.


    Es gibt ja noch das "private" Netz 10.0.0.0/8. Da sollte auf jeden Fall genug Platz für Deinen Plan sein. :grinning_squinting_face:

    Zitat von Carbonide

    Muss ich jetzt aufpassen, dass auch die VLAN Addressbereiche verschieden sind? Media (VLAN 60) ist jetzt z.B. 192.168.60.x in beiden Netzen, aber das wird wohl problematisch, denn dann weiss der Router ja nicht welches Netzwerk ich mit der Adresse 192.168.60.15 meine, oder?

    Genau so ist es.

    Zitat von Carbonide

    Ich benutze für die Geräte feste IP Adressen mit lokalen DNS Records, z.B. befindet sich ein Satellitenreceiver in beiden Netzwerken jetzt mit der Adresse 192.168.60.19 (vorher war es 192.168.0.19 und 192.168.1.19), aber kann über sat1.net1 und sat1.net2 die Zweideutigkeit umgangen werden?

    Nein, das geht nicht, denn der DNS-Eintrag für sat1.net1 --> 192.168.60.19 unterscheidet sich nicht von sat1.net2 --> 192.168.60.19.

    Damit ist / wäre die IP-Adresse 192.168.60.19 an beiden Standorten unter sat1.net1 und sat1.net2 erreichbar, aber nie das das jeweils andere Gerät.

    Vielen Dank für die Erklärung, razor. Was ich noch vermisst habe zu fragen: die Art des VPNs ist wohl unerheblich, d.h. das gleiche Problem hat man mit OpenVPN, WireGuard o.ä. die ich irgendwann mal ausprobieren werde, da sie ja jetzt auch zur Verfügung stehen?


    Ich werde in einem Netzwerk einfach eine 1 vor die VLAN Nummer setzen, also z.B. 192.168.160.0/24, Addressbereiche gibt es in C Netzen ebenfalls genug 😄

    ╭───────────┬────────────────────────────────╮

    ·Network·1··DSL•Cable•LTE·─►·UXG•CK2•UNVR+·

    ├───────────┼────────────────────────────────┤

    ·Network·2··Fibre·────────────────►·UDM·SE·

    ╰───────────┴────────────────────────────────╯

    Wenn deine Kinder alle Max heißen, ist es egal aus welchen Fenster du schreist :grinning_face_with_smiling_eyes:


    Grundsätzlich gänge das trotzdem, per NATen für diesen speziellen Fall, aber das kann so weit ich das überblicke Unifi gar nicht.


    Edit: Ah quatsch, man Routet explizit herum. Was dann betroffene lokale Geräte in dem Fall unerreichbar macht.

    Zitat von Carbonide

    Vielen Dank für die Erklärung, razor. Was ich noch vermisst habe zu fragen: die Art des VPNs ist wohl unerheblich, d.h. das gleiche Problem hat man mit OpenVPN, WireGuard o.ä. die ich irgendwann mal ausprobieren werde, da sie ja jetzt auch zur Verfügung stehen?

    Ja, denn das Problem wird ja durch das gewollte Routing verursacht. Die VLAN-IDs sind dabei unerheblich - das nur am Rande. :winking_face:

    Zitat von LachCraft

    Wenn deine Kinder alle Max heißen, ist es egal aus welchen Fenster du schreist :grinning_face_with_smiling_eyes:

    :grinning_squinting_face: :grinning_squinting_face: :grinning_squinting_face: