hätte ich auch so verstanden wie zid,
aber wenn OP sich nicht meldet oder genauer ausdrückt wird es sowieso schwer...
Standorte über VPN verbinden
22 Beiträge
• Seite 2 von 2 • 1, 2
Re: Standorte über VPN verbinden
von Air20 » So 07 Aug, 2011 09:17
connected by
xDSL Business silber @16384/1024 flat
inode Etherlink flat @
und aon Gigaspeed 16 @12352/1024
http://www.youtube.com/watch?v=PtXtIivRRKQ
xDSL Business silber @16384/1024 flat
inode Etherlink flat @
und aon Gigaspeed 16 @12352/1024
http://www.youtube.com/watch?v=PtXtIivRRKQ
- Air20
- Board-User Level 3
- Beiträge: 1360
- Registriert: Fr 16 Apr, 2004 18:32
- Wohnort: 2540 Bad Vöslau
Re: Standorte über VPN verbinden
von lordpeng » So 07 Aug, 2011 12:46
wenn man halt wüsste, welche art von anwendungen da drüber laufen sollen, bzw. warum die ausgerechnet im selben subnetz laufen müssen, würd man sich vielleicht leichter tun
- lordpeng
- Moderator
- Beiträge: 10198
- Registriert: Mo 23 Jun, 2003 22:45
Re: Standorte über VPN verbinden
von shin » So 07 Aug, 2011 19:11
Schön dass wir wieder beim wirklichen Thema sind 
Zuerst einmal zur Begründung warum überhaupt der Umzug in ein Rechenzentrum:
wir erhalten aufgrund unseres tollen Standortes leider nur max 4Mbit SDSL trotz kompletter Belegung aller Telekom Adern.
Da wir aber immer mehr Mitarbeiter bekommen, die teilweise aus Deutschland und Österreichweit auf virtuellen Maschinen arbeiten, ist die Bandbreite einfach zu gering (vor allem Upload)... deshalb der Umzug in ein Rechenzentrum mit 10Mbit SDSL Anbindung.
Zid und Air haben mein Vorhaben richtig erkannt, dass mit dem Nat hätte ich mir so vorgestellt, aber bereits wieder verworfen, aufgrund Zids Erläuterung.
Über den Tunnel muss der gesamte Netzwerkverkehr der Büro Clients laufen, DNS auf jeden Fall, und wenn möglich DHCP auch (kann man aber auch anders lösen denke ich)
Das mit der Gate2Gate Konfiguration ist mir alles klar, auch dass das soweit relativ gut funktioniert... Meine Frage war aber eben ob man das ganze auch im selben Subnet irgendwie durchführen kann.
Ggf. muss man alle Büro Clients einfach statisch in ein anderes Subnetz legen und den Verkehr in das Server Subnetz über den Tunnel laufen lassen und den Rest halt ins WAN. Das sollte doch grundsätzlich funktionieren denke ich!
Zuerst einmal zur Begründung warum überhaupt der Umzug in ein Rechenzentrum:
wir erhalten aufgrund unseres tollen Standortes leider nur max 4Mbit SDSL trotz kompletter Belegung aller Telekom Adern.
Da wir aber immer mehr Mitarbeiter bekommen, die teilweise aus Deutschland und Österreichweit auf virtuellen Maschinen arbeiten, ist die Bandbreite einfach zu gering (vor allem Upload)... deshalb der Umzug in ein Rechenzentrum mit 10Mbit SDSL Anbindung.
Zid und Air haben mein Vorhaben richtig erkannt, dass mit dem Nat hätte ich mir so vorgestellt, aber bereits wieder verworfen, aufgrund Zids Erläuterung.
Über den Tunnel muss der gesamte Netzwerkverkehr der Büro Clients laufen, DNS auf jeden Fall, und wenn möglich DHCP auch (kann man aber auch anders lösen denke ich)
Das mit der Gate2Gate Konfiguration ist mir alles klar, auch dass das soweit relativ gut funktioniert... Meine Frage war aber eben ob man das ganze auch im selben Subnet irgendwie durchführen kann.
Ggf. muss man alle Büro Clients einfach statisch in ein anderes Subnetz legen und den Verkehr in das Server Subnetz über den Tunnel laufen lassen und den Rest halt ins WAN. Das sollte doch grundsätzlich funktionieren denke ich!
- shin
- Neu im Board
- Beiträge: 19
- Registriert: So 27 Feb, 2011 14:59
Re: Standorte über VPN verbinden
von Air20 » Mo 08 Aug, 2011 08:59
shin hat geschrieben:Ggf. muss man alle Büro Clients einfach statisch in ein anderes Subnetz legen und den Verkehr in das Server Subnetz über den Tunnel laufen lassen und den Rest halt ins WAN. Das sollte doch grundsätzlich funktionieren denke ich!
Ist vermutlich auch die besser Lösung, da du sonst sehr viel unnötigen Netzwerktraffic über das die ohnehin schwache 4Mbit Leitung jagst..
connected by
xDSL Business silber @16384/1024 flat
inode Etherlink flat @
und aon Gigaspeed 16 @12352/1024
http://www.youtube.com/watch?v=PtXtIivRRKQ
xDSL Business silber @16384/1024 flat
inode Etherlink flat @
und aon Gigaspeed 16 @12352/1024
http://www.youtube.com/watch?v=PtXtIivRRKQ
- Air20
- Board-User Level 3
- Beiträge: 1360
- Registriert: Fr 16 Apr, 2004 18:32
- Wohnort: 2540 Bad Vöslau
Re: Standorte über VPN verbinden
von zid » Mi 10 Aug, 2011 03:04
kleiner nachtrag:
hab jetzt das eoip over ipsec mal durchgespielt. ziel ist klar- die gleichen subnets an den beiden enden sollen zu einer broadcast domain zusammengefaßt werden. das genau geht eben nicht mit deinem NAT-ansatz, shin.
mein setup hat so ausgesehen:
und bestand aus 2 schritten:
- die 2 sites werden mit einem ipsec tunnel verbunden. no prob, weil die netze auf beiden seiten verschieden sind (10.0.0.0/24 <-> 10.0.2.0/24).
- danach legt man durch den ipsec tunnel einen eoip tunnel. eoip ist nix andres als gre gekapseltes ethernet, man errichtet damit eine etwas längliche bridge, wodurch die beiden enden in eine bcast domain kommen.
unterm strich also eine abgesicherte wan-bridge.
wenn man z.b. mit dem pc .171 den pc .146 anpingt, sieht man, daß die arp-requests (bcasts) vom .171er beim .146er ankommen und von diesem beantwortet werden. und das pingi-pongi klappt dann natürlich auch...
lg
zid
hab jetzt das eoip over ipsec mal durchgespielt. ziel ist klar- die gleichen subnets an den beiden enden sollen zu einer broadcast domain zusammengefaßt werden. das genau geht eben nicht mit deinem NAT-ansatz, shin.
mein setup hat so ausgesehen:
- Code: Alles auswählen
~~~~ INTERNET ~~~~
+---------------+ +---------------+
| | | |
| |-------- ipsec --------| |
| zyxel |--------- eoip --------| cisco |
| | | |
| p2812 |-----------------------| c1841 |
| |-----------------------| |
| | | |
+---------------+ +---------------+
| | | |
| | | |
e | e |
o | lan o | lan
i | 10.0.0.0/24 i | 10.0.2.0/24
p | p |
| | | |
| | | |
+---------------+ +---------------+
| | | |
| | | |
| mikrotik | | mikrotik |
| | | |
| rb450 | | rb450 |
| | | |
| | | |
+---------------+ +---------------+
| |
| |
| |
| |
+...........................................................+
. | | .
. lan lan .
. 192.168.88.0/24 192.168.88.0/24 .
. pc:192.168.88.146 pc:192.168.88.171 .
. .
+...........................................................+
one broadcast domain
und bestand aus 2 schritten:
- die 2 sites werden mit einem ipsec tunnel verbunden. no prob, weil die netze auf beiden seiten verschieden sind (10.0.0.0/24 <-> 10.0.2.0/24).
- danach legt man durch den ipsec tunnel einen eoip tunnel. eoip ist nix andres als gre gekapseltes ethernet, man errichtet damit eine etwas längliche bridge, wodurch die beiden enden in eine bcast domain kommen.
unterm strich also eine abgesicherte wan-bridge.
wenn man z.b. mit dem pc .171 den pc .146 anpingt, sieht man, daß die arp-requests (bcasts) vom .171er beim .146er ankommen und von diesem beantwortet werden. und das pingi-pongi klappt dann natürlich auch...
- ping_eoip_over_ipsec.jpg (36.37 KiB) 9043-mal betrachtet
lg
zid
- zid
- Board-User Level 3
- Beiträge: 1080
- Registriert: Fr 23 Jun, 2006 09:08
- Wohnort: wien
Re: Standorte über VPN verbinden
von jjknw » Mo 22 Aug, 2011 12:34
@shin:
Sorry für meinen späten Beitrag: Mit Zyxels ZyWALL-Geräten wäre deine Wunsch-Konstellation wohl machbar. Dort heißt es "Virtual Address Mapping (Rule)". Ich hab auf's Schnelle diese Links gefunden:
<http://help.zyxel.com/documents/webhelp/zwp1/403XJ0/en/h_VPN_RulesIKE_Network.html#wp1278145> und
<http://www.zyxel.com/support/knowledge_base/kb_detail_12048.shtml>
Ich hoffe, es hilft dir bei der Recherche mit den Cisco-Geräten weiter...
Sorry für meinen späten Beitrag: Mit Zyxels ZyWALL-Geräten wäre deine Wunsch-Konstellation wohl machbar. Dort heißt es "Virtual Address Mapping (Rule)". Ich hab auf's Schnelle diese Links gefunden:
<http://help.zyxel.com/documents/webhelp/zwp1/403XJ0/en/h_VPN_RulesIKE_Network.html#wp1278145> und
<http://www.zyxel.com/support/knowledge_base/kb_detail_12048.shtml>
Ich hoffe, es hilft dir bei der Recherche mit den Cisco-Geräten weiter...
UPC Fiber Power Family 128.800/12.880 (Connect Box)
- jjknw
- Senior Board-Mitglied
- Beiträge: 386
- Registriert: Do 15 Nov, 2007 15:57
- Wohnort: Wien
Re: Standorte über VPN verbinden
von zid » Mo 22 Aug, 2011 14:46
>"...Ich hoffe, es hilft dir bei der Recherche mit den Cisco-Geräten weiter..."
der rv042/082 ist eben kein cisco, sondern nur ein linksys. dort werkelt ein openrg von jungo (der gleiche kas wie beim pire, nur nicht ganz so buggy), und zwischen openrg und ios liegen in hinblick auf flexibilität doch ein paar universen. das address mapping der (esp) payload kannst beim rv042/082 vergessen...
es gibt tatsächlich hersteller, die es glatt schaffen, netfilter so zu verhunzen, daß es fast unbrauchbar wird. mit einem sauberen netfilter würde das mapping klappen.
lg
zid
der rv042/082 ist eben kein cisco, sondern nur ein linksys. dort werkelt ein openrg von jungo (der gleiche kas wie beim pire, nur nicht ganz so buggy), und zwischen openrg und ios liegen in hinblick auf flexibilität doch ein paar universen. das address mapping der (esp) payload kannst beim rv042/082 vergessen...
es gibt tatsächlich hersteller, die es glatt schaffen, netfilter so zu verhunzen, daß es fast unbrauchbar wird. mit einem sauberen netfilter würde das mapping klappen.
lg
zid
- zid
- Board-User Level 3
- Beiträge: 1080
- Registriert: Fr 23 Jun, 2006 09:08
- Wohnort: wien
22 Beiträge
• Seite 2 von 2 • 1, 2
Zurück zu TECHNIK, NETZWERK & HARDWARE
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 20 Gäste