5
Cisco Router Tunnel 2x gleiches Netz durch Fremdnetz verbinden
Guten Tag allerseits,
Ich habe 2x das gleiche Netzwerk welche durch ein fremdes Netzwerk verbunden werden sollen.
Meine Idee: Ich nehme 2 Cisco Router (weil die halt da sind) und baue einen Tunnel.
Ich habe alles wie in der Zeichnung eingerichtet, der Tunnel sagt auch, das er aufgebaut wurde aber irgendwie will es nicht gelingen.
Ich habe 2x das gleiche Netzwerk welche durch ein fremdes Netzwerk verbunden werden sollen.
Meine Idee: Ich nehme 2 Cisco Router (weil die halt da sind) und baue einen Tunnel.
Ich habe alles wie in der Zeichnung eingerichtet, der Tunnel sagt auch, das er aufgebaut wurde aber irgendwie will es nicht gelingen.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 374485
Url: https://administrator.de/contentid/374485
Printed on: April 18, 2024 at 21:04 o'clock
5 Comments
Latest comment
Zitat von @twiceface:
Guten Tag allerseits,
Ich habe 2x das gleiche Netzwerk welche durch ein fremdes Netzwerk verbunden werden sollen.
Guten Tag allerseits,
Ich habe 2x das gleiche Netzwerk welche durch ein fremdes Netzwerk verbunden werden sollen.
gleiches Netz => entweder L2TP oder ein Netz ummappen.
Meine Idee: Ich nehme 2 Cisco Router (weil die halt da sind) und baue einen Tunnel.
Richtige Idee, falsche Durchführung.
Ich habe alles wie in der Zeichnung eingerichtet, der Tunnel sagt auch, das er aufgebaut wurde aber irgendwie will es nicht gelingen.
Natürlich nicht, weil Du auf beiden Seiten das gleuche IP-Netz hast. Due Grubdregel bei IP ist, daß Netze dusjunkt sein müssen.
Du mußt daher entweder auf Layer 2 tunneln (L2TP) odefcdafür sorgen, daß die Netze disjunktcwerden. Das kann man entweder durch ändern des Netzes erreichen oder einen Router dazwischenschalten, der die Netze ummappt.
lks
Moin,
Gruß,
Dani
Das kann man entweder durch ändern des Netzes erreichen oder einen Router dazwischenschalten, der die Netze ummappt.
oder auf einer Seite ein 1:1 NAT einrichten. Damit kannst du das Problem schnell umgehen. Kann allerdings bei Einsatz von Firewalls und evtl. Troubleshooting die Suche erschweren.Gruß,
Dani
Grundlagen zum VPN Tunnel IP Design:
VPNs einrichten mit PPTP
Wenn du die IP Adresse an einem Ende nicht ändern kannst MUSST du zwangsweise mit 1:1 NAT arbeiten wie oben schon gesagt ! Das macht die Konfig erheblich aufwändiger.
der Rest steht hier:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
VPNs einrichten mit PPTP
Wenn du die IP Adresse an einem Ende nicht ändern kannst MUSST du zwangsweise mit 1:1 NAT arbeiten wie oben schon gesagt ! Das macht die Konfig erheblich aufwändiger.
der Rest steht hier:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Guten Tag,
ich habe nun das Netz noch einmal etwas überarbeitet und es sieht in etwa so aus wie im Bild beschrieben.
Die Pings gehen in beide Richtungen
Die Tunnel stehen
Die Clients können Sich am anderen Server anmelden
Was nicht geht sind die IP´s per DHCP
Wo muss ich die IP Helper Adresse angeben?
Egal was ich versuche... der Client kriegt keine IP aus dem anderen Netz?!
Beide Server sind DC, DHCP (ich möchte eine "Ausfallsicherheit" für die Clients
Grüße
Twiceface
ich habe nun das Netz noch einmal etwas überarbeitet und es sieht in etwa so aus wie im Bild beschrieben.
Die Pings gehen in beide Richtungen
Die Tunnel stehen
Die Clients können Sich am anderen Server anmelden
Was nicht geht sind die IP´s per DHCP
Wo muss ich die IP Helper Adresse angeben?
Egal was ich versuche... der Client kriegt keine IP aus dem anderen Netz?!
Beide Server sind DC, DHCP (ich möchte eine "Ausfallsicherheit" für die Clients
Grüße
Twiceface
Es sieht so aus oder nur "in etwa" ?? Letzteres gibt es in der IT eigentlich nicht.
Die Konfig ist in soweit richtig aber dir ist hoffentlich klar das du da nur eine sehr einfache GRE Tunnelung machst die NICHT verschlüsselt ist !!
Sowas ungeschützt übers Internet zu schicken ist mehr als fahrlässig, denn da kann die ganze Welt mitlesen.
Du solltest dir drimngenst Gedanken darüber machen das mit IPsec zu verschlüsseln sofern datensicherheit und Schutz für dich ein Thema ist.
Wie so eine Tunnel Konfig mit IPsec Verschlüsselung aussieht kannst du hier nachlesen:
Cisco SVTI - Tunnel
DHCP Requests nutzen UDP Broadcasts die prinzipienbedingt NICHT über geroutete Ports weitergeleitet werden. Solche Basics sollte man aber als Netzwerker kennen ?!
Dort muss stehen: ip-helper address <ip_adresse_dhcp_server>
Auf dem LAN Segment wo der DHCP selber dran ist muss es NICHT konfiguriert werden.
Die Konfig ist in soweit richtig aber dir ist hoffentlich klar das du da nur eine sehr einfache GRE Tunnelung machst die NICHT verschlüsselt ist !!
Sowas ungeschützt übers Internet zu schicken ist mehr als fahrlässig, denn da kann die ganze Welt mitlesen.
Du solltest dir drimngenst Gedanken darüber machen das mit IPsec zu verschlüsseln sofern datensicherheit und Schutz für dich ein Thema ist.
Wie so eine Tunnel Konfig mit IPsec Verschlüsselung aussieht kannst du hier nachlesen:
Cisco SVTI - Tunnel
Was nicht geht sind die IP´s per DHCP
Das ist auch ganz klar, weill du vergessen hast die ip-helper address auf dem lokalen LAN Interface zu konfigurieren sofern du einen zentralen DHCP Server benutzt.DHCP Requests nutzen UDP Broadcasts die prinzipienbedingt NICHT über geroutete Ports weitergeleitet werden. Solche Basics sollte man aber als Netzwerker kennen ?!
Dort muss stehen: ip-helper address <ip_adresse_dhcp_server>
Auf dem LAN Segment wo der DHCP selber dran ist muss es NICHT konfiguriert werden.
