VPN IP Adresse an Zielkreis anpassen

Dieses Thema im Forum "Bintec" wurde erstellt von oli1982, 4. März 2010.

  1. oli1982

    oli1982 Starter

    Registriert seit:
    4. März 2010
    Beiträge:
    2
    Punkte für Erfolge:
    1
    Hallo Zusammen,

    da ich auf der Funkwerk FAQ Seite und hier im Forum nicht die für mich passende Antwort gefunden habe, mach ich einfach mal ein Thema dazu auf.

    Ich habe folgendes Szenario:
    Von irgendwo auf der Welt wähle ich mich über meinen Laptop per VPN Client auf meinen Bintec X1200 ein. Die Einwahl funktioniert und kann eine VPN Verbindung aufbauen. Drucken im eingewählten Netzwerk und Arbeit auf den dortigen Servern funktioniert.

    Nur habe ich ein Problem, von welchem ich nicht weiß, wie ich es lösen kann.
    Auf einem Server läuft die Lizenzvergabe IP- Adressen gesteuert. Wenn ich also mit der falschen IP Adresse ankomme, bekomme ich nicht meine gewünschte Lizenz zugeteilt.

    Ich würde dies daher gern folgendermaßen machen:
    Über die VPN Verbindung habe ich dem Laptop die IP Adresse 10.10.10.10 zugewiesen. Das Zielnetzwerk hat den Adressenkreis 10.47.114.0. Ich würde dem Router nun gerne beibringen, dass die Rechner im Zielnetzwerk "denken", der Traffic vom eigentlichen 10.10.10.10 Laptop kommt von einem Rechner mit der IP 10.47.114.55. Kann ich sowas realisieren? Funktioniert das über NAT Regeln? Wenn ja, wo muss ich das einstellen.

    Vielen Dank für eine Hilfe zu diesem Problem.
    Oliver
     
  2. mvmmgda

    mvmmgda Kenner

    Registriert seit:
    16. Februar 2010
    Beiträge:
    99
    Punkte für Erfolge:
    6
    Hallo oli1982,

    ja, es sollte über NAT funktionieren, ABER hier kommt es auf Gerät und Softwareversion an.
    Also:
    X1200 oder X1200 II?
    Softwareversion?
    Hintergrund: Um das Szenario verwirklichen zu können, wird das Konzept des "virtuellen Interfaces" benötigt um darauf NAT-ten zu können. Das Traffic Listen Konzept ist hierfür denkbar ungeeignet: kein Interface => kein NAT!
    bintec hat Virtual Interfaces mit Firmwareversion 7.x Rev. x eingeführt, das letzte verfügbare Image für X1200 (ohne II) ist aber 6.3 Rev. 4 Patch 24.

    Grüße

    MvmmgdA
     
  3. oli1982

    oli1982 Starter

    Registriert seit:
    4. März 2010
    Beiträge:
    2
    Punkte für Erfolge:
    1
    Hallo mvmmgda,
    Danke für die schnelle Antwort.

    Also erstmal zu dem Router.

    Bintec X1200 II
    V7.4 Rev. 1 (Patch 9)

    Es sind soweit alle Software Versionen verfügbar, bis auf ipseccb_ipxfer, frame_relay und leased_line.

    Das mit dem virtuellen Interface habe ich schon bei der VPN Konfiguration eingestellt, will ich meinen. Und dort habe ich auf "Yes" geklickert.

    Das war unter [IPSEC][PEERS][Edit]: Configure Peer
    Dann habe ich dort unter Interface "Ip Settings" bei "More Routing" folgrendes eingetragen:

    Route Type: Network Route
    Network: WAN without transit network (das feld kann ich nicht verändern)
    Destination IP Adress: 10.10.10.0
    Netmask: 255.255.255.0
    Partner / Interface: "Mein Profil" (das feld kann ich nicht verändern)
    Metric: 0

    Sollte ich an dieser Stelle das 10.10.10.0 durch meine gewünschte IP Adresse ersetzen?
    Ich könnte es ja einfach probieren, nur wenns nicht klappt und ich ausm netz fliege muss ich mich erst wieder ins auto setzen und zum Router hin fahren und das alles zurück stellen ;).

    Vielen Dank schonmal und bis später
    Oliver
     
  4. mvmmgda

    mvmmgda Kenner

    Registriert seit:
    16. Februar 2010
    Beiträge:
    99
    Punkte für Erfolge:
    6
    Hi oli1982,

    der nächste Schritt wäre jetzt die Überprüfung der "Local IP Address" in den Interface IP settings -> Basic IP settings.
    Hier (und nicht in der Destination IP Address) sollte jetzt die IP des Router bzw. die IP des Rechners bei aufgebautem IPSec Tunnel stehen.
    Für Deinen Fall so (oder so ähnlich):

    R4100 Setup Tool Funkwerk Enterprise Communications GmbH
    [IPSEC][PEERS][EDIT][IP][BASIC]: IP-Settings R4100
    _______________________________________________________________________________

    IP Transit Network no


    Local IP Address 10.47.114.55



    Default Route no

    Remote IP Address 10.10.10.10
    Remote Netmask 255.255.255.255


    SAVE CANCEL
    _______________________________________________________________________________
    Use <Space> to select

    Dann im Setup Tool auf IP-> NAT und NAT einschalten für das virtuelle Tunnelinterface.
    Auch daran denken eventuelle NAT-Freigaben einzurichten falls Dienste auf dem entfernten Rechner aus dem Netzwerk hinter dem Router erreicht werden sollen.

    Viel Erfolg wünscht

    MvmmgdA
     
  5. mvmmgda

    mvmmgda Kenner

    Registriert seit:
    16. Februar 2010
    Beiträge:
    99
    Punkte für Erfolge:
    6
    Hallo oli1982,

    es gibt aber noch eine 2. Lösung ohne NAT, die vielleicht auch eleganter ist.
    Du müsstest dem IPSec Client dieselbe Adresse zuweisen, die der Rechner sonst im LAN hat, also die 10.47.114.55, die Zielnetzmaske aber trotzdem auf 32 lassen. Zusätzlich müsste sowohl auf der LAN Schnittstelle und auf dem virtuellen IPSec Interface ProxyARP eingeschaltet werden.
    Effekt:
    Da Hostrouten vor Netzwerkrouten Vorrang haben (=>längerer Maskenanteil in der Netzwerkmaske) wird der Router bei stehendem IPSec Tunnel den Verkehr dafür immer über den IPSec Tunnel routen. Ausserdem wird er sich stellvertretend bei ARP Anfragen für den entfernten Rechner melden. Steht der Tunnel nicht, wird die Hostroute auch nicht propagiert und es läuft alles normal.

    Hmmm... :|

    MvmmgdA