Vigor 2820 VPN met 2 dezelfde ip ranges - Netwerken

donderdag 24 mei 2012 15:20

Acties:

Topicstarter

Toch maar even een nieuwe topic aangemaakt.

Ik heb een probleem met 2 dezelfde subnet masks. Echter kan ik hier niets aan veranderen. Maar toch wil ik een VPN tunnel opzetten tussen ons bedrijf en een ander bedrijf. Kan de Vigor 2820 ons uitgaande ip automatisch aanpassen op een voor hun compatible ip range?

Dus zoiets als dit, echter alleen op de Vigor 2820, niet met een extra kastje:

192.168.1.x -> 10.0.0.x -> IPSec VPN -> 10.0.0.x

vrijdag 25 mei 2012 10:52

Acties:

lier

MikroTik nerd

Voor zover ik weet moet je bij een VPN ervoor zorgen dat er geen overlap is in de netwerk segmenten. Daarnaast zal de VPN server de client (andere kant) een IP adres toekennen.

Echter begrijp ik de beschrijving niet helemaal, hoe komt het dat aan de linker kant van de "IPSec VPN" twee netwerksegmenten staan waarvan één potentieel overlap heeft met de rechter kant?

Eerst het probleem, dan de oplossing

vrijdag 25 mei 2012 11:50

Acties:

WhizzCat

www.lichtsignaal.nl

Oeh, dat hadden we hier ook

Geloof me, hier wordt je niet vrolijk van. De meest "simpele" oplossing is aan 1 van beide kanten achter de Vigor een NAT router te zetten zodat er geNAT wordt voordat je het VPN op gaat. Met Vyatta of een ander router os + losse PC zou zoiets te realiseren zijn, maar handig is anders.

Gezocht: netwerkbeheerder
Als je het niet aan een 6-jarige kan uitleggen, snap je er zelf ook niks van! - A. Einstein

vrijdag 25 mei 2012 20:01

Acties:

RoelVB

Je kan NAT aanzetten in een LAN to LAN configuratie, maar ik ben bang dat het niet werkt.
Een PC met het IP-adres 10.0.0.101/8 gaat namelijk niet via zijn default-gateway naar 10.0.0.108/24.

P.S. DrayTek heeft een supportnummer waar ze soms wel handige tips hebben.
0900-DRAYTEK (0900-3729835) kosten € 0,35 per minuut

vrijdag 25 mei 2012 20:04

Acties:

tc982

Behalve dat je het misschien wel gaat lukken met een numbered vpn, hoe ga je in godsnaam het verkeer over de vpn leiden? Je router kan toch niet zien dat iets voor de andere kant is? Je kan geen verkeer door de vpn tunnelen? Stel je hebt server1 met ip 10.0.0.1, en aan de andere kant een server2 met ip 10.0.0.200, hoe weet hij dat dit verkeer niet lokaal is?

Computers make very fast, very accurate mistakes.

vrijdag 25 mei 2012 23:12

Acties:

DJSmiley

tc982 schreef op vrijdag 25 mei 2012 @ 20:04:
Behalve dat je het misschien wel gaat lukken met een numbered vpn, hoe ga je in godsnaam het verkeer over de vpn leiden? Je router kan toch niet zien dat iets voor de andere kant is? Je kan geen verkeer door de vpn tunnelen? Stel je hebt server1 met ip 10.0.0.1, en aan de andere kant een server2 met ip 10.0.0.200, hoe weet hij dat dit verkeer niet lokaal is?

Enige optie is om te gaan subnetten indien mogelijk, dus bv 10.0.0.1/25 voor prive en 10.0.0.128/25 voor vpn. Maar dan kun je beter een compleet ander /24 pakken.

Les 1: Gebruik nooit 'consumer-ip ranges' in bedrijfsnetwerken (192.168.1.0/24 192.168.2.0/24 10.0.0.0/24 ). Uiteraard nog genoeg andere opties, maar je beperkt de kans op problemen enorm

vrijdag 25 mei 2012 23:19

Acties:

Craven

WhizzCat schreef op vrijdag 25 mei 2012 @ 11:50:
Oeh, dat hadden we hier ook

Geloof me, hier wordt je niet vrolijk van. De meest "simpele" oplossing is aan 1 van beide kanten achter de Vigor een NAT router te zetten zodat er geNAT wordt voordat je het VPN op gaat. Met Vyatta of een ander router os + losse PC zou zoiets te realiseren zijn, maar handig is anders.

Maar maar maar, dit lost het toch niet op? Je blijft hiermee zitten:

tc982 schreef op vrijdag 25 mei 2012 @ 20:04:
Behalve dat je het misschien wel gaat lukken met een numbered vpn, hoe ga je in godsnaam het verkeer over de vpn leiden? Je router kan toch niet zien dat iets voor de andere kant is? Je kan geen verkeer door de vpn tunnelen? Stel je hebt server1 met ip 10.0.0.1, en aan de andere kant een server2 met ip 10.0.0.200, hoe weet hij dat dit verkeer niet lokaal is?

zaterdag 26 mei 2012 07:29

Acties:

tc982

DJSmiley schreef op vrijdag 25 mei 2012 @ 23:12:
[...]

Enige optie is om te gaan subnetten indien mogelijk, dus bv 10.0.0.1/25 voor prive en 10.0.0.128/25 voor vpn. Maar dan kun je beter een compleet ander /24 pakken.

Les 1: Gebruik nooit 'consumer-ip ranges' in bedrijfsnetwerken (192.168.1.0/24 192.168.2.0/24 10.0.0.0/24 ). Uiteraard nog genoeg andere opties, maar je beperkt de kans op problemen enorm

Inderdaad, en als je kan gaan subnetten, tja, dan is het niet meer nodig hé

, dan kan je al even goed je IP rage veranderen.
Misschien dat een VPN ansich niet nodig is. Wat moet er aan de andere kant bereikt worden? Een server? Servers? of moet er een trust gemaakt worden. Met andere woorden, welk verkeer moet er over de VPN gaan?

Computers make very fast, very accurate mistakes.

zaterdag 26 mei 2012 07:33

Acties:

tc982

Wat je wel kan doen is het volgende :

- Op één van de sites waar je de resources wil bereiken, maak je je subnet mask iets groter : 255.255.254.0 en neem je de extra range mee in het netwerk. Wijzig dan de resources naar het nieuwe subnet. Lokaal merken ze daar niets van, en je kan nu routen. Wel routeren op jouw kant met /24 en niet /23

[ Voor 91% gewijzigd door tc982 op 26-05-2012 07:36 ]

Computers make very fast, very accurate mistakes.

zaterdag 26 mei 2012 11:11

Acties:

WhizzCat

www.lichtsignaal.nl

Craven schreef op vrijdag 25 mei 2012 @ 23:19:
[...]

Maar maar maar, dit lost het toch niet op? Je blijft hiermee zitten:

[...]

Nee hoor want je interne range kan je nu op iets anders zetten:

code:

1	10.0.0.1/24 <-> (X) NATting naar 192.168.10.254 <-> Interwebz/VPN <-> 10.0.0.1

Zo ongeveer, of aan beide kanten NATten natuurlijk maar dat maakt het heel complex en onbeheersbaar

Gezocht: netwerkbeheerder
Als je het niet aan een 6-jarige kan uitleggen, snap je er zelf ook niks van! - A. Einstein

zaterdag 26 mei 2012 11:50

Acties:

Craven

Excuse me if i'm wrong. Maar dan zit je nog steeds met hetzelfde probleem? PC links (10.0.0.50 bvb) moet iets routeren naar een PC rechts (10.0.0.100 bvb). Dan gaat de pc links niet routeren naar rechts omdat het voor hem een lokaal subnet is. Sterker nog, beide pc's zouden hetzelfde IP kunnen hebben.

zaterdag 26 mei 2012 12:05

Acties:

WhizzCat

www.lichtsignaal.nl

Nee, want de gebruiker rechts connect naar 192.168.0.x ipv 10.0.0.1, dan gaat het dus gewoon netjes werken

Gezocht: netwerkbeheerder
Als je het niet aan een 6-jarige kan uitleggen, snap je er zelf ook niks van! - A. Einstein

zaterdag 26 mei 2012 12:27

Acties:

Craven

Oh ja.. dohhh. Het was gister laat en vanochtend vroeg denk ik -_-.

Het werkt idd, maar is wel een erg ranzige oplossing.

zaterdag 26 mei 2012 12:36

Acties:

WhizzCat

www.lichtsignaal.nl

Psies, en het vereist een redelijk intieme kennis van NAT en ranzige oplossingen

Gezocht: netwerkbeheerder
Als je het niet aan een 6-jarige kan uitleggen, snap je er zelf ook niks van! - A. Einstein

dinsdag 29 mei 2012 12:38

Acties:

matthijs73

Topicstarter

De enige oplossing naar mijn inzien was ook een dubbele NAT, maar deze Vigor kan dat niet aan. Draytek gebeld, die hebben ook geen oplossing. Dus lijkt erop dat we of een andere router moeten aanschaffen die dit wel kan (maar welke kan dit?) of er toch een kastje tussen plakken en dan maar een ranzige oplossing.

dinsdag 29 mei 2012 13:45

Acties:

degroot

Sonicwall kan dat! laatst nog geimplementeerd bij een klant van ons. dit zat met hetzelfde probleem.
Kan heel simpel(makkelijker dan bijvoorbeeld hun lan omnummeren, sbs , etc etc)

https://www.fuzeqna.com/s...er/kbdetail.asp?kbid=7759

www.degroot-it.nl

Pagina: 1

Reageer