Koppelen twee subnets met 1 router

woensdag 15 februari 2017 16:27

Acties:

0 Henk 'm!

Topicstarter

Mijn vraag

Beste Tweakers, ik heb een vraag betreffende het configureren van een router om 2 subnets te laten communiceren in een specifieke manier. Ik weet niet zo goed hoe ik de oplossing moet realiseren en heb jullie hulp hiervoor nodig.

Mijn voorbeeld netwerk:

Computer interne kant van router:
 IP: 192.168.1.4 
Subnet: 255.255.255.0
 Gateway: 192.168.1.3

Computer externe kant van router:
 IP: 10.25.98.85 
Subnet: 255.255.255.240 
Gateway: 10.25.98.82

Tussen in staat een router met de volgende adressen:
Intern:
IP: 192.168.1.3
Subnet: 255.255.255.0

Extern
IP: 10.25.98.82
Subnet: 255.255.255.240

A fijn, simpel netwerk echter zit er nog veel meer verbonden maar voor dit probleem niet direct relevant. Op de externe computer heb ik een applicatie draaien en deze moet de computer aan de interen kant van de router kunnen benaderen. Laten voor het gemak zeggen een VNC remote desktop applicatie. Op de externe computer moet ik 192.168.1.4 in kunnen typen en vervolgens het scherm kunnen overnemen van de computer aan de interne kant van mijn router. Mijn vraag hoe realiseer ik dit het gemakkelijkst?

In werkelijkheid is het geen VNC maar een industriële applicatie, deze applicatie heeft zijn beperkingen en daarom kan ik geen DMZ gebruiken of eenvoudig port forwarding.

Wat ik al gevonden of geprobeerd heb:

Ik heb de firewall regels allemaal op allow gezet om te voorkomen dat dit in de weg kan zitten.

Ik ben bezig geweest met NAPT maar hierbij kan ik niet realiseren wat ik wil.
Enkele van mijn toepassingen krijg ik wel werkend maar mijn hoofdtoepassing is afhankelijk van het IP adress wat op de interne zijde van de router wordt gebruikt. Met NAPT heb ik rules gemaakt die 10.25.98.82 koppelen aan 192.168.1.4 en dit werkt voor VNC applicaties. Echter als ik de hoofdapplicatie wil gebruiken dien ik ten alle tijden gebruik te maken van 192.168.1.4 vanaf de externe PC.

Ik heb ook nog source NAT en NETMAP tot mijn beschikking. Echter weet ik niet zeker of dat deze mijn probleem kunnen oplossen omdat ik de werking mogelijk niet exact begrijp. Kan iemand mij in de juiste richting duwer hoe ik dit voor elkaar krijg? Of misschien is de vraag is het uberhaubt mogelijk wat ik wil?

Mijn gevoel zegt NETMAP al begrijp ik niet exact hoe ik de translated source IP subnet moet gebruiken.

Configuratie NETMAP rule1:
Type: srouce
Source interface vlan1 (Intern)
Destination Interface: vlan2 (extern)
Source IP subnet 192.168.1.0/24
Translated source IP subnet: ??.??.??.??/??
Destination IP subnet 10.25.98.0/28

Configuratie NETMAP rule2:
Type: Destination
Source interface vlan2 (Extern)
Destination Interface: vlan1 (Intern)
Source IP subnet 10.25.98.0/28
Translated source IP subnet: 192.168.1.0/24
Destination IP subnet ??.??.??.??/??

[ Voor 11% gewijzigd door eatualive op 15-02-2017 16:43 ]

donderdag 16 februari 2017 08:39

DiedX

Heb je wel een static route geplaatst naar je 192.168.1 netwerk ?

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

woensdag 15 februari 2017 18:53

Acties:

0 Henk 'm!

winux

Welke merk/type router gebruik je?

woensdag 15 februari 2017 22:22

Acties:

0 Henk 'm!

eatualive

Topicstarter

Nou het is industriële switch. Scalance s615 dus het is niet echt bekend waarschijnlijk bij de meeste tweakers.

woensdag 15 februari 2017 23:14

Acties:

0 Henk 'm!

DJSmiley

Het gaat hier dus om 2 interne subnetten. Waarom zou je dat willen NATten? Dat kun je ook gewoon routeren volgens mij.

Kun je een schetsje maken? De situatie is voor mij nu niet helemaal duidelijk. Gevoelsmatig zeg ik dat je geen NAT nodig hebt namelijk.

donderdag 16 februari 2017 00:52

Acties:

0 Henk 'm!

NielsNL

DigiCow

Waarom kan portforwarding niet? Als dat niet mogelijk is, wordt het DMZ..
Anders weet de router niet wie er naar de inkomende poort luistert.

[ Voor 32% gewijzigd door NielsNL op 16-02-2017 00:58 ]

M'n Oma is een site aan het haken.

donderdag 16 februari 2017 01:20

Acties:

0 Henk 'm!

Will_M

Intentionally Left Blank

Is een site-2-site VPN niet gemakkelijker, gezien de addressen?

Boldly going forward, 'cause we can't find reverse

donderdag 16 februari 2017 08:29

Acties:

0 Henk 'm!

eatualive

Topicstarter

Ten eerste hierbij een overzicht van de network configuratie:
Afbeeldingslocatie: http://i68.tinypic.com/6jjdcm.jpg

De stippel lijn met het de computer is zoals ik het heb voorgesteld in mijn post. Maar heb even voor de duidelijkheid het hele netwerk getekend. Let op ik teken computers op het industriele netwerk echter dit zijn industriële devices. Enkele reden waarom de configuratie er zo uit ziet:

1. In eerste instantie hadden we een eigen VPN, dit werkt echter de klant eiste dat we via hun VPN verbinding zouden maken. Vandaar dat site-2-site VPN niet mogelijk is. @wimmel_1 dit was ons orginele plan maar wordt niet geaccepteerd bij de klant.
2. De ip-range die wij hebben ontvangen van de klant is te beperkt want er hangen een hele hoop devices in het industriele netwerk.
3. Al zou de klant een ip-range bieden die voldoen zitten we het probleem dat het nog wel een fout wil gaan dat de configuratie van de klant het industriele netwerk beinvloud op negatieve wijze. Het is industrieel en we kunnen geen risico nemen dat een IT beheerder een foutje maakt. Vandaar dat er een scheiding tussen moet zitten.

@NielsNL Het probleem zit hem in de industriele applicatie die wij nodig hebben om aanpassingen te verrichten op afstand. In de applicatie moet ik het echte IP-adress invullen van het netwerk device op het industriële netwerk. Als ik DMZ zou gebruiken dan dien ik het IP adres van de router 10.25.98.82 in te vullen in mijn applicatie. Hiermee werkt een gedeelte van de functionaliteit van mijn applicatie maar niet alles. Het is lastig uit te leggen wat er niet aan werkt aangezien je dan dient te begrijpen hoe de industriële applicatie werkt, dat is weer een andere tak van sport

. In dien ten alle tijde het ip adres 192.168.1.4 in mijn industriële applicatie te hebben staan zodat alles functioneert binnen de applicatie.

Ik hoop dat het plaatje duidelijk is @DJSmiley, zo niet hoor ik het graag.

[ Voor 3% gewijzigd door eatualive op 16-02-2017 08:35 ]

donderdag 16 februari 2017 08:39

Acties:

Beste antwoord ✓
0 Henk 'm!

DiedX

Heb je wel een static route geplaatst naar je 192.168.1 netwerk ?

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

donderdag 16 februari 2017 08:40

Acties:

0 Henk 'm!

DutchKel

Als ik het zo lees heb je 2 keuzes nu:
-Uitleggen welke verbindingen de applicatie nodig heeft (poorten/protocollen etc.)
-Uitleggen wat de applicatie is

Je legt allerlei limitaties op, maar je zegt niet wat je precies nodig hebt (ja iets voor een industriele applicatie, niet welke applicatie, wie die heeft ontwikkeld, want als je dat zelf ontwikkelt dan kun je zelf ervoor zorgen dat de verbinding via 1 of 2 poorten loopt).

Met het bovenstaande kan ik in elk geval niet veel.

Don't drive faster than your guardian angel can fly.

donderdag 16 februari 2017 08:42

Acties:

0 Henk 'm!

Paul

Die eerste router die je tekent, tussen het Industrial Network en Network 2, doet die aan NAT of firewalling? Want zoals je het nu tekent (mits die router daadwerkelijk een route gedefinieerd heeft staan tussen de twee netwerken) kunnen ze al bij elkaar?

Network 2 kan nu niet bij de VPN maar ik weet niet of dat nodig is

Tenzij dat de router (of L3 switch) is die je nog aan moet schaffen, maar dan kloppen de default gateways in de netwerken niet

[ Voor 16% gewijzigd door Paul op 16-02-2017 08:43 ]

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

donderdag 16 februari 2017 11:16

Acties:

0 Henk 'm!

eatualive

Topicstarter

@kfaessen Ok ik zal de informatie geven echter weet ik dat je er niks mee kunt. :
Netwerk device op interne netwerk:
http://www.industry.sieme...00/cpu/pages/default.aspx

Applicatie die ik draai op mijn laptop vanaf het externe netwerk:
http://w3.siemens.com/mcm...sional/Pages/Default.aspx

Het is programmeer software om een PLC te programmeren.

Ja het zijn limitaties, ik kan alleen aangeven dat ze er zijn en je zult moeten aannemen dat de applicatie op die manier werkt. Anders moet ik je een cursus PLC programmeren leren in step 7 voordat je zult begrijpen dat deze limitaties er inderdaad zijn. Daarom meld ik deze informatie niet omdat het niet zozeer helpt bij het probleem. Ik snap dat jij denkt vanuit puur IT gerelateerde netwerken en devices en dan zouden er meerdere oplossingen zijn echter heb ik met de genoemde beperkingen te maken. De poorten kan ik geven, poort 102 en 5900 heb ik nodig. Daarmee kan ik de meeste functionaliteit werkend krijgen zoals ik al aangaf in mijn eerdere reactie. Echter sommige functionaliteit niet, daarnaast heb ik meerdere S7-CPU's(Industriele devices) in mijn netwerk die ik ook moet kunnen benaderen uiteindelijke. Dan moet ik echt kunnen aangeven dat ik 192.168.1.4 moet benaderen. Om deze rede gaat het me meer om de basis van mijn probleem. Kan het opgelost worden via NAPT SNAP of netmap of is het uberhaubt niet mogelijk wat ik wil.

@Paul De linkse router moet ik configureren en heb ik hier op locatie. De rechtse router is van de klant voor de VPN tunnel. Maar deze wilde ik even elimineren om puur te focussen op de communicatie door de linkste router/switch (Extern -> Interne zijde van router). Deze router/switch heeft zowel layer 2 als layer 3 functionaliteit. Ofwel als je de VPN even weg denkt en dus ook de rechte router, dan wil ik van de computer (Netwerk 2) waar ik de applicatie op draai om toegang krijgen tot het industriële netwerk (Interne kant van de router).

@DiedX Er is geen route op moment, ik dacht het te kunnen oplossen met puur NAT (Ik kreeg immers de applicaties die via NAPT kunnen werken wel werkend, echter de belangrijkste applicatie niet). Daarom misschien direct de vraag is het mogelijk wat ik wil via NAT? Misschien ben ik de verkeerde weg ingeslagen.

Misschien maak ik het te moeilijk maar het probleem was dat origineel voorzien was om een eigen VPN op te zetten waardoor ik dit probleem niet had. Omdat we nu een VPN van de klant hebben heb ik een soort van netwerk scheiding nodig en een grotere IP-range. Ik hoop dat mijn verhaal helder is.

donderdag 16 februari 2017 11:20

Acties:

0 Henk 'm!

DiedX

Maar ik snap je oplossing qua NAT nu niet. Je default route van je client gaat naar je router rechts. Als hij van niets weet gaat dit never-nooit werken.

Maar wat gebeurd er als je op je client een fixed route zet naar je PLC-machine, werkt het dan wel?

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

donderdag 16 februari 2017 11:52

Acties:

0 Henk 'm!

DutchKel

eatualive schreef op donderdag 16 februari 2017 @ 11:16:
@kfaessen Ok ik zal de informatie geven echter weet ik dat je er niks mee kunt. :
Netwerk device op interne netwerk:
http://www.industry.sieme...00/cpu/pages/default.aspx

Applicatie die ik draai op mijn laptop vanaf het externe netwerk:
http://w3.siemens.com/mcm...sional/Pages/Default.aspx

Het is programmeer software om een PLC te programmeren.

Ja het zijn limitaties, ik kan alleen aangeven dat ze er zijn en je zult moeten aannemen dat de applicatie op die manier werkt. Anders moet ik je een cursus PLC programmeren leren in step 7 voordat je zult begrijpen dat deze limitaties er inderdaad zijn. Daarom meld ik deze informatie niet omdat het niet zozeer helpt bij het probleem. Ik snap dat jij denkt vanuit puur IT gerelateerde netwerken en devices en dan zouden er meerdere oplossingen zijn echter heb ik met de genoemde beperkingen te maken. De poorten kan ik geven, poort 102 en 5900 heb ik nodig. Daarmee kan ik de meeste functionaliteit werkend krijgen zoals ik al aangaf in mijn eerdere reactie. Echter sommige functionaliteit niet, daarnaast heb ik meerdere S7-CPU's(Industriele devices) in mijn netwerk die ik ook moet kunnen benaderen uiteindelijke. Dan moet ik echt kunnen aangeven dat ik 192.168.1.4 moet benaderen. Om deze rede gaat het me meer om de basis van mijn probleem. Kan het opgelost worden via NAPT SNAP of netmap of is het uberhaubt niet mogelijk wat ik wil.

@Paul De linkse router moet ik configureren en heb ik hier op locatie. De rechtse router is van de klant voor de VPN tunnel. Maar deze wilde ik even elimineren om puur te focussen op de communicatie door de linkste router/switch (Extern -> Interne zijde van router). Deze router/switch heeft zowel layer 2 als layer 3 functionaliteit. Ofwel als je de VPN even weg denkt en dus ook de rechte router, dan wil ik van de computer (Netwerk 2) waar ik de applicatie op draai om toegang krijgen tot het industriële netwerk (Interne kant van de router).

@DiedX Er is geen route op moment, ik dacht het te kunnen oplossen met puur NAT (Ik kreeg immers de applicaties die via NAPT kunnen werken wel werkend, echter de belangrijkste applicatie niet). Daarom misschien direct de vraag is het mogelijk wat ik wil via NAT? Misschien ben ik de verkeerde weg ingeslagen.

Misschien maak ik het te moeilijk maar het probleem was dat origineel voorzien was om een eigen VPN op te zetten waardoor ik dit probleem niet had. Omdat we nu een VPN van de klant hebben heb ik een soort van netwerk scheiding nodig en een grotere IP-range. Ik hoop dat mijn verhaal helder is.

Ik werk in eenzelfde soort branch als jij (misschien wel in hetzelfde bedrijf) alleen wij eisen een site-2-site vpn verbinding met de client voor zover ik weet. Ik heb geen idee hoe hier wordt omgegaan met koppige klanten die dat niet toestaan of die hebben alleen lokaal support en geen monitoring e.d..

De vpn van de klanten komt bij ons ook in een afgeschermde omgeving uit maar van daaruit kunnen we wel meer regelen dan een paar poort forwards. De machines die verbinding moeten maken met de clients die komen bij ons in een apart vlan waar de site-2-site verbinding in zit, uit mijn hoofd gezegd heeft elke klant een aparte vlan binnen ons netwerk. Overigens is het klantennetwerk niet via die vpn beschikbaar, die staat weer apart.

Maar ik ben bang dat hetgeen wat jij wilt onmogelijk is, ik hoop dat een medetweaker wel een oplossing heeft hiervoor.

Edit: Kun je niet bij de klant een server neerzetten die je weer vanuit jou netwerk benaderd? Dat bedacht ik me net als mogelijke oplossing. Dan heb je veel meer mogelijkheden.

Don't drive faster than your guardian angel can fly.

donderdag 16 februari 2017 13:22

Acties:

0 Henk 'm!

eatualive

Topicstarter

@kfaessen Je hebt helemaal gelijk, helaas gaat het om multinationals en die zijn heel koppig. Daarnaast zijn wij daarin tegen weer te klein om dit af te dwingen als bedrijf. Ik bedoel er zijn bedrijven zoals ons die bij elke fabriek van de klant een machine hebben staan. Wij zijn een kleine speler die misschien bij 1 fabriek van een multinational iets neer zetten dus hebben wij niet de mogelijkheid om het af te dwingen. Voordat we op locatie gingen hadden we alles voorbereid dat we een server bij ons op de zaak hadden staan. De router/switch die wij hier installeren belt in op onze server en houd een contante VPN verbinding. Er dient dan puur een internet verbinding naar buiten aangeleverd te worden van de klant. Redelijk eenvoudig zowel voor de klant als voor ons. Helaas op de dag dat ik onsite ging hebben ze geweigerd en aangegeven dat het via hun netwerk moet. A fijn bedankt voor je reactie, ik zal even afkijken of een andere tweaker misschien een idee weet. Anders houd het natuurlijk op voor onze klant en kunnen we maar beperkt of geen remote support bieden. Het is dan niet anders, ik hoopte het eenvoudig af te kunnen met een variant van NAT.

@DiedX
In theorie zou een static route kunnen werken(denk ik), echter nu komen we bij het punt waar ik het VPN verhaal van de klant wel mee in gedachte neem. Ik betwijfel of dat ik het dan af kan met een static route zeker omdat ik geen controle heb over de ip adressen die worden af gegeven bij de VPN clients. Ik moet immer de route ook op mijn PLC device aangeven dan. Misschien dat dit kan werken als ik IP masquerading ga gebruiken zodat ik op mijn PLC device het externe IP van mijn router kan gebruiken. Denk je dat dit mogelijk is? Zo ja dan hoor ik het graag want dan kan ik daar verder in duiken, ik doe dit niet iedere dag dus kan het niet zo 1,2,3 testen maar dan kan ik het NAT verhaal vergeten en ga ik het in die hoe zoeken/testen.

donderdag 16 februari 2017 19:47

Acties:

0 Henk 'm!

Paul

eatualive schreef op donderdag 16 februari 2017 @ 11:16:
@Paul De linkse router moet ik configureren en heb ik hier op locatie. De rechtse router is van de klant voor de VPN tunnel. Maar deze wilde ik even elimineren om puur te focussen op de communicatie door de linkste router/switch (Extern -> Interne zijde van router). Deze router/switch heeft zowel layer 2 als layer 3 functionaliteit. Ofwel als je de VPN even weg denkt en dus ook de rechte router, dan wil ik van de computer (Netwerk 2) waar ik de applicatie op draai om toegang krijgen tot het industriële netwerk (Interne kant van de router).

@DiedX Er is geen route op moment, ik dacht het te kunnen oplossen met puur NAT (Ik kreeg immers de applicaties die via NAPT kunnen werken wel werkend, echter de belangrijkste applicatie niet). Daarom misschien direct de vraag is het mogelijk wat ik wil via NAT? Misschien ben ik de verkeerde weg ingeslagen

De IP-adressen en gateways die je noemt op de tekening, zijn dat de huidige instellingen?

De PLC heeft een IP-adres in 192.168.1.0/24 en stuurt verkeer voor alles wat daarbuiten ligt naar 192.168.1.3?
En je gewone PC heeft een adres in 10.25.98.80/28 en stuurt alles wat daar buiten ligt naar 10.25.98.82?
En de switch/router die onder jouw beheer is heeft beide router-adressen die ik hierboven noem? Dan is het zo simpel als een ACL maken (of verwijderen) en die switch vertellen dat hij tussen die twee subnetten mag routeren...

Als het een L3 switch is met de router-functie ingeschakeld en zonder ACL's dan zou de huidige situatie dus moeten werken...

Je zegt "IP range defined by customer", ik neem aan dat je die .85 legitiem op die PC hebt staan en dat dit adres niet door een ander apparaat ook in gebruik is?

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

donderdag 16 februari 2017 23:49

Acties:

0 Henk 'm!

NielsNL

DigiCow

@eatualive Je hoeft niet aan te nemen dat ik geen S7 ken en kan. Daar weet ik toevallig redelijk veel van af.

Alleen heb ik nu geen installatie waar ik mee kan testen.
Zou je in je hardware configuratie niet aan kunnen geven dat je met elke PG wilt kunnen communiceren, ongeacht IP/MAC?
En alleen poort 102 NATten naar de PLC zou genoeg moeten zijn. Laat anders gewoon even weten wat er wel en niet gaat.

[ Voor 16% gewijzigd door NielsNL op 17-02-2017 00:05 ]

M'n Oma is een site aan het haken.

vrijdag 17 februari 2017 07:00

Acties:

0 Henk 'm!

eatualive

Topicstarter

@NielsNL ik ging ervan uit dat niemand het kende

mijn excuus. Afijn je kunt routing configureren maar dan moet je wel aangeven welk ip adres de PG heeft. Volgens mij maar dat zou ik na moeten kijken kan je niet een willekeurig ip accepteren als je routing toepast. Kortom er zijn mogelijkheden om het werkend te krijgen als je weet welke ip de PG heeft. Het probleem is dat dit natuurlijk lastig is als je het vpn verhaal in gedachte neemt. Daarom zou ik misschien het externe ip adres van de router kunnen invoeren als PG. En dan ip masquading inschakelen op de router. Daarnaast zit ik ook met het feit dat je dan een route moet definiëren op je VPN client. Of dat we dit kunnen weet ik niet. Als je de computer pakt die ik als stippel lijn heb getekent lukt het wel.

Als je bekend bent met step 7 kan je inderdaad forwarding doen met poort 102. Maar wij dienen een hardware configuratie ook aan te kunnen passen. Hiervoor dien je de hardware configuratie te hebben met het ip adres wat de CPU daadwerkelijk gebruikt. Daarom kan ik het niet af met dmz of portforwarding zeker niet omdat er meerdere cpus in het netwerk zitten. Als het allen monitoring was en alleen apassen van software kon port forwarding wel op port 102. Ik denk dat ik routes zal aan moeten maken maar goed dan heb ik ook een test opstelling nodig want daar heb ik nog te weinig kaas van gegeten. En weet niet zeker of het lukt met een VPN er tussen. Ik denk dat het waard is om hier in te duiken tenzij jij een makkelijker manier weet want ik kan ook iets over het hoofd zien.

@Paul Deze switch ondersteund geen ACL. Maar je begrijpt de situatie goed.

Ja klopt dat moet inderdaad .80/28 echter gezien de reacties zit de oplossing niet in NAT naar alle waarschijnlijkheid. Waarom ik aan NAT'ten was omdat ik bepaalde functies wel via NAPT werkend kreeg. Daarom was ik in die hoek aan het zoeken voor een oplossing voor mijn complete probleem.

[ Voor 10% gewijzigd door eatualive op 17-02-2017 07:32 ]

vrijdag 17 februari 2017 07:10

Acties:

0 Henk 'm!

Paul

Waarom is Router 1 überhaupt aan het NATten? Er staat trouwens wel een fout in:

Configuratie NETMAP rule1:
Type: srouce
Source interface vlan1 (Intern)
Destination Interface: vlan2 (extern)
Source IP subnet 192.168.1.0/24
Translated source IP subnet: ??.??.??.??/??
Destination IP subnet 10.25.98.0/28

Configuratie NETMAP rule2:
Type: Destination
Source interface vlan2 (Extern)
Destination Interface: vlan1 (Intern)
Source IP subnet 10.25.98.0/28
Translated source IP subnet: 192.168.1.0/24
Destination IP subnet ??.??.??.??/??

, die 10.25.98.0/28 moet 10.25.98.80/28 zijn.

Edit: @eatualive Heb je een PC in beide netwerken (internal / industrial en netwerk 2)? Als je op beiden een traceroute naar de andere PC doet (met -d, heb meer aan IP-adressen dan namen

), kom je dan uit waar je verwacht uit te komen?

[ Voor 16% gewijzigd door Paul op 17-02-2017 08:26 ]

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

vrijdag 17 februari 2017 10:40

Acties:

0 Henk 'm!

XiMMiX

Ik denk dat je in je poging de situatie simpel voor te stellen essentiële informatie weglaat. Dat maakt beantwoorden van je vraag een stuk moeilijker.

Het is al vaker in de thread gezegd, maar waarom wil je NAT gebruiken? Zoals je het getekend hebt is het enige wat je switch moet doen is routeren tussen 192.168.1.0/255.255.255.0 en 10.25.98.85 /255.255.255.240. Ik ga er daarbij vanuit dat je met de term gateway in je tekening default gateway bedoelt. NAT lijkt niet nodig te zijn.

Een andere oplossing zou een 2e VPN kunnen zijn, of mag dat expliciet niet van je klant?
Uit je verhaal begrijp ik dat je geen directe toegang via internet tot je S615 hebt, maar alleen via het VPN van je klant. Maar als je eenmaal toegang tot je S615 hebt via dat VPN zou je een 2e VPN op kunnen zetten.
Volgens onderstaande site heeft je Scalance S615 VPN mogelijkheden, waaronder OpenVPN.
Waarom zet je geen OpenVPN verbinding op tussen je lokale machine en de S615?
http://w3.siemens.com/mcm...ance-s/pages/default.aspx

vrijdag 17 februari 2017 15:12

Acties:

0 Henk 'm!

eatualive

Topicstarter

@XiMMiX misschien was het Verkeerd om het weg te laten maar hoopte op De basis in te gaan en mogelijke randzaken weg te laten. Ik wil geen NAT maar de rede heb ik al eerder gemeld waarom ik die weg is was geslagen. Zoals ik al aangaf sta ik open voor andere oplossing en nat heb ik al laten varen zoals je terug kunt lezen.

Afijn routing is een optie en ben ik van plan om te testen.

De router kan inderdaad volgens mij met open VPN overweg. Als dat kan werken zou dat een heel goede oplossing zijn. Maar dan heb ik wel een vraag. Kan ik een VPN in een VPN doen? Ik bedoel ik zal via een website of tool eerst een vpn op zetten met de klant. Dan zou ik vervolgens op de zelfde computer een openvpn client opstarten om met onze router te verbinden. In het verleden had ik ook dit als oplossing maar toen gaven er mensen aan dit niet gaan werken. Als jij hier ervaring mee hebt, hoor ik het graag. Want als ik via vpn verbinding kan krijgen dan is mijn probleem geheel opgelost.

[ Voor 5% gewijzigd door eatualive op 17-02-2017 15:14 ]

vrijdag 17 februari 2017 17:45

Acties:

0 Henk 'm!

Paul

Zoek nou eerst eens uit waarom je er niet doorheen komt... Er wordt al "iets" aan routering gedaan anders kunnen die apparaten het VPN endpoint (de oude) niet eens bereiken...

Wacht even... De oude VPN, wordt die nu getermineerd op de linker router (L3 switch) of ergens rechts? Want de rechter router noem je "switch controlled by customer"... Als dat alleen een koppel-VLAN is en de VPN eindigt op de linker router verklaart het mogelijk wel waarom je vanuit dat koppel-VLAN niet naar binnen kunt.

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

zondag 19 februari 2017 17:09

Acties:

0 Henk 'm!

eatualive

Topicstarter

@Paul
Morgen ben ik weer op de zaak en kan ik een testopstelling maken om te kijken wat er mogelijk of waar ik vast kom te zitten. Ben namelijk afgelopen vrijdag naar huis gereisd.

Ik bergijp je vraag niet betrefende de oude VPN. Je bedoelt de site2site vpn die ik als eerste in wilde zetten? Dit had ik al werkend. En was direct van onze server in nederland tot aan de switch links.

Echter nu de klant er tussen zit. Zal er een VPN verbinding opgebouwd worden met de rechtse switch. Vervolgens moet ik vanaf dat netwerk door de linkse switch op het industriele netwerk komen. Ofwel doormiddle van routering of een VPN in een VPN als dat gaat werken. Dit hoop ik morgen te kunnen testen

zondag 19 februari 2017 22:33

Acties:

0 Henk 'm!

Paul

eatualive schreef op zondag 19 februari 2017 @ 17:09:
Ik bergijp je vraag niet betrefende de oude VPN. Je bedoelt de site2site vpn die ik als eerste in wilde zetten?

Nee, de "Customer VPN" in je plaatje.

Er gaat op één of andere manier al verkeer van links naar rechts en terug over de linker switch, de vraag is waarom zij wel en jij niet

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

maandag 20 februari 2017 01:06

Acties:

0 Henk 'm!

XiMMiX

@eatualive
De term VPN is denk ik een beetje te veel omvattend om te kunnen stellen dat VPN in VPN altijd kan. Maar een OpenVPN tunnel over een ander VPN laten lopen lijkt me niet zo spannend.
Een OpenVPN verbinding in een andere OpenVPN verbinding is 100% zeker mogelijk, ik doe het soms zelf (onbedoeld).
Ik kan me wel voorstellen dat het wat extra configuratie vergt om je routing table op je computer juist te krijgen.

Maar als je het routed aan de praat krijgt is dat wel een logischere oplossing.

[ Voor 8% gewijzigd door XiMMiX op 20-02-2017 01:11 ]

dinsdag 7 maart 2017 21:48

Acties:

0 Henk 'm!

eatualive

Topicstarter

Door een druk schema niet meer kunnen reageren.

Ik wil melden dat het gelukt is d.m.v. routing. Ik heb voor elke apparaat een static route aangemaakt.
Helaas werkte dit niet in 1x vanwege bugs in de router. Naar resetten en herconfigureren en lang genoeg wachten werden de regels effectief en kon ik alles doen wat ik wilde.

Ik heb dit nog niet in combinatie met de VPN kunnen testen aangezien de klant deze niet op orde heeft. Maar denk dat het wel gaat werken.

Kortom bedankt voor de hulp.

Onderwerpen

Vraag

Beste antwoord (via eatualive op 07-03-2017 21:49)

Alle reacties