Thomas L. 10 Geschrieben 16. Dezember 2009 Melden Teilen Geschrieben 16. Dezember 2009 Hallo zusammen Wir haben hier in der Firma 2 VLANs - eines davon ist für das interne Netz (in diesem steht auch ein OpenVPN Endpoint), am zweiten dürfen sich Gäste per Kabel anhängen, bekommen eine IP aus einem anderen Range und scheinen auch nach außen hin mit anderer IP auf (xxx.xxx.xxx.5 statt xxx.xxx.xxx.2). Nun ist es so, dass - auch wenn man am Gästeinterface hängt - sich mit dem OpenVPN Endpoint verbinden können sollte. Das ist aber nicht möglich, da es ja zwischen den VLANs kein Routing gibt (und auch nicht geben soll). Der VPN Endpoint ist in der Konfiguration mit xxx.xxx.xxx.2 angegeben (die xxx.xxx.xxx stehen dabei für die global address). Das Paket müsste also über VLAN99 (Gäste) raus, bis zum Provider, wo es wieder den gleichen Weg bis zum Router zurückgehen müsste, nur dass es dann an einem anderen VLAN ins interne Netz kommt. Gehe ich richtig in der Annahme, dass das das Problem ist wegen dem dies nicht funktioniert? Wie löst man sowas im Allgemeinen? Eine einfache Route wird es ja nicht tun. Herzlichen Dank für zweckdienliche Hinweise :) Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 16. Dezember 2009 Melden Teilen Geschrieben 16. Dezember 2009 Die Frage ist ob 5 und 2 dasselbe Geraet ist? Wenn ja, welches? Wer administriert es? Zitieren Link zu diesem Kommentar
Thomas L. 10 Geschrieben 16. Dezember 2009 Autor Melden Teilen Geschrieben 16. Dezember 2009 Hi Also 2 und 5 ist dasselbe Gerät, ein Cisco 1811 mit eben den 2 konfigurierten VLANs, 2 konfigurierten DHCP Scopes, konfiguriertem NAT für jedes der VLANs. Administrieren tue ichs (mehr schlecht als recht). Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 17. Dezember 2009 Melden Teilen Geschrieben 17. Dezember 2009 Am besten postest du mal deine Config ohne Passwoerter und ein Mod verschiebt den Thread ins Ciscoforum :) Zitieren Link zu diesem Kommentar
Necron 71 Geschrieben 17. Dezember 2009 Melden Teilen Geschrieben 17. Dezember 2009 Wird gemacht! ;) Zitieren Link zu diesem Kommentar
Thomas L. 10 Geschrieben 17. Dezember 2009 Autor Melden Teilen Geschrieben 17. Dezember 2009 Huch, ich dachte ich hätte schon im Cisco Forum gepostet - danke fürs Verschieben - und hier gleich noch die Config bltrouter#sh run Building configuration... Current configuration : 4498 bytes ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname bltrouter ! boot-start-marker boot-end-marker ! ! aaa new-model ! ! aaa authentication login default local aaa authorization exec default local ! aaa session-id common ! resource policy ! ! ! ip cef no ip dhcp use vrf connected ! ip dhcp pool PoolVlan20 import all network 192.168.20.0 255.255.255.0 default-router 192.168.20.1 dns-server (externer DNS) ! ip dhcp pool PoolVlan30 import all network 192.168.30.0 255.255.255.0 default-router 192.168.30.1 dns-server (externer DNS) ! ! ip domain name interne.domain ip name-server (externer DNS) ip name-server (externer DNS) ! ! ! username -------------------------------------- ! ! ! ! ! ! interface FastEthernet0 ip address xx.xx.xx.2 255.255.255.248 ip nat outside ip virtual-reassembly duplex auto speed auto ! interface FastEthernet1 no ip address shutdown duplex auto speed auto ! interface FastEthernet2 switchport access vlan 10 ! interface FastEthernet3 switchport access vlan 10 ! interface FastEthernet4 switchport access vlan 10 ! interface FastEthernet5 switchport access vlan 10 ! interface FastEthernet6 switchport access vlan 10 ! interface FastEthernet7 switchport access vlan 10 ! interface FastEthernet8 description Only Internet Access no internal network switchport access vlan 30 ! interface FastEthernet9 description Gregors Bruder switchport access vlan 20 ! interface Vlan1 no ip address ! interface Vlan20 ip address 192.168.20.1 255.255.255.0 ip access-group 20 in ip access-group 20 out ip nat inside ip virtual-reassembly ! interface Vlan10 ip address 192.168.0.1 255.255.255.0 ip access-group 10 in ip access-group 10 out ip nat inside ip virtual-reassembly ! interface Vlan30 ip address 192.168.30.1 255.255.255.0 ip access-group 30 in ip access-group 30 out ip nat inside ip virtual-reassembly ! interface Async1 no ip address encapsulation slip ! ip route 0.0.0.0 0.0.0.0 xx.xx.xx.1 ip route 10.8.0.0 255.255.255.0 192.168.0.96 ip route 192.168.99.0 255.255.255.0 192.168.0.31 ! ! no ip http server no ip http secure-server ip nat pool EXT20 xx.xx.xx.6 xx.xx.xx.6 netmask 255.255.255.248 ip nat pool EXT10 xx.xx.xx.2 xx.xx.xx.2 netmask 255.255.255.248 ip nat pool EXT30 xx.xx.xx.5 xx.xx.xx.5 netmask 255.255.255.248 ip nat inside source list 11 pool EXT10 overload ip nat inside source list 21 pool EXT20 overload ip nat inside source list 31 pool EXT30 overload ! diverse ip nat inside port mappings access-list 10 permit 192.168.0.0 0.0.0.255 access-list 10 deny 192.168.20.0 0.0.0.255 access-list 10 deny 192.168.30.0 0.0.0.255 access-list 10 permit any access-list 11 permit 192.168.0.0 0.0.0.255 access-list 20 permit 192.168.20.0 0.0.0.255 access-list 20 deny 192.168.0.0 0.0.0.255 access-list 20 deny 192.168.30.0 0.0.0.255 access-list 20 permit any access-list 21 permit 192.168.20.0 0.0.0.255 access-list 30 permit 192.168.30.0 0.0.0.255 access-list 30 deny 192.168.0.0 0.0.0.255 access-list 30 deny 192.168.20.0 0.0.0.255 access-list 30 permit any access-list 31 permit 192.168.30.0 0.0.0.255 ! ! ! ! ! ! control-plane ! ! line con 0 line 1 modem InOut stopbits 1 speed 115200 flowcontrol hardware line aux 0 line vty 0 4 access-class 11 in privilege level 15 transport input ssh ! ! webvpn context Default_context ssl authenticate verify all ! no inservice ! end Zitieren Link zu diesem Kommentar
blackbox 10 Geschrieben 17. Dezember 2009 Melden Teilen Geschrieben 17. Dezember 2009 hi, wo steht nun noch das openvpn ? du hattest es mit xxxx.2 gesagt - die hat aber auch der router im petto ? Zitieren Link zu diesem Kommentar
Thomas L. 10 Geschrieben 18. Dezember 2009 Autor Melden Teilen Geschrieben 18. Dezember 2009 Hi Das OpenVPN Kistl steht im internen Netz (vergibt dann IPs aus dem 10.8.x.x Range) und hat selber die 192.168.0.96. Dafür gibts dann auch das entsprechende Port Forwarding und die Route retour (ip route 10.8.0.0 255.255.255.0 192.168.0.96). Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 18. Dezember 2009 Melden Teilen Geschrieben 18. Dezember 2009 dan wird das eher Essig werden mit dem ansprechen des OpenVPN Gateways über seine offizielle Adresse Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 18. Dezember 2009 Melden Teilen Geschrieben 18. Dezember 2009 Was spricht gegen das Ansprechen der internen IP? Klar, wenn Clients auch im Inet unterwegs sind passt die Config nicht mehr, aber da koennte man was mit DNS tricksen :) Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 18. Dezember 2009 Melden Teilen Geschrieben 18. Dezember 2009 dagegen spricht das er nicht zwischen den beiden internen LANs routen will :) Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 18. Dezember 2009 Melden Teilen Geschrieben 18. Dezember 2009 Ohne die ACLs wuerde er das per default eh tun, von daher reicht ja n kleines Loch :) Zitieren Link zu diesem Kommentar
Thomas L. 10 Geschrieben 18. Dezember 2009 Autor Melden Teilen Geschrieben 18. Dezember 2009 Naja ... die FW verbietet das Routing zwischen den VLANs ;) Oder meinst du ich sollte ein Loch für das OpenVPN Kistl machen? Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 18. Dezember 2009 Melden Teilen Geschrieben 18. Dezember 2009 ja, in ACL 10/20 die Verbindung zwischend dem Gastsegment udn dem OpenVPN zulassen. Da wirds halt wohl darauf hinauslaufen das einfach auf IP Basis zu machen. Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 18. Dezember 2009 Melden Teilen Geschrieben 18. Dezember 2009 Naja ... die FW verbietet das Routing zwischen den VLANs ;) Oder meinst du ich sollte ein Loch für das OpenVPN Kistl machen? Ich traue dem Internet weniger als dem Gaestenetz, von daher ja ;) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.