Versionen im Vergleich

Alte Version 4

changes.mady.by.user LANCOM Redaktion

Gespeichert am

verglichen mit

Neue Version Aktuell

changes.mady.by.user LANCOM Redaktion

Gespeichert am

Schlüssel

  • Diese Zeile wurde hinzugefügt.
  • Diese Zeile wurde entfernt.
  • Formatierung wurde geändert.

...

  • Das Szenario besteht aus zwei Filialen (A und B) mit öffentlichen IPv4-Adressen sowie einer Zentrale, ebenfalls mit einer öffentlichen IPv4-Adresse.
  • Die beiden Filialen haben bereits einen statischen IKEv2-VPN-Tunnel zur Zentrale eingerichtet, der funktionsfähig aufgebaut ist.
  • Die VPN-Gegenstelle auf den Filialen heißt jeweils „ZENTRALE“.
  • Filiale A hat das Subnetz 192.168.1.0/24 mit dem Namen „INTRANET“.
  • Filiale B das Subnetz 192.168.2.0/24 mit dem Namen „INTRANET“.

Image Added

Vorgehensweise:

1. Konfigurationsschritte in der Filiale A:

...

1.2  Als Haltezeit wird die Zeit konfiguriert, nach der die Mesh-VPN-Tunnel ohne Datenverkehr getrennt werden sollen, z.B. 300 Sekunden.

Info

Eine Deaktvierung der Haltezeit über den Wert 0 wird nicht empfohlen, da dynamische Mesh-VPN-Tunnel niemals bei Inaktivität abgebaut werden und Lizenzen verbrauchen.

...

  • Legen Sie dazu in der Tabelle "IPv4-Routing" unter "VPN → IKEv2/IPSec → Erweiterte Einstellungen" einen neuen Eintrag an.
  • Wählen Sie z.B. als Name „INTRANET-ROUTING“ und wählen Sie im Feld Netzwerk das lokale Netzwerk aus, das für Mesh VPN verwendet werden soll, z. B. „INTRANET“.

Image Modified

1.5  Wählen Sie unter Authentifizierung die Option Quelle verwalten aus.

  • Erzeugen Sie einen neuen Eintrag, z. B. „MESH“.
  • Geben Sie die lokale Identität der Filiale an, sowie den PSK, der für alle dynamischen Mesh-Tunnel verwendet wird. Der PSK muss auf allen beteiligten Filialen für den Mesh-VPN-Tunnel identisch sein.
  • Lassen Sie das Feld "Entfernte Identität" leer und wählen Sie die Option „Keine Identität“ für den entfernten Identitätstyp, so dass alle ankommenden Identitäten mit dem korrekten PSK als Mesh-Tunnel akzeptiert werden.

Image Modified

1.6 Setzen Sie die VPN-Regel auf „ANY“ bzw. wählen Sie für IPv4-Regeln den Eintrag „RAS-WITH-NETWORK-SELECTION“. Somit wird 0.0.0.0/0 <=> 0.0.0.0/0 verwendet.

1.7 Setzen Sie die Regelerzeugung auf „Manuell“.

Image Modified

1.8 Konfigurieren Sie nun die Mesh-VPN-Parameter unter VPN → IKEv2/IPSec → Erweiterte Einstellungen → Advanced Mesh VPN.

...

1.11 Wählen Sie unter Detektiere auf VPN-Gegenstelle den Namen der VPN-Gegenstelle aus, der dem Namen des Tunnels zur Zentrale entspricht.

Image Modified

1.12 Schreiben Sie die Konfiguration in den Router der Filiale A zurück.

2. Konfigurationsschritte in der Filiale B:

...

3.1  Da die Zentrale selbst keine dynamischen Mesh-Tunnel aufbaut, wird auch keine Gegenstellen-Vorlage angelegt.

  • Setzen Sie die Betriebsart bei unter VPN → IKEv2/IPSec → Erweiterte Einstellungen → Advanced Mesh VPN auf „Hub“.

3.2 Schreiben Sie die Konfiguration den den Router der Zentrale zurück.

Wenn Sie nun Daten von der Filiale A an Filiale B übertragen, so gehen die ersten Pakete zunächst über den Umweg der Zentrale.

Daraufhin wird der dynamische Mesh-Tunnel zwischen den Filialen aufgebaut.

Image Modified

Info

Ein Ping auf die IP-Adresse des Routers der gegenüberliegenden Seite wird keinen Mesh-Tunnel aufbauen.

Es muss eine (ggf. nichtexistierendenicht existierende) Station im LAN der anderen Seite als Ziel verwendet werden.

...

Wie hilfreich waren die Informationen in diesem Artikel für Sie?

Rate.Me
anonymousAccessView and Rate
showContentRatingResultfalse