Hallo! Ich hätte mal eine Frage zur VPN Vernetzung bei Cisco Routern. Ich muss dazu sagen dass ich ein Anfänger auf dem Gebiet bin und mich mit Netzwerken beschäftige. Möchte evtl. einen CCNA erwerben. Zu meiner Frage: Cisco Router werden ja seit langem zur Vernetzung mit dem Firmen VPN Netzwerk eingesetzt. Allerdings können die wenigsten als VPN Client betrieben werden. Sie können entweder als VPN Server genutzt werden die dann eine VPN Verbindung von einem einzelnen Rechner mit dem Firmennetz ermöglichen, oder aber sie unterstützen Site-2-Site VPN, womit man 2 LAN Netzwerke über Distanz 'zusammenschweißt'. Und an diesem Punkt ist mir das Real-Life Szenario etwas unklar, was ich an einem Beispiel mal zeigen will. Nehmen wir an wir hätten ein Francise Unternehmen mit vielen Filialen, ich nehme für das Beispiel gerne eine Autovermietung weil sich's daran gut zeigen lässt: Ein großes Netzwerk in der Firmenzentrale und über hundert kleine Filialen landesweit. mit jeweils ca. 3-4 Computers + Drucker etc. Nun wäre es ja bei diesem Szenario naheliegend wenn man den Router einfach als VPN Client verwenden würde. Die Filiale würde dann eine einzelne IP-Adresse im privaten LAN der Firmenzentrale bekommen, das LAN der Filiale würde dann 'bei sich blieben', als nicht direkt von der Firmenzentrale erreichbar. Dadurch könnte jedes LAN der Filialen einen Standard IP Bereich (z.B. 192.168.1.1 - 192.168.1.255) beibehalten. die Filialen müssten sich dabei nicht untereinander abstimmen. Nun unterstützen ja Router von Cisco (Geräte von anderen Herstellen ebenfalls nur selten) gerade diesen Betrieb als VPN-Client nicht. Da ja aber viele Cisco Router in solchen Filialen genutzt werden (hab ich selber schon gesehen) muss es ja irgendwie anders gemacht werden und ich frage mich nun wie genau (im Regelfall)? Denn eine Site-2-site VPN in dem oben geschilderten Szenario wäre ja schon eine administrative Herausforderung. Stellen wir uns mal vor: Die Firmenzentrale hätte ein Klasse B Netzwerk, also IP-Bereich 172.16.0.0 - 172.31.255.255 und die Filialen jeweils ein klasse C Netzwerk. Wenn nun alle Filialen per site-2-site VPN mit der Zentrale verbunden wären dann müsste man ja jeder Filiale quasi 'statisch' einen eigenen privaten IP Bereich zuweisen der peinlich genau eingehalten werden müsste. Ich will's mal kurz auflisten das jeder weiß was ich meine für den Fall das ich hier ein paar Begriffe verwechselt habe: Firmenzentrale: IP-Bereich 10.0.0.0 — 10.255.255.255 Filiale 1: IP-Bereich 192.168.1.0 — 192.168.1.255 Filiale 2: IP-Bereich 192.168.2.0 — 192.168.2.255 Filiale 3: IP-Bereich 192.168.3.0 — 192.168.3.255 usw. Jedes LAN wäre per S2S VPN mit der Zentrale verbunden und somit könnte dann auch die Zentrale jede IP-Adresse in allen 3 LAN erreichen und umgekehrt. Das wäre bei 3 Filialen noch überschaubar, aber wenn es ja landesweit über hundert sind würde das doch schnell ein riesen Chaos bedeuten. Jeder Rechner an jeden Standort könnte erstmal jeden anderen Landesweit direkt per IP-Adresse erreichen (wenn nicht durch Firewall Regeln unterbunden). Außerdem müsste man den IP-Bereich jeder einzelnen Filiale in Stein meißeln und genau drauf achten das diese sich nicht überschneiden. Das Fehlerpotential wäre enorm. Meine Frage ist nun: Wird das wirklich so gemacht? Oder habe ich da was übersehen. Wie gesagt ich bin Anfänger auf dem Gebiet und bin noch am lernen. Vielen Dank für eure Hilfe
David schrieb: > Meine Frage ist nun: Wird das wirklich so gemacht? Ja. An was denkst du? Dynamische Vergabe? NAT? > Außerdem müsste man den IP-Bereich jeder einzelnen Filiale in Stein > meißeln und genau drauf achten das diese sich nicht überschneiden. 100 Filialen aber unorganisierte Chaos-Truppe als IT, oder gleich deren 102? Das kriegst du sogar mit einem Excel Sheet gemanagt.
:
Bearbeitet durch User
Also ich würde das so machen wie du schreibst, sollte sich administrieren lassen - du brauchst sowieso für jede Filiale separate Zugangsdaten etc., da kann man auch gleich den IP-Range festlegen. Alternativen gibt es natürlich, das ist aber unabhängig von Cisco. Wir haben zu einigen Kunden ein Site2Site-VPN, wo wir mit einem eigenen /24-Netz in den Tunnel gehen (d.h. auch hier muss man die IP-Adressen absprechen). Allerdings wird alles auf dieses Netz genattet, dem Kunden ist es egal ob das aus unserem Servernetz, Clientnetz, WLAN-Netz, VPN-Netz etc. kommt. Weitere Ausbaustufe ist, dass dann der Kunde ebenfalls nattet. Dann ist es auch uns egal, in welchem Netz sein Server steht zu dem wir uns verbinden, solange das NAT auf seiner Seite dorthin weist. Auch Konflikte bei den privaten Netzen lassen sich so vermeiden. Einfacher wird es durch das Tunneln und Natten aber nicht, ein Kunde von uns ist damit gescheitert uns alle Server so zur Verfügung zu stellen, da haben sich die Pakete bei ihm irgendwo verirrt.
NAT aufgrund von IP-Konflikten hat man nicht nur bei Beziehungen mit Kunden und Lieferanten (Support) am Hals. Wenn ein Konzern Unternehmen aufkauft, kann es dahingehend ein recht langwieriger Prozess sein.
:
Bearbeitet durch User
Allgemeiner Tipp, nicht nur bei Vernetzung: Komplexität und Vielfalt gering halten. Feste zentral vorgegebene IP-Ranges für Filialen mit klarer und statischer Definition von IP-Ranges sind weitaus einfacher handhabbar, als irgendwelche Zauberei. Daran denken, dass Kommunikation mit Filialen in beiden Richtungen arbeitet. Da greifen nicht nur PCs der Filiale auf die Zentrale zu, sondern werden vielleicht alle Drucker und Access Points zentral verwaltet.
:
Bearbeitet durch User
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.