[gelöst] Probleme mit dem VPN-Router

[kosta]

Macht eh keinen Sinn, muss JeGr wohl missverstanden haben.

und wenn der kein extra WAN hat, dann wars das. Wenn er noch extra WAN hat, dann braucht es noch eine
Route (zum Client LAN) mehr, aber das wars dann.

Ist schon gut, solche Empfehlungen bringen hier nix.

[JeGr]

Klar - muss man nicht alles im Forum breittreten

Quintessenz ist aber, dass einen eigenen Router bei meinem Peer fordern schon ne Ecke mehr ist, als "nur ein Tunnel". Kann auch durch diverse PCIs etc. Vorgabe sein - ohne Frage. Aber dann muss man sich trotzdem immer auch an die Gegebenheiten beim Kunden anpassen, denn der hat ja auch intern seine Auflagen und Regeln. Nur weil ich da meine eigene Kiste reinhängen will, kann sich ja der Kunde selbst nicht verbiegen

> Aber: warum zweites WAN?? Das Gerät (Cisco) hat sicher genug Ports, aber was für Zweck?

Ich hatte nicht gesagt zweites WAN (in Aussage), sondern als Frage weil ich nicht weiß, WAS euer VPN Partner euch da für ne Kiste hinstellt. Es gibt auch einige, die dann ihr eigenes Internet mitliefern oder ne eigene WAN Leitung vor Ort fordern. Daher die Frage (ob er eigenes WAN hat! nicht DASS er eines hat ).

Wenn der Cisco VPN macht und das über ein Interface, das gleichzeitig eben für ihn quasi WAN/LAN ist, dann ist es umso einfacher und man muss weniger beachten, das war die Aussage, die ich machen wollte damit. Wenn der noch selbst eigenes WAN hat für sein VPN, dann muss man ggf. das Transfernetz zu diesem Cisco eben als wirkliches Upstream WAN konfigurieren (mit aktivierten Gateway Settings im Interface) statt nur als weiteres LAN/VLAN. Nur darum hatte ich gefragt.

[kosta]

Also ich hatte heute schon mal das Gespräch mit den Leuten aus dem RZ und wie ich schon vorgeahnt habe:
"Machen wir nicht, ist nicht vorgesehen".
Nun habe ich denen mehr Druck gemacht (im Sinne von "wir können nicht arbeiten wenn das so nicht umgesetzt wird"), Netzplan geschickt, und jetzt schauen sie sich das mal an.
Sie sagten mir auch, dass das die erste Anfrage ever ist, um so etwas zu machen, und das glaube ich denen sofort, denn es gibt bei denen KEINEN anderen Kunden (von knappen 3000 Kunden die dort hosten) der eine eigene IT wie wir hat.
Deswegen ist es eine Sonder-Sonderlösung, und das müssen sie erstmal gut prüfen lassen.

Ich sagte schon unser Unternehmen ist hier sehr sehr speziell.

Wenn der Cisco VPN macht und das über ein Interface, das gleichzeitig eben für ihn quasi WAN/LAN ist, dann ist es umso einfacher und man muss weniger beachten, das war die Aussage, die ich machen wollte damit. Wenn der noch selbst eigenes WAN hat für sein VPN, dann muss man ggf. das Transfernetz zu diesem Cisco eben als wirkliches Upstream WAN konfigurieren (mit aktivierten Gateway Settings im Interface) statt nur als weiteres LAN/VLAN. Nur darum hatte ich gefragt.

Cisco wird standardmäßig mit WAN und LAN Ports konfiguriert und ist standardmäßig der EINZIGE Router im Unternehmen. WAN ist normalerweise direkt ans Internet angeschlossen, auf LAN DHCP, klassisch halt, und das Transfernetz ist das LAN Netz.
Bei uns: zusätzlichee Firewall (OPNsense), die für Cisco Zugang zum WAN herstellt. LAN ist aktuell nach wie vor das default Transfernetz.
Was ich aktuell anstrebe, ist die Konfiguration eines weiteren LAN-Ports mit dem Transfernetz (neues Netz, unabhängig vom aktuellen Clientnetz), und wie schon gesagt, einer statischen Route am Cisco und OPNsense die jeweils über das Netz routet.

Vorallem finde ich es so seltsam dass sie sich so anstellen, denn das Transfernetz zwischen Cisco und OPNsense ist eigentlich NUR bei uns und hat mit den Netzen im RZ gar nix zu tun... von daher...

[kosta]

Na also, geht ja ;-)
Waren heute lange Gespräche aber wir sind auf eine Konstellation gekommen die für uns richtig ist und für das RZ akzeptabel. Und zwar:
Wir müssen unser lokales Netzwerk ändern (bereits passiert): 10.10.10.0/24
Neues Transfernetz: 10.146.35.1 (sense) und 10.146.35.2 (vpn-router)
Statische Routen über Transfernetz...
Auf dem VPN Router wird unser ursprüngliches Netz eingerichtet und dort ein 1:1 NAT aus 10.10.10.0 ins 10.146.32.0 gemacht.
Sonst statische NATs für Drucker, einzelne Server...

Eine simplere Lösung wie neues Transfernetz und wir behalten 10.146.32.0 ginge nicht.

Bin gespannt ob das so funkt wie geplant. Dabei aber auch ein Vorteil: wir können zusätzliche Netze oder IPs NATen (lassen), was bisher nicht ginge. So lange alles am 10.146.32.0/24 im VPN-Router endet, alles gut.

[kosta]

Thema ist abgeschlossen, die Umstellung ist gemacht und wie empfohlen, funktioniert tadellos.
Ich muss euch auch ein großes Dankeschön für etwas Druck aussprechen, denn nur damit hat es jetzt endlich sauber geklappt.

[JeGr]

Freut mich zu lesen. Auch wenns eine schwere Geburt war, manchmal muss man sich da doch auf der Gegenseite durchboxen