Author Topic: Routing über mehrere VPN-Tunnel hinweg (Transfer-Tunnel)  (Read 12446 times)

Offline Martin

  • Administrator
  • Full Member
  • *****
  • Posts: 58
  • Karma: 0
    • http://geotek.de/
Ein VPN-Tunnel verbindet normalerweise zwei Netze miteinander, z.B. von einer Aussenstelle zur Firmenzentrale. Wenn dort auch noch andere Außenstellen angebunden sind, entsteht eine Sternstruktur. Was passiert nun aber, wenn z.B. ein IT-Dienstleister eine eigene VPN-Anbindung zur Firmenzentrale hat, und darüber auch sämtliche anderen Außenstellen erreichen möchte?

Problemataisch wird das bei IPSec-Tunneln deshalb, weil die Tunnel-Policy üblicherweise nur eine Netzadresse aufnehmen kann. Aus Sicht des o.g. IT-Dienstleisters müsste man aber seiner Firewall eigentlich mitteilen, dass sie IP-Pakete für unterschiedliche Zielnetze durch den gleichen Tunnel schicken soll.

Der naheliegende Gedanke, das über Subnetting zu realisieren, funktioniert natürlich nicht, weil der IPsec-Tunnel auf beiden Seiten eine identische  Netzmaske verlangt.

Mit SoHo-Routern von NetGear, D-Link oder Zyxel kann man an diesem Punkt meist die Karten legen. Auf professionellen Routern, wie z.B. von Juniper / Netscreen, gibt es jedoch den "Trick", den jeweiligen VPN-Tunnel auf eine Netzwerk-Gruppe, statt ein einzelnes Netz zu binden. In diesem Fall prüfen die IPsec-Router nur, ob der Gruppen-Name auf beiden Seiten übereinstimmt, nicht jedoch die Gleichheit der darin enthaltenen Einzelnetze. In der Firewall des Dienstleisters brauchen jetzt  nur noch alle gewünschten Zielnetze eingetragen zu werden, am anderen Ende des Tunnels (in der Zentrale) enthält die Gruppe als einzigen Eitrag die Netzadresse des Dienstleisters.

Offline dummy

  • Newbie
  • *
  • Posts: 1
  • Karma: 0
Re: Routing über mehrere VPN-Tunnel hinweg (Transfer-Tunnel)
« Reply #1 on: Wednesday, 02.03.2005 21:07 »
na da wird wohl noch so mancher aus der Bastler-Fraktion ein langes Wochenende mit seinem Router verbringen dürfen!  ;D