Sie zeigen eine alte Version dieser Seite an. Zeigen Sie die aktuelle Version an.

Unterschiede anzeigen Seitenhistorie anzeigen

« Vorherige Version anzeigen Version 4 Aktuelle »


Description:

Bei einer Site-to-Site VPN-Verbindung existiert immer eine Seite, welche eine VPN-Verbindung aktiv aufbaut (Initiator) und eine Gegenseite, welche die Verbindung annimmt (Responder).

Zwar ist es auch möglich, dass bei Seiten versuchen, eine VPN-Verbindung aktiv aufzubauen. Dies führt in der Regel jedoch zu Problemen, da eine Verbindungsanfrage an eine Seite, die ebenfalls eine Verbindungsanfrage an die Gegenseite sendet, fehlschlägt.

Dieses Dokument beschreibt, wie Sie verhindern können, dass beide Seiten einer VPN-Verbindung gleichzeitig versuchen, eine Verbindung aktiv aufzubauen.


Requirements:


Scenario:

Eine Site-to-Site VPN-Verbindung soll in diesem Beispiel immer von der Filiale zur Zentrale aufgebaut werden.


Procedure:

1. Stellen Sie sicher, das in der VPN-Verbindungskonfiguration der Seite, welche die VPN-Verbindung annehmen soll, keine öffentliche IP-Adresse oder DNS-Name der aufbauenden Seite enthalten ist.

1.1 Öffnen Sie die Konfiguration des LANCOM Routers, welcher die VPN-Verbindung annehmen soll (in diesem Beispiel der Router in der Zentrale).

1.2 Wechseln Sie in das Menü

  • VPN → IKE/IPSec →  Verbindungs-Liste (bei IKEv1-Verbindungen) oder
  • VPN → IKEv2/IPSec →  Verbindungs-Liste (bei IKEv2-Verbindungen).

1.3 Öffnen Sie den Eintrag für die VPN-Verbindung in der Liste.

1.4 Stellen Sie sicher, dass eine Haltezeit "0" eingestellt und das Feld "Entferntes Gateway" leer ist.


2. Erstellen Sie auf dem Router, welcher die VPN-Verbindung annehmen soll (in diesem Beispiel der Router in der Zentrale), eine Firewall-Regel, welche verbietet, IP-Pakete zur VPN-Gegenseite zu senden, solange die VPN-Verbindung noch nicht besteht.

2.1 Öffnen Sie die Konfiguration des LANCOM Routers, welcher die VPN-Verbindung annehmen soll.

2.2 Wechseln Sie in das Menü Firewall/QoS → IPv4-Regeln → Aktions-Objekte.

2.3 Legen Sie ein neues Aktions-Objekt an.

2.4 Vergeben Sie einen Namen für das neue Objekt und klicken Sie auf der Registerkarte Aktionen auf die Schaltfläche Hinzufügen.

  • Als Bedingung müssen Sie die Optionen Wenn Verbinding nicht besteht und Für VPN-Route auswählen.
  • Die Paket-Aktion muss auf Zurückweisen eingestellt sein.

2.5 Klicken Sie auf OK um das Aktions-Objekt zu speichern und wechseln Sie in das Menü Firewall/QoS → IPv4-Regeln → Regeln.

2.6 Legen Sie eine neue Firewall-Regel an:

  • Vergeben Sie einen Namen für die Regel.
  • Als Priorität müssen Sie den Wert 9999 eingeben. Damit ist sichergestellt, dass diese Regel als Erstes vom LANCOM Router berücksichtigt wird.
  • Wählen Sie in der Registerkarte Aktionen das im Schritt 2.4 erstellte Aktions-Objekt aus.
  • Konfigurieren Sie in der Registerkarte Stationen als Verbindungs-Quelle alle Stationen und als Verbindungs-Ziel die VPN-Verbindung (Gegenstelle) zur Filiale.

2.7 Speichern Sie die Firewall-Regel und stellen Sie sicher, dass diese immer an der ersten Stelle in der Liste steht.

2.8 Schreiben Sie die Konfiguration in den LANCOM Router zurück.


  • Keine Stichwörter