VPN Konnektion

[Ronny2]

Hallo,
Wir habe eine site A wo ein AS400 steht. Dort arbeiten Leute mit Client access auf der AS400. Auch verschiedene Drücker.
AS400 hat ip-Adresse 10.20.0.1 , alle andere Geräte (PC+Drücker) haben ein IP-Adresse das anfangt mit 10.20.0.x .
Bis hier alles OK.
Nun haben wir ein VPN-Konnektion aufgesetz zwischen unsere Firewall in site A nach site B .
In site B benutzen wir Adressen 10.20.1.x .
Aber wann ich von site B aus mit Client Access nach site A gehe dann gibt es ein Problem : ich habe ein IP-Adresse 10.20.1.x und wollte gerne auf der AS400 in site A arbeiten (der hat IP 10.20.0.1)
(VPN-Konnektion zwischen beite Firewalls funktioniert)
Aber AS400 nimmt mich nich an dar ich eine Adresse 10.20.1.x habe , und nicht eine Adresse 10.20.0.x

Ist das möglich ? Muss ich vielleicht etwas einstellen in unsere AS400 das er andere IP-Adressen auch annimmt ?

Danke für Hilfe

[holgerscherer]

Hallo,
Wir habe eine site A wo ein AS400 steht.

Hallo Ronny,
das dürfte ein Routing-Problem sein. Die Anfragen aus Site B kommen ja von einer IP-Adresse 10.20.1.xxx, und die AS400 muss wissen, wohin sie die Antworten schicken soll.
Du brauchst also einen Leitweg:
CFGTCP, 2
einen neuen Leitweg hinzufügen mit Ziel 10.20.1.0, Maske 255.255.255.0, nächster Hop = Adresse des VPN-Routers auf Site A.

Dann sollte es gehen.

-h

[Ronny2]

Hallo ,

Vielen Dank !!

nun steht bei CFGTCP 2 :
Route destination : *DFTROUTE
Subnet mask : *NONE
Next hop : 10.20.0.95 (=VPN-router site A)
Prefered interfac : *NONE

mit diese funktioniert es nicht . Ist das normal ?

Denken sie wann ich
10.20.1.0
255.255.255.0
10.20.0.95
*none
hinzufug , das es ok ist ?

[Pikachu]

Welche Teilnetzmaske besitzt die Internet-Adresse 10.20.0.1 eurer AS/400 unter CFGTCP Auswahl 1?

[Ronny2]

Steht nun auf 255.0.0.0 .

Soll ich das ändern in 255.255.255.0 ?

[Pikachu]

Diese Teilnetzmaske 255.0.0.0 besagt, daß alle IP-Adresse 10.x.x.x zum selben Netzwerk gehören. Somit versucht eure AS/400 auch, Pakete an 10.20.1.x auf Site A direkt zuzustellen.

Die Teilnetzmaske eurer AS/400 darf jedoch nicht einfach so geändert werden, da diese bei jedem Netzwerkgerät eures Netzwerks auf Site A eingetragen sein kann! Hier gibt es eine Beschreibung über die Teilnetzmaske.

Am besten, du gibst allen Netzwerkgeräten auf Site B IP-Adressen aus einem anderen Bereich, z.B. 192.168.0.x, sowie die Teilnetzmaske 255.255.255.0, damit sie einem anderen Netzwerk angehören.

Auf der AS/400 mußt du dann nichts ändern, da die Standardroute (*DFTROUTE) bereits eingetragen ist.

[Ronny2]

Vielen Dank,
ich hoffe das es funktioniert.


Wann ich das doch ändere : ich meine 255.0.0.0 nach 255.255.255.0
Was kann dann passieren ?
Die Geräte mit subnetmask 255.0.0.0. funktionieren dann nicht mehr ?

[Pikachu]

Vielen Dank,
Wann ich das doch ändere : ich meine 255.0.0.0 nach 255.255.255.0
Was kann dann passieren ?
Die Geräte mit subnetmask 255.0.0.0. funktionieren dann nicht mehr ?

Die Geräte auf Site A mit IP-Adresse 10.20.0.x und Teilnetzmaske 255.0.0.0 sollten weiterhin auf die AS/400 auf Site A mit IP-Adresse 10.20.0.1 und Teilnetzmaske 255.255.255.0 zugreifen können und die AS/400 kann auch Daten zurücksenden. Aber du solltest ihre Teilnetzmaske auch auf 255.255.255.0 ändern, damit wieder alles richtig zusammenpaßt.

Bei den Geräten auf Site B mit den IP-Adressen 10.20.1.x mußt du die Teilnetzmaske auf 255.255.255.0 ändern, damit sie eure AS/400 auf Site A erreichen können.

[Ronny2]

ok vielen Dank !
ich versuche das und hoffe das es klappt !

[Fuerchau]

SO einfach ist das nun leider wieder nicht.
Erst mal ein paar Fragen:
Welcher Server (IP) ist der Router ?
Welcher Server (IP) stellt das VPN her ?

Dazu muss man folgendes verstehen:
Die Netzwerkkarte ist wie eine Tür zu sehen, die zu einem Verteiler (Router) führt.
Diese bekommt ihre Adresse (IP) unter der genau diese Karte erreichbar ist.
Die Maske ist zu sehen wie:
Alle IP's, die über die Maske gelegt werden, gehören zum gleichen Gang, also, aus der Tür raus, auf den Gang, alle IP's der Maske sond Zimmer, die von diesem Gang erreichbar sind.

Nun gibt's IP's, die nun mal nicht im selben Gang liegen. Dafür definiert man eine Tür (Router mit IP), die selber weiß, über welche Gänge (Netze) die anderen Türen erreichbar sind.

Hat die AS/400 selber nur eine Karte mit einer IP, so kann natürlich über diese IP nur genau 1 Router angegeben werden, der nun die Verteilung übernimmt.

Wird nun das VPN über eine 2. Karte mit eigener IP in der AS/400 aufgebaut, so kann natürlich für dieses Netz eine Route über die 2. IP definiert werden.
Mit anderen Worten, es gibt nun 2 Türen für jeden Gang (Netz).

Wird das VPN aber von einem anderen Server aufgebaut, hat dieser ja nun 2 IP's.
1 IP des eigenen Netzes, die 2.IP des VPN.

Da die AS/400 nun aber nur eine Tür hat, kann sie selber zwar den VPN-Router erreichen, aber nicht die dahinter liegenden IP's.

Nun werden also alle unbekannten Anfragen über die Route an den Router der 1. Tür geleitet.
Folglich muss dieser wissen, an welche IP er denn nun die Anfragen für das VPN weiterleiten soll.

Nochmal zur Erklärung:
In der Route wird die IP des Zielrechners mit der zu verwendenden Tür (eigene IP) eingetragen.
Es kann nur eine Default-Route geben.

Für das 2. Teilnetz ist also als HOP der VPN-Router gezielt einzutragen, der selber natürlich seine Routen über das VPN kennen muss:
*DFTROUTE maske 255.0.0.0 an Standardgateway über eigene IP
10.20.1.0 Maske 255.255.255.0 an VPN-Gateway über eigene IP

Die Maske entscheidet, welches Teilnetz an das Gateway geleitet werden.
Die *DFTROUTE wird immer als letzte Entscheidung verwendet.

Die Gegenseite benötigt natürlich auch den Rückweg, also
10.20.0.0 Maske 255.255.255.0 an VPN-Gateway über eigene IP

[Pikachu]

Kleiner Nachtrag:

Bei euren beiden VPN-Routern mußt du bei den IP-Adressen 10.20.0.x und 10.20.1.x auch die Netzwerkmaske in 255.255.255.0 ändern, damit diese Router die Datenpakete für das jeweils andere Netzwerk auch durch den VPN-Tunnel senden.

[Ronny2]

Danke,

Morgen mache ich ein Test , und ich geben ihnen Bescheid.

vielen Dank in jeden Fals
Ronny