VPN Konnektion

[Ronny2]

Hallo ,

Vielen Dank !!

nun steht bei CFGTCP 2 :
Route destination : *DFTROUTE
Subnet mask : *NONE
Next hop : 10.20.0.95 (=VPN-router site A)
Prefered interfac : *NONE

mit diese funktioniert es nicht . Ist das normal ?

Denken sie wann ich
10.20.1.0
255.255.255.0
10.20.0.95
*none
hinzufug , das es ok ist ?

[Pikachu]

Welche Teilnetzmaske besitzt die Internet-Adresse 10.20.0.1 eurer AS/400 unter CFGTCP Auswahl 1?

[Ronny2]

Steht nun auf 255.0.0.0 .

Soll ich das ändern in 255.255.255.0 ?

[Pikachu]

Diese Teilnetzmaske 255.0.0.0 besagt, daß alle IP-Adresse 10.x.x.x zum selben Netzwerk gehören. Somit versucht eure AS/400 auch, Pakete an 10.20.1.x auf Site A direkt zuzustellen.

Die Teilnetzmaske eurer AS/400 darf jedoch nicht einfach so geändert werden, da diese bei jedem Netzwerkgerät eures Netzwerks auf Site A eingetragen sein kann! Hier gibt es eine Beschreibung über die Teilnetzmaske.

Am besten, du gibst allen Netzwerkgeräten auf Site B IP-Adressen aus einem anderen Bereich, z.B. 192.168.0.x, sowie die Teilnetzmaske 255.255.255.0, damit sie einem anderen Netzwerk angehören.

Auf der AS/400 mußt du dann nichts ändern, da die Standardroute (*DFTROUTE) bereits eingetragen ist.

[Ronny2]

Vielen Dank,
ich hoffe das es funktioniert.


Wann ich das doch ändere : ich meine 255.0.0.0 nach 255.255.255.0
Was kann dann passieren ?
Die Geräte mit subnetmask 255.0.0.0. funktionieren dann nicht mehr ?

[Pikachu]

Vielen Dank,
Wann ich das doch ändere : ich meine 255.0.0.0 nach 255.255.255.0
Was kann dann passieren ?
Die Geräte mit subnetmask 255.0.0.0. funktionieren dann nicht mehr ?

Die Geräte auf Site A mit IP-Adresse 10.20.0.x und Teilnetzmaske 255.0.0.0 sollten weiterhin auf die AS/400 auf Site A mit IP-Adresse 10.20.0.1 und Teilnetzmaske 255.255.255.0 zugreifen können und die AS/400 kann auch Daten zurücksenden. Aber du solltest ihre Teilnetzmaske auch auf 255.255.255.0 ändern, damit wieder alles richtig zusammenpaßt.

Bei den Geräten auf Site B mit den IP-Adressen 10.20.1.x mußt du die Teilnetzmaske auf 255.255.255.0 ändern, damit sie eure AS/400 auf Site A erreichen können.

[Ronny2]

ok vielen Dank !
ich versuche das und hoffe das es klappt !

[Fuerchau]

SO einfach ist das nun leider wieder nicht.
Erst mal ein paar Fragen:
Welcher Server (IP) ist der Router ?
Welcher Server (IP) stellt das VPN her ?

Dazu muss man folgendes verstehen:
Die Netzwerkkarte ist wie eine Tür zu sehen, die zu einem Verteiler (Router) führt.
Diese bekommt ihre Adresse (IP) unter der genau diese Karte erreichbar ist.
Die Maske ist zu sehen wie:
Alle IP's, die über die Maske gelegt werden, gehören zum gleichen Gang, also, aus der Tür raus, auf den Gang, alle IP's der Maske sond Zimmer, die von diesem Gang erreichbar sind.

Nun gibt's IP's, die nun mal nicht im selben Gang liegen. Dafür definiert man eine Tür (Router mit IP), die selber weiß, über welche Gänge (Netze) die anderen Türen erreichbar sind.

Hat die AS/400 selber nur eine Karte mit einer IP, so kann natürlich über diese IP nur genau 1 Router angegeben werden, der nun die Verteilung übernimmt.

Wird nun das VPN über eine 2. Karte mit eigener IP in der AS/400 aufgebaut, so kann natürlich für dieses Netz eine Route über die 2. IP definiert werden.
Mit anderen Worten, es gibt nun 2 Türen für jeden Gang (Netz).

Wird das VPN aber von einem anderen Server aufgebaut, hat dieser ja nun 2 IP's.
1 IP des eigenen Netzes, die 2.IP des VPN.

Da die AS/400 nun aber nur eine Tür hat, kann sie selber zwar den VPN-Router erreichen, aber nicht die dahinter liegenden IP's.

Nun werden also alle unbekannten Anfragen über die Route an den Router der 1. Tür geleitet.
Folglich muss dieser wissen, an welche IP er denn nun die Anfragen für das VPN weiterleiten soll.

Nochmal zur Erklärung:
In der Route wird die IP des Zielrechners mit der zu verwendenden Tür (eigene IP) eingetragen.
Es kann nur eine Default-Route geben.

Für das 2. Teilnetz ist also als HOP der VPN-Router gezielt einzutragen, der selber natürlich seine Routen über das VPN kennen muss:
*DFTROUTE maske 255.0.0.0 an Standardgateway über eigene IP
10.20.1.0 Maske 255.255.255.0 an VPN-Gateway über eigene IP

Die Maske entscheidet, welches Teilnetz an das Gateway geleitet werden.
Die *DFTROUTE wird immer als letzte Entscheidung verwendet.

Die Gegenseite benötigt natürlich auch den Rückweg, also
10.20.0.0 Maske 255.255.255.0 an VPN-Gateway über eigene IP

[Pikachu]

Kleiner Nachtrag:

Bei euren beiden VPN-Routern mußt du bei den IP-Adressen 10.20.0.x und 10.20.1.x auch die Netzwerkmaske in 255.255.255.0 ändern, damit diese Router die Datenpakete für das jeweils andere Netzwerk auch durch den VPN-Tunnel senden.

[Ronny2]

Danke,

Morgen mache ich ein Test , und ich geben ihnen Bescheid.

vielen Dank in jeden Fals
Ronny

[Ronny2]

Hallo,

Wir haben Heute Testen gemacht und das funktioniert,

Vielen Dank,
Ronny

[Ronny2]

Hallo ,
wir haben Heute Testen gemacht ,
und alles funktioniert !

danke