Benutzer-Werkzeuge

Webseiten-Werkzeuge


iap-vpn

IAP mit VPN zu Controller

IAP-Konfiguration

Bei der Einrichtung von VPN-Verbindungen von einem OmniAccess Wireless (OAW) Instant Access Point (IAP) zu einem OAW-Controller treten einige Herausforderungen auf, die in folgender Beschreibung gelöst werden sollen.

Zielszenario: Ein IAP-Cluster wird per Aruba IPSec an einen zentralen Controller angeschlossen. Es sollen nur bestimmte Verbindungen durch den Tunnel geroutet werden.

Für die Einrichtung ist auf dem IAP ein VPN einzurichten. Dieses geht komfortabel über den integrierten Wizzard, der unter „Mehr → VPN“ zu finden ist.

Im nun folgenden Fenster wird der Aruba IPSec ausgewählt. Dies ermöglicht eine VPN Verbindung auf Zertifikatbasis des Access Points gegen den Controller.

Die öffentliche IP-Adresse ist hier als Ziel des Tunnels zu verwenden.

Bei den Routing-Optionen, im nächsten Schritt, ist zu beachten, dass als Gateway die Public-IP des Controller zu verwenden ist!

Für den IAP ist die Einrichtung des VPN damit abgeschlossen.


Controller Einstellungen

Auf dem Controller ist die MAC-Adresse des IAPs in der Whitelist zu hinterlegen. Welches Profil hinterlegt ist, ist nicht relevant, da das Profil nicht für die Konfiguration herangezogen wird.

Außerdem ist unter dem Punkt „ADVANCED SERVICES → VPN Services“ ist ein IP-Address-Pool für die IAPs zu hinterlegen. Dieser Pool kann abhängig von unterschiedlichen Gruppen angepasst werden. In unserem Beispiel werden andere IP-Addressen für VIA-Clients und für IAPs verwendet.

Um eine Konfiguration des IAPs aus dem dahinterliegenden Netz zu ermöglichen, ist nun noch eine IP-Adresse im Netz des VPN-Pools einzurichten.

Durch diese IP-Addresse ermögliche ich die Erreichbarkeit des IAPs aus dem internen Netz des Controllers. Hat der Controller in diesem Segment keine IP-Addresse, ist keine Route und kein Gateway für die Erreichbarkeit der Tunnel-IP-Addresse des IAPs vorhanden. Des Weiteren ist darauf zu achten, dass eine Route in dieses Netz besteht.

Bei einem DMZ-Konstrukt muss weiterhin beachtet werden, dass ein Inter-VLAN-Routing in den IP-Netzen der DMZ ermöglicht wird.

iap-vpn.txt · Zuletzt geändert: 2016/02/25 11:00 von michael-neesen