snaper123
Goto Top

VPN Fragen

Hallo Leute,

ich bin absoluter VPN Newbie und hätte ein paar Fragen zu VPN, die ich nicht verstehe. Ich möchte es praktisch ausprobieren um es zu verstehen, mit einem einfachen VPN mit Windows-Bordmitteln und Internet-Direktverbindungen ohne Router sind mit klar und funktionieren, aber:

Ich habe den Router Linksys BEFSX41 an dem Rechner, auf den ich mich verbinden möchte. Der hat einen VPN-Endpunkt.
Was ist der Unterschied zwischen einem Endpunkt und einem VPN-Server?

Kann ich mit dem Gerät eine VPN-Verbindung zwischen dem und evt einem anderen (oder dem selben) Router aufbauen, ohne das erstmal Windows etc im Spiel ist, also das beide Geräte eine VPN-Verbindung aufbauen, und damit der eine Router im Netzwerk des anderen Routers ist, und ich dann z.B. per RDP auf den anderen REchner zugreifen kann? Oder brauche ich dafür einen anderen Router?

Wenn letzteres geht, geht es auch wenn beim "Server" der Router Linksys BEFSX41 angeschlossen ist und auf dem "Client" sowas wie NCP-Client läuft?

Es wäre super, wenn Ihr mit dazu helfen könntet, danke schon mal im Vorraus!

Content-Key: 117537

Url: https://administrator.de/contentid/117537

Ausgedruckt am: 29.03.2024 um 15:03 Uhr

Mitglied: aqui
aqui 05.06.2009, aktualisiert am 18.10.2012 um 18:38:21 Uhr
Goto Top
1.) Ein Endpunkt oder Tunnel Endpunkt ist in der Regel ein VPN Server !! Ist nur ein anderer Name dafür.

2.) Ja, das klappt problemlos wen beide Router VPN Router sind !!
Macht sogar auch mehr Sinn da du damit eine Netzwerk zu Netzwerk Kopplung realisierst und auf alle Geräte in beiden Netzen transparent zugreifen kannst als ob du lokal verbunden bist ! Abgesehen davon erspart es dir die Frickelei mit NAT Forwarding der VPN Protokolle.
ACHTUNG: Wichtig damit sich beide Router verstehen, ist die Verwendung eines gemeinsamen VPN Protokolls das gleich ist !! Welcher Routerhersteller es ist spielt keine Rolle ! VPN Verbindungen sind auch problemlos möglich mit unterschiedlichen Herstellern.
Wichtig ist allein das VPN Protokoll derer es viele gibt: PPTP, L2TP, IPsec ESP, IPsec AH, SSL usw. usw.
Ein Router der nur PPTP spricht kann keinen Router verstehen der nur IPsec spricht und umgekehrt...logisch !! (Ist wie bei Menschen !)
In der Regel wird hauptsächlich PPTP und IPsec (ESP) gemacht und es gibt gute Router (Draytek, LANCOM) und jede Menge freie Applikationen und SW wie Monowall, IPcop, DD-WRT, OpenWRT usw. die das ebenfalls supporten ! Meist sogar beide oder mehrere VPN Protokolle parallel.

Beispiele findest du u.a. hier:

VPN Einrichtung (PPTP) mit DSL Routern und DD-WRT Firmware

IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software

VPNs mit DD-WRT, pFsense oder OPNsense auf Basis von PPTP

Eine IPsec Erklärung hier:
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen

3.) Ja natürlich, das klappt problemlos wenn....
auch hier wie bei Punkt 2.) Client und Router die gleiche Sprache, sprich VPN Protokoll sprechen !!!
Das musst du also vorher prüfen !
Der BEFSX41 spricht vermutlich wie alle Linksys Produkte IPsec ESP so das auch freie Clients wie deiner oder der von Shrewsoft problemlos funktionieren:
http://www.shrew.net/support/wiki/HowtoLinksys
Ebenso andere VPN Router/FW (Monowall etc.) für eine Netz zu Netz Kopplung mit dem BEFSX41 die IPsec können !
Mitglied: snaper123
snaper123 05.06.2009 um 13:56:54 Uhr
Goto Top
ich danke Dir für diese schnelle und kompetente Hilfe!!!!

VIELEN DANK!
Mitglied: snaper123
snaper123 06.06.2009 um 13:47:46 Uhr
Goto Top
Hallo Nochmal,

ich muss leider noch mal nachfragen, bekomme es irgentwie net richtig hin. Also folgendes ist passiert:

Architektur:

Endpunkt 1 im "Testnetzwerk", auf das zugegriffen werden soll, hat aber auch ne dynamische ip, benutze dyndns.org
Endpunkt 2 NCP-Client Software, wechselnde Internet-IP.

VPN: IPSec

Details:

Endpunkt 1= Router Linksys BEFSX41
Einstellungen:
IP: 192.168.0.254

VPN-Einstellungen:
LocalSecGroup: Subnet: 192.168.0.0, Mask 255.255.255.0
RemoteSecGroup: IP: 192.168.0.55 (Das ist die IP die der PC 2 im VPN bekommt)
RemoteSecGate: Momentan zum Testen auf ANY, weil der PC an der anderen Seite ja ne wechselnde IP hat.
Encrypt: 3DES, MD5, IKE, PFS Enabled
Phase 1: MainMode, Proposal 1: 3DES, MD5, 1024b
Phase 2: 3DES, MD5, FPS ON, 1024 bit

Endpunkt 2 = PC mit NCP Secure Client Software.
Gateway: id.dyndns.org (momentan gebe ich zum Testen aber direkt die Internet-IP des Routers ein)
IKE-Richtlinien die selben wie oben, 3DES, MD5, MainMode, DH-Gruppe 2 (1024b)
Lokale Identität: IP-Adresse, nichts eingegeben (wofür das genau ist ist mir nicht klar, ähnliches habe ich auf dem Router garnicht eingegeben, aber in einem Tutorial wurde das auch leer gelassen)
IPSec-Adresszuweisung: IP Adresse manuel, 192.168.0.55
DNS: 192.168.0.254 (Der Router halt)
VPN-IP Netze: 192.168.0.0, Mask: 255.255.2550

Sooo, jetzt zum eigentlichem Problem:
Ich kann eine VPN-Verbindung erfolgreich aufbauen, ABER: ich kann keinen Computer im Netzwerk anpingen, z.B. nicht den Server, der auf 192.168.0.1 sitzt.
Der Router ist allerdings anpingbar vom 192.168.0.55 -PC mit NCP.

Firewall ist ausgeschaltet, zum Test auf dem Router und auf dem NCP-Rechner.
An den Verschlüsselungseinstelungen dürfte es doch eigentlich nicht liegen, weil die Verbindung doch zustande kommt, oder?

Für eine Hilfe wäre ich sehr dankbar!

Vielen Dank im Vorraus!
Mitglied: aqui
aqui 07.06.2009 um 01:07:17 Uhr
Goto Top
Arbeitet der NCP Client direkt im Internet (GSM, UMTS o.ä.) oder ist der auch hinter einem NAT Router ??

Wenn letzteres der Fall ist sind 2 Dinge zu beachten:
  • 1.) Das lokale Netz des Clients darf nicht 192.168.0.0 /24 sein ! VPN Netze müssen in unterschiedlichen IP Netzen liegen !
  • 2.) Der Router vor dem Client muss bei IPsec ein Port Forwarding UDP 500, UDP 4500 und das ESP protokoll auf die lokale IP des Clients haben um die NAT Firewall überwinden zu können !!

Ist der Client direkt am Internet entfällt das natürlich !

Hat der Linksys einen Syslog den du aktivieren kannst ???
Dann kannst du die Systemmeldungen mitloggen und siehst meistens sofort was los ist !!

Wenn du den Router pingen kannst ist das per se schon mal nicht nicht schlecht. Vermutlich ist das ganze doch eine FW Geschichte denn du musst Fremdnetze freigeben !

Ggf. solltest du den Phase 1 Mode mal auf Aggressive setzen !
Ist dann zwar nicht ganz so sicher aber er macht dann weniger Überprüfungen beim Tunnelaufbau !

Der BEFSX41 hat ein Ethernet Interface für den WAN/DSL Anschluss. Hast du da ein Modem dran und KEINEN Router wie es gehört ???
Du solltest das also erstmal wasserdicht mit einem lokalen Laboraufbau testen, was ja mit dem BEFSX41 problemlos geht !