sfriedrichs
Goto Top

VPN-Verbindung mit mehreren Laptops

Hallo!

Ich habe einen VPN-Router Netgear 318V3, bei dem sich drei externe Notebooks, die hinter drei verschiedenen XY-NAT-Routern (Zyxel, Telekom) stecken, einwählen sollen.

Mein erster Gedanke war, eine IKE- und eine VPN-Regel einzurichten. Bei VPN-Policy/Traffic Selector/Remote ID habe ich 'ANY' eingestellt und den VPN-Endpoint auf 0.0.0.0 gelassen. Alle Clients erhielten die gleichen Identifikationsangaben bei (Local/Remote).

Kann es sein, dass ich drei IKE-/VPN-Regeln einrichten muss? Also für jeden Endpunkt eine?
Wie verhält es sich mit den Idenititätsbezeichnungen? Darf ich beim Router dreimal die gleiche 'Local Identity' verwenden?

Was trägt man beim VPN-Endpoint ein, wenn die IP des Notebooks vom NAT-Router per DHCP zugewiesen wird?

Grüße
Sven

Content-Key: 60834

Url: https://administrator.de/contentid/60834

Ausgedruckt am: 28.03.2024 um 20:03 Uhr

Mitglied: Alfredus
Alfredus 08.06.2007 um 07:44:50 Uhr
Goto Top
Ich habe keine Ahnung, was du beim Netgear 318V3 eintragen musst. Ich vermute mal, dass dein VPN nicht funktioniert. Schau mal ob die die anderen Router(Zyxel usw.) zum IPSec-PassThrough bewegen kannst.

Probiere als erstes ob du im lokalen Netzwerk (ohnen NAT-Geraffel) die VPN-Tunnel zum kreisen bekommst. Gerade billige Hardware(Standard-Router der Telkos) ist bei VPNs ein Quell ewiger Freude.

Ggf. auf der Client-Seite die VPN-Client-Software von Netgear(ProSafe o.ä.) einsetzen.

Gruß
Alfredus
Mitglied: erikro
erikro 08.06.2007 um 10:31:07 Uhr
Goto Top
Hallo zusammen,

Kann es sein, dass ich drei IKE-/VPN-Regeln
einrichten muss? Also für jeden Endpunkt
eine?
Wie verhält es sich mit den
Idenititätsbezeichnungen? Darf ich beim
Router dreimal die gleiche 'Local
Identity' verwenden?

Dur brauchst pro Verbindung einen Tunnel, sofern die Notebooks gleichzeitig zugreifen sollen. Die Identitäten sollten verschieden sein allein schon deshalb, damit man sie unterscheiden kann. Hilft bei Problemen ungemein. ;)

Was trägt man beim VPN-Endpoint ein,
wenn die IP des Notebooks vom NAT-Router per
DHCP zugewiesen wird?

Bei Notebooks, die ja naturgemäß wandern, würde ich immer NAT-T einsetzen, sofern nicht sehr hohe Sicherheit erforderlich ist. Dann klappt das in der Regel auch im Hotel. Werden die Notebooks allerdings nur zu Hause eingesetzt, dann sollten die Heimrouter VPN-Pass-Through können. Eventuell muss dann dort noch ein wenig konfiguriert werden.

Liebe Grüße

Erik
Mitglied: sfriedrichs
sfriedrichs 08.06.2007 um 11:13:53 Uhr
Goto Top
Hallo Erik, vielen Dank für die Antwort.

Die Sache mit mehreren Tunneln habe ich jetzt verstanden.

Gruß
Sven
Mitglied: aqui
aqui 08.06.2007 um 17:00:13 Uhr
Goto Top
Leider lässt du uns im Unklaren was für ein VPN Protokoll du denn für deine Verbindung nutzen willst. Der Router wird ja sicher mehrere supporten.
Wie du sicher weisst gibt es unter anderem PPTP, IPsec(ESP), IPsec(AH), L2TP, SSL etc.
Jedes dieser VPN Verfahren verhält sich unterschiedlich und erfordert unterschiedliche Einstellungen an den Routern !
Wie soll man dir also eine qualifizierte Antwort geben ??? (Tröste dich, der Fehler wird von 10 Threads hier 9 mal gemacht und mittlerweile gewöhnt man sich ans Nachfragen....)

Aus der Tatsache das du von IKE (Internet Key Exchange Protocol) sprichst liegt die Vermutung nahe das deine Clients IPsec(ESP) benutzen.

Auf dem NetGear selber wo die Clients sich einwählen, musst du gar nichts machen, denn der Router selber stellt ja den VPN Konzentrator zur Verfügung. Er hat auf dem DSL Interface damit ja eine öffentliche Adresse ohne NAT Beschränkung.
Das Einzige ist hier vielleicht einen DynDNS Client auf dem Router ! zu aktivieren wenn du eine PPPoE Verbindung benutzt und keine feste IP vom Provider an diesem Router besitzt. Die ist für die Clients notwendig um den VPN Router also deinen NetGear IP seitig zu finden und nicht immer wechselnde Adressen konfigurieren zu müssen. Die öffentliche DSL Adresse des VPN Routers ist die Ziel IP der VPN Clients ! Bei PPPoE wird die aber auch dynamisch zugeteilt vom Provider, kann sich also folglich ändern. Deshalb der DynDNS Client auf dem Router !

Viel wichtiger sind deine Clients bzw. die Router hinter denen sie betrieben werden. Wichtig ist das alle Router eine VPN Passthrough oder IPsec Passthrough Funktion besitzen ! Ohne dieses Feature des Routers ist ein VPN Verbindungsaufbau unmöglich.
IPsec(ESP) benutzt ESP als Transportprotokoll (Encapsulation Security Payload, IP Protokoll Nummer 50) Dies muss in die Port Forwarding Liste der Router eingetragen sein. Meist wird das aber automatisch durch die VPN Passthrough oder IPsec Passthrough Funktion schon erledigt. Das ist nur eine Hälfte...

Das Zweite ist das du für IKE den Port UDP 500 öffnen musst und an die lokale IP Adresse des Client forwarden musst. Also auch das muss auf jedem Client Router bei IPsec(ESP) in die PFW Liste !
Es sollte dir klar sein das du durch die Verwendung einer PFW Liste auf diesen Routern eine statische IP Adresse im lokalen Netz angeben musst die der Client hat.
Aus diesem Grunde verbietet es sich von selbst diesen Clients dynamische DHCP Adressen vom Router vergeben zu lassen. Denn sollte die sich durch DHCP mal ändern ists vorbei mit deiner VPN Session denn die PFW Liste wird weiter alles auf die statisch angegebene IP Adresse forwarden.

Beachtest du das alles sollte es problemlos klappen mit deinen 3 Clients und dem NetGear sofern die NetGear SW stabil genug ist und dir keinen Streich spielt face-wink