6
Komplizierte VPN Einrichtung mit Linksys BEFSX41
Hallo Forum, hier geht es um die Einrichtung eines VPN Zugriffs via ISP Router mit Portforwarding > Linksys BEFSX41 > Zyxel NSA
Wir haben im Wohnhaus ein 'Hausnetz' quasi wie eine Standleitung von einem österreichischen Provider (sil.at).
Auf dem Router des Providers wurde vor kurzem ein Port Forwarding eingerichtet.
Die von aussen sichtbare IP ist statisch, sagen wir 55.55.55.55 und der Port 5555 ist für meine IP 192.168.0.55 gedacht/forwarded.
Ich hab nun meinen FirewallRouter Linksys BEFSX41 auf diese statische IP umgestellt.
Hinter dem Router verwende ich ein 10.0.0.X IP-Range.
Ich habe auch laut Linksys Handbuch eine 'IP-Sicherheitsrichtlinie auf Lokaler Computer' in den 'lokalen Sicherheitsrichtlinien' erstellt und zugewiesen.
Im VPN Setup des Routers habe ich folgende Einstellungen vorgenommen:
Local Secure Group: auf Subnet 10.0.0.0 / 255.255.255.0
Remote Secure Group: HOST (the same as Remote Security Gateway setting!)
Remote Security Gateway: FQDN 55.55.55.55:55
Bei den Remote Einträgen bin ich aber nicht sicher, ob ich das richtig gemacht habe.
Im VPN LOG kommt das:
2008-07-19 13:21:18 IKE[1] ERROR: Remote Security Gateway domain name problem
Ich bin mir nicht sicher, ob die Remote Secure Group nicht die IP meines Clients sein müsste, also 10.0.0.55 und unter Remote Security Gateway der von aussen sichtbare Teil mit Port 5555. Es gibt aber ausser FQDN keine Möglichkeiten, auch einen Port anzugeben. Wenn ich nur die IP angebe, weis er zwar nicht, wohin der Hausrouter forwarden soll, immerhin erhalte ich im VPN LOG dann:
2008-07-19 14:03:40 IKE[1] Tx >> MM_I1 : 55.55.55.55 SA
Mein Problem ist also etwas vielschichtig, weil ich erstens als VPN Ziel nicht einen normalen Windows Client hab sondern nur den Linksys Router an dem ein Zyxel Network Attached Storage aus dem 10.0.0.X Range hängt und zweitens, weil ich im Netz nur Anleitungen für Router zu Router oder Router zu WinClient gefunden habe.
Hat hier vielleicht eine Idee, wie ich das richtiger/besser machen könnte?
Danke
Tom
Wien
Auf dem Router des Providers wurde vor kurzem ein Port Forwarding eingerichtet.
Die von aussen sichtbare IP ist statisch, sagen wir 55.55.55.55 und der Port 5555 ist für meine IP 192.168.0.55 gedacht/forwarded.
Ich hab nun meinen FirewallRouter Linksys BEFSX41 auf diese statische IP umgestellt.
Hinter dem Router verwende ich ein 10.0.0.X IP-Range.
Ich habe auch laut Linksys Handbuch eine 'IP-Sicherheitsrichtlinie auf Lokaler Computer' in den 'lokalen Sicherheitsrichtlinien' erstellt und zugewiesen.
Im VPN Setup des Routers habe ich folgende Einstellungen vorgenommen:
Local Secure Group: auf Subnet 10.0.0.0 / 255.255.255.0
Remote Secure Group: HOST (the same as Remote Security Gateway setting!)
Remote Security Gateway: FQDN 55.55.55.55:55
Bei den Remote Einträgen bin ich aber nicht sicher, ob ich das richtig gemacht habe.
Im VPN LOG kommt das:
2008-07-19 13:21:18 IKE[1] ERROR: Remote Security Gateway domain name problem
Ich bin mir nicht sicher, ob die Remote Secure Group nicht die IP meines Clients sein müsste, also 10.0.0.55 und unter Remote Security Gateway der von aussen sichtbare Teil mit Port 5555. Es gibt aber ausser FQDN keine Möglichkeiten, auch einen Port anzugeben. Wenn ich nur die IP angebe, weis er zwar nicht, wohin der Hausrouter forwarden soll, immerhin erhalte ich im VPN LOG dann:
2008-07-19 14:03:40 IKE[1] Tx >> MM_I1 : 55.55.55.55 SA
Mein Problem ist also etwas vielschichtig, weil ich erstens als VPN Ziel nicht einen normalen Windows Client hab sondern nur den Linksys Router an dem ein Zyxel Network Attached Storage aus dem 10.0.0.X Range hängt und zweitens, weil ich im Netz nur Anleitungen für Router zu Router oder Router zu WinClient gefunden habe.
Hat hier vielleicht eine Idee, wie ich das richtiger/besser machen könnte?
Danke
Tom
Wien
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 92399
Url: https://administrator.de/contentid/92399
Printed on: April 20, 2024 at 04:04 o'clock
6 Comments
Latest comment
Die wichtigste Information lieferst du leider nicht 
Nämlich welches VPN Protokoll du benutzen willst und was genau du erreichen willst.
Vermutlich wohl ein VPN Dialin von remote auf den Router um einen Netzwerkzugriff auf dein Netz zu erlangen, was ja auch ein klassisches VPN Szenario ist, das überhaupt nicht kompliziert ist ??
Nach deinen Beschreibungen von ist dein Vorhaben aber vermutlich von vorn herein zum Scheitern verurteilt !
Es fängt damit an das dein Provider nur den Port 5555 forwardet, wie du ja selbst schreibst. Wobei du es noch nicht einmal für nötig hälst uns zu sagen für welches Protokoll UDP oder TCP er das macht.
So oder so benutzt kein einziges VPN Protokoll was derzeit existiert diesen Port egal ob UDP oder TCP ! Das ist schon das erste Hindernis !
Wenn man sich die Daten zum Linksys Router einmal genauer ansieht sieht man in den technischen Features das er nur IPsec als VPN Protokoll supportet.
Vermutlich dann also IPsec im ESP Modus. Damit das sauber funktioniert müssten mindestens 3 Protokolle bzw. Ports nämlich IKE mit UDP 500, NAT-Traversal mit UDP 4500 und der eigentliche Datenstrom der mit dem ESP Protokoll (Encapsulation Security Payload) mit der Protokollnummer 50 übertragen wird geforwardet werden von deinem Provider. Für das ESP Protokoll muss der Provider zudem VPN Passthrough supporten.
All das ist aber scheinbar nicht der Fall bei dir wenn nur Port 5555 (was auch immer) geforwardet wird.
Damit bekommst du kein einziges VPN Protokoll auf deinen Linksys Router !!
(Nebenbei: Mit remote Secure Group ist das remote lokale Netzwerk gemeint !)
Nämlich welches VPN Protokoll du benutzen willst und was genau du erreichen willst.Vermutlich wohl ein VPN Dialin von remote auf den Router um einen Netzwerkzugriff auf dein Netz zu erlangen, was ja auch ein klassisches VPN Szenario ist, das überhaupt nicht kompliziert ist ??
Nach deinen Beschreibungen von ist dein Vorhaben aber vermutlich von vorn herein zum Scheitern verurteilt !
Es fängt damit an das dein Provider nur den Port 5555 forwardet, wie du ja selbst schreibst. Wobei du es noch nicht einmal für nötig hälst uns zu sagen für welches Protokoll UDP oder TCP er das macht.
So oder so benutzt kein einziges VPN Protokoll was derzeit existiert diesen Port egal ob UDP oder TCP ! Das ist schon das erste Hindernis !
Wenn man sich die Daten zum Linksys Router einmal genauer ansieht sieht man in den technischen Features das er nur IPsec als VPN Protokoll supportet.
Vermutlich dann also IPsec im ESP Modus. Damit das sauber funktioniert müssten mindestens 3 Protokolle bzw. Ports nämlich IKE mit UDP 500, NAT-Traversal mit UDP 4500 und der eigentliche Datenstrom der mit dem ESP Protokoll (Encapsulation Security Payload) mit der Protokollnummer 50 übertragen wird geforwardet werden von deinem Provider. Für das ESP Protokoll muss der Provider zudem VPN Passthrough supporten.
All das ist aber scheinbar nicht der Fall bei dir wenn nur Port 5555 (was auch immer) geforwardet wird.
Damit bekommst du kein einziges VPN Protokoll auf deinen Linksys Router !!
(Nebenbei: Mit remote Secure Group ist das remote lokale Netzwerk gemeint !)
Danke für die Antwort!
Dass ich so viele Informationen unabsichtlich unterschlagen habe, bestätigt, dass es zumindest für mich doch kompliziert ist und ich mich weniger auskenne als ich dachte
Nichts desto Trotz möchte ich versuchen, dass es mir gelingt
Zunächst einmal muss ich gestehen, dass ich bei den IPs und Ports nicht die tatsächlichen angegeben habe, um bei Fehlkonfiguration nicht gleich die ersten Angreifer anzulocken - sorry wenn das vielleicht etwas naiv ist!
Tatsächlich sind 3 interne Ports je Wohnungsanschluß im Haus reserviert.
Meine sind:
Port 5902 auf IP 192.168.0.52
Port 5903 auf IP 192.168.0.53
Port 5904 auf IP 192.168.0.54
Wie sich diese Tatsache auf die Art und Weise der Konfiguration auswirkt bleibt mir zunächst noch unerschlossen - Sorry again!
Aus reiner Unwissenheit hielt ich es nicht mal für nötig ob mein Provider die Ports für UDP oder TCP forwarded - sorry again: Ich weis es noch immer nicht.
Also beschreibe ich mein Szenario noch etwas genauer:
Ich bin viel unterwegs und habe in meinem Home-Office viele Daten auf diesem Zyxel-NSA liegen, der wiederum an dem Linksys Router angeschloßen ist. Dieser Router kann folgende 3 Protokolle:
IPSec Pass-Through (Diese Option habe ich gewählt)
PPPoE Pass-Through (hab ich disabled)
PPTP Pass-Through (hab ich disabled)
Man kann auch alle drei enablen
Für Unterwegs hab ich ein Mobiles UMTS Breitband Modem mit dem ich online gehe. Ich erhalte bei jeder Einwahl eine dynamische IP (!).
Nun möchte ich, wenn diese Verbindung steht eine VPN Verbindung mit meinem Linksys Router herstellen und damit auf meinen Fileserver (NSA) zugreifen. Im Home-Office gibt es (noch) keinen PC auf den ich zugreifen möchte, das kann sich aber ändern.
Beim Router hab ich als Verschlüsselung 3DES (es ginge auch DES und disabled) und bei Authentifizierung SHA (es ginge auch MD5 und disabled) gewählt.
Bei Key Management habe ich Auto IKE gewählt (es gibt auch die Option Manual), PFS enabled, bei Pre-shared Key habe ich einen 24 stelligen eingegeben und bei Key Lifetime steht 3600 Sekunden.
Auf die Gefahr hinauf, wieder zu wenig Informationen angegeben zu haben, belasse ich es jetzt mal hierbei und hoffe, dass mir doch noch geholfen werden kann. Vielen 1000Dank schon mal im Vorhinein!!!!
Tom
Dass ich so viele Informationen unabsichtlich unterschlagen habe, bestätigt, dass es zumindest für mich doch kompliziert ist und ich mich weniger auskenne als ich dachte
Nichts desto Trotz möchte ich versuchen, dass es mir gelingt Zunächst einmal muss ich gestehen, dass ich bei den IPs und Ports nicht die tatsächlichen angegeben habe, um bei Fehlkonfiguration nicht gleich die ersten Angreifer anzulocken - sorry wenn das vielleicht etwas naiv ist!
Tatsächlich sind 3 interne Ports je Wohnungsanschluß im Haus reserviert.
Meine sind:
Port 5902 auf IP 192.168.0.52
Port 5903 auf IP 192.168.0.53
Port 5904 auf IP 192.168.0.54
Wie sich diese Tatsache auf die Art und Weise der Konfiguration auswirkt bleibt mir zunächst noch unerschlossen - Sorry again!
Aus reiner Unwissenheit hielt ich es nicht mal für nötig
ob mein Provider die Ports für UDP oder TCP forwarded - sorry again: Ich weis es noch immer nicht.Also beschreibe ich mein Szenario noch etwas genauer:
Ich bin viel unterwegs und habe in meinem Home-Office viele Daten auf diesem Zyxel-NSA liegen, der wiederum an dem Linksys Router angeschloßen ist. Dieser Router kann folgende 3 Protokolle:
IPSec Pass-Through (Diese Option habe ich gewählt)
PPPoE Pass-Through (hab ich disabled)
PPTP Pass-Through (hab ich disabled)
Man kann auch alle drei enablen
Für Unterwegs hab ich ein Mobiles UMTS Breitband Modem mit dem ich online gehe. Ich erhalte bei jeder Einwahl eine dynamische IP (!).
Nun möchte ich, wenn diese Verbindung steht eine VPN Verbindung mit meinem Linksys Router herstellen und damit auf meinen Fileserver (NSA) zugreifen. Im Home-Office gibt es (noch) keinen PC auf den ich zugreifen möchte, das kann sich aber ändern.
Beim Router hab ich als Verschlüsselung 3DES (es ginge auch DES und disabled) und bei Authentifizierung SHA (es ginge auch MD5 und disabled) gewählt.
Bei Key Management habe ich Auto IKE gewählt (es gibt auch die Option Manual), PFS enabled, bei Pre-shared Key habe ich einen 24 stelligen eingegeben und bei Key Lifetime steht 3600 Sekunden.
Auf die Gefahr hinauf, wieder zu wenig Informationen angegeben zu haben, belasse ich es jetzt mal hierbei und hoffe, dass mir doch noch geholfen werden kann. Vielen 1000Dank schon mal im Vorhinein!!!!
Tom
Zur Ergänzung meiner Fragen weitere Infos:
Welche IPs gehören nun beim Router i.d. VPN Konfiguration eingetragen:
und was muss man beim Notebook dafür konfigurieren?
Hab ich mit IPsec das richtige gewählt oder wäre ich mit PPPoE oder PPTP besser/sicherer dran?
### Einstellungen des Routers: ###
NAT = enabled
Dynamic Routing = enabled
(Transmit / Receive RIP Version RIP1)
Advanced Routing = optional 20 Routes
- Einstellungen des Routers
- 'Netzwerk-Schema'
Welche IPs gehören nun beim Router i.d. VPN Konfiguration eingetragen:
- Local Secure Group: ? (Optionen: IP-Adr., Subnet, IP-Range)
- Remote Secure Group: ? (Optionen: IP-Adr., Subnet, IP-Range, Host, Any)
- Remote Security Gateway: ? (Optionen: IP-Adr., FQDN,Any)
und was muss man beim Notebook dafür konfigurieren?
Hab ich mit IPsec das richtige gewählt oder wäre ich mit PPPoE oder PPTP besser/sicherer dran?
### Einstellungen des Routers: ###
NAT = enabled
Dynamic Routing = enabled
(Transmit / Receive RIP Version RIP1)
Advanced Routing = optional 20 Routes
Routing Table Entry List:
Destination LAN IP Subnet Mask Default Gateway Hop Count Interface
0.0.0.0 0.0.0.0 192.168.0.1 1 WAN
10.0.0.0 255.255.255.0 0.0.0.0 1 LAN
192.168.0.0 255.255.255.0 0.0.0.0 1 WAN
### 'Netzwerk-Schema' ###
________________
| |
| NOTEBOOK |
| USB |
|________|_______|
________|_______
| | |
| USB |
| HUAWEI |
| 3G UMTS MODEM |
| Dynamische IP |
| XX.XX.XX.XX |
|________________|
________|_______
( )
( INTERNET )
(________________)
________|_______
| | |
| 86.58.17.123 |
| | |
| Port Forward |
| Port: 5902__ |
| | |
| HAUSROUTER | |
| | |
| | |
| 192.168.0.52 | |
|______________|_|
________|_____|_
| | |
| V |
| 192.168.0.52 |
| |
| Mein Router |
| Linksys |
| BEFSX41 |
| |
| 10.0.0.1 |
|________________|
|_ _ _ _ _ _ _ _
________|_______ _____|_____
| | | |
| 10.0.0.100 | | 10.0.0.60 |
| Zyxel NSA-220 | | PRINTER |
| (Network | |___________|
| Storage) |
|________________|
Da muss noch ein Fehler in deiner Zeichnung sein ! Der Hausrouter und dein Router koennen niemals ein und dieselbe IP Adresse im gleichen Netzwerk (.52) haben...das muss falsch sein !
So oder so hast du aber keinerlei Chance das zum Laufen zu bringen solange der Hausrouter nur diese sinnlosen 590x Ports forwardet.
Wie du ja oben schreibst benutzt du IPsec als VPN Protokoll und das benoetigt zwingend die folgenden Ports:
UDP 500 (IKE)
UDP 4500 (NAT-T)
ESP Protokoll (Protokoll Nummer 50)
Solange du diese 3 Ports bzw. Protokolle nicht vom Hausrouter auf deinen Linksys forwardest ist eine VPN Konfiguration aussichtslos und von vorn herein zum Scheitern verurteilt.
Du musst erst diese Ports weiterleiten, erst dann wird eine VPN Verbindung funktionieren, sonst niemals !
So oder so hast du aber keinerlei Chance das zum Laufen zu bringen solange der Hausrouter nur diese sinnlosen 590x Ports forwardet.
Wie du ja oben schreibst benutzt du IPsec als VPN Protokoll und das benoetigt zwingend die folgenden Ports:
UDP 500 (IKE)
UDP 4500 (NAT-T)
ESP Protokoll (Protokoll Nummer 50)
Solange du diese 3 Ports bzw. Protokolle nicht vom Hausrouter auf deinen Linksys forwardest ist eine VPN Konfiguration aussichtslos und von vorn herein zum Scheitern verurteilt.
Du musst erst diese Ports weiterleiten, erst dann wird eine VPN Verbindung funktionieren, sonst niemals !
Ich würde gerne auch noch andere Meinungen dazu lesen.
Vielen Dank
Tom
Vielen Dank
Tom
Sorry, ich möchte das jetzt nochmal mit einer veränderten Fragestellung pushen:
Unabhängig von den vorherigen Fragen, sprich: angenommen ich bestehe nicht auf IPsec als Protokoll.
Welche Alternativen hätte ich mit der bestehenden Hardware (wie weiter oben im Netzwerkschema aufgezeichnet) eine sichere Verbindung herzustellen (sicher im Sinne von Authentifizierung und Datenübertragung)
Das 3G Huawei Modem ist mittlerweile per DynDNS registriert und hat somit einen Hostnamen!
Vielen Dank
Tom
Unabhängig von den vorherigen Fragen, sprich: angenommen ich bestehe nicht auf IPsec als Protokoll.
Welche Alternativen hätte ich mit der bestehenden Hardware (wie weiter oben im Netzwerkschema aufgezeichnet) eine sichere Verbindung herzustellen (sicher im Sinne von Authentifizierung und Datenübertragung)
Das 3G Huawei Modem ist mittlerweile per DynDNS registriert und hat somit einen Hostnamen!
Vielen Dank
Tom
