Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

IPsec Zugang mit bintec R1202 - Kein Internet am Client nach Einwahl

Mitglied: ef8619

ef8619 (Level 1) - Jetzt verbinden

12.05.2013, aktualisiert 11:40 Uhr, 4914 Aufrufe, 6 Kommentare

Hallo,

wir haben im Geschäft einen bintec R1202. Auf dem Router sind zwei VPN-Zugänge eingerichtet - jeweils ein PPTP- und ein IPSec-Zugang (beides vorerst zum Testen). Ich muss vorweg sagen, dass ich mich mit dem Router noch nicht bis ins Detail auskenne, da er sehr viele Möglichkeiten bietet.

Nun ist es so, dass mit beiden Protokollen erfolgreich ein Tunnel aufgebaut werden kann (egal ob mit Windows oder Apple Endgeräten). Allerdings haben wir das Problem, dass wir nach den Einwahl über den IPSec Tunnel kein Internetzugang mehr am Client haben. Bei PPTP gibt es hingegen keinerlei Probleme.

Der Router verwendet die neueste Firmware Version.

Das sind die NAT-Schnittstellen:

d2bfbd753b9e57c0f8f4e3c74b72e3e6 - Klicke auf das Bild, um es zu vergrößern

Folgende Ports habe ich unter "Netzwerk -> NAT -> NAT-Konfiguration" für die Weiterleitung konfiguriert:

105c9244c4e01f4efc9d33e1898e811f - Klicke auf das Bild, um es zu vergrößern

Diese Regeln gelten für alle Ports am bintec, nicht nur für den WAN-Port.

Habt ihr vielleicht eine Idee, warum wir keinen Internetzugang nach der Einwahl mit IPSec, jedoch mit PPTP bekommen? Wenn ihr noch mehr Informationen braucht, bitte bescheid sagen.

EDIT: Hier ein Screenshot von der Seite, wenn man eine neue Route erstellen möchte (Menü: "Netzwerk -> Routen"):

3fa061bcd3ade25e0480ab410231e3f8 - Klicke auf das Bild, um es zu vergrößern

Viele Grüße
Mitglied: certifiedit.net
12.05.2013 um 11:13 Uhr
Hallo,

Ich nehme prinzipiell mal an, dass du die Route ins Internet durch die VPN legst. Da aber keine Rückroute aus dem Internet zu dir gelegt wurde wird es gekappt. Ähnlich wie eine Client to Lan VPN, bei der dein kompletter Traffic durchs VPN getunnelt werden soll. Schau mal, wie man das in der r1012 konfiguriert.

Das "schöne" an Funkwerk ist ja, dass man, selbst wenn man sich mit den UTMs gut auskannte mit den Routern
und den r10x fast direkt wieder von vorne anfangen musste.


Gruß
Bitte warten ..
Mitglied: ef8619
12.05.2013 um 11:41 Uhr
Hallo,

danke für die Antwort. Ich arbeite mich momentan erst noch in das Thema Routing & Co. ein und bin daher noch nicht sehr erfahren.

Ich habe in meinem ersten Post ein Bild vom Routing Menü hinzugefügt. Vielleicht kannst du mir ja einen Tipp geben, was ich eintragen müsste.
Bitte warten ..
Mitglied: certifiedit.net
12.05.2013 um 11:50 Uhr
Ich würde mir die o.g Bilder nochmals anschauen, so wie das für mich ausschaut laitest du einfach alles irgendwie durch den Tunnel. ;) Konfigurier das mal auf eure Netze entsprechend
Bitte warten ..
Mitglied: 108012
12.05.2013 um 14:04 Uhr
Hallo,

ich kann wes zwar nicht so gut erklären oder in Worte kleiden wie andere, aber ich versuche es mal und
hoffe dass Du es trotzdem verstehst!

- Bei dem verwenden von IPSec ist irgend wo in Deiner Konfiguration hinterlegt oder eingestellt
das der "gesamte" Netzwerkverkehr durch den Tunnel geleitet wird und wenn die Verbindung "steht"
oder zu Stande gekommen ist dann versucht natürlich Dein PC die Webseiten nur in dem Netzwerk zu öffnen
mit dem der VPN Tunnel besteht, aber die sind eben nur im Internet verfügbar und nicht dort!

- Bei Deinen PPTP Einstellungen wird das nicht der Fall sein und Du kannst ganz normal auch Webseiten
im Internet öffnen.

Gruß
Dobby
Bitte warten ..
Mitglied: ef8619
12.05.2013, aktualisiert um 16:50 Uhr
Ok,

ich glaube bei der Konfiguration brauche ich eure Hilfe.

Also, sowie wie mein Wissen zum Thema NAT reicht, habe ich das so verstanden: Der IPsec Client bekommt eine Adresse aus dem LAN des Routers zugewiesen, also z.b. 10.80.1.x mit 24 Bit Subnetzmaske, also 255.255.255.0, richtig? Damit scheint es so, also ob der IPsec Client direkt im lokalen Netz ist.

Wenn der Client nun also eine Anfrage an eine Adresse in einem externen Netz sendet, dann trägt der Router dies alles in seine NAT-Tabelle ein, damit er weiß, welcher Teilnehmer im lokalen Netz die Antwort bekommt. Wenn die Antwort dann eintrifft, wird in der NAT-Tabelle nachgeschaut, dass es die Adresse des IPsec-Clients war, die die Antwort bekommt. Nun versucht der Router die Antwort an diese Adresse im LAN weiterzureichen, dies gelingt allerdings nicht, da der IPsec Client ja eigentlich physikalisch garnicht an dieses Netz angeschlossen ist.

Das würde also bedeuten, dass der Router die Antwort an die WAN-Adresse des IPsec-Clients weiterreichen müsste oder? Damit würde also auch der gesamte Internetverkehr des Clients über den VPN-Router laufen und somit abhängig von dessen Bandbreite im WAN abhängig sein?

Nun habe ich beim bintec Router zwei Möglichkeiten für Portweiterleitungen: eingehende und ausgehende NAT-Verbindung. Ich würde so vorgehen, dass ich die drei oben im Screenshot gezeigten Portweiterleitungen für PPTP und IPsec erst einmal nur für das WAN-Interface am Router umstelle, sodass. Es handelt sich bei diese 3 Einträgen um die Art "eingehende NAT-Verbindung" für die entsprechenden Ports. Wenn ich diese Einträge entferne, bekomme ich garkeine VPN-Verbindung mehr (PPTP und IPsec).

Nun müsste ich doch ebenfalls noch 2 "ausgehende" Einträge für die IPsec Schnittstelle für Port 500 und 4500 für das UDP-Protokoll erstellen, aber so, dass die Antworten dann wieder zurück an die WAN-Adresse des IPsec Clients gehen?

Ich danke euch für eure Hilfe
Bitte warten ..
Mitglied: ef8619
17.05.2013 um 09:23 Uhr
UPDATE: Wie ich nun mit einem Kollegen herausgefunden habe, liegt es am DNS.

Wenn ich mich am Client per IPSec ins Firmennetz einwähle und danach die IP eines externen Server (z.B. die IP von cisco.com) anpinge, dann geht der Ping durch. Gebe ich den Namen ein, passiert nichts, d.h. die Namen werden nicht aufgelöst.

Ein Workaround hierfür ist, den DNS-Server des im Firmennetz vorhandenen VPN-Routers im Client für die IPSec-Verbindung einzutragen. Dann geht auch das Internet.

Allerdings ist dies keine Lösung auf Dauer, da wir auch iOS-Clients haben und man bei diesen keinen DNS einstellen kann.

Weiß vielleicht jemand Rat?
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Bintec R1202 mit mehreren externen IP
Frage von lupi102Router & Routing5 Kommentare

Hallo alle, ich habe an einem CompanyConnect einen bintec R1202, der auf mehreren externen IP lauschen soll. Hintergrund ist ...

Router & Routing

Mikrotik - Clients haben keinen Internet Zugang

gelöst Frage von 118080Router & Routing43 Kommentare

Moin :-) Erstmal ein paar Fakten: Modell: Mikrotik RB2011UiAS Konstellation: ISP <-> Zyxel SBG3300 (Bridged) <-> Mikrotik RB2011UiAS <-> ...

ISDN & Analoganschlüsse

Bintec RT3002 RAS Einwahl

Frage von thaenhusenISDN & Analoganschlüsse2 Kommentare

Hallo zusammen. Ich habe hier einen bintec RT3002 den wir für eine RAS-Einwahl (PPP) seit Jahren nutzen, da unser ...

LAN, WAN, Wireless

Bintec R1202 Wlan-Controller BRRP funktioniert nicht

Frage von westberlinerLAN, WAN, Wireless5 Kommentare

Hallo zusammen, hier wurde vor einiger Zeit 2 Bintec R1202 angeschafft und dazu etwa 20 AccessPoints. Der Händler hatte ...

Neue Wissensbeiträge
Server-Hardware
HP iLO ist gefährdet (iLO 4))
Tipp von AlFalcone vor 12 StundenServer-Hardware3 Kommentare

Gemäss Twitter und Heise gibt es eine Angriffsmöglichkeit auf iLO Quelle: iLO ist gefährdet

CMS
Erneut kritische Zero-Day-Lücke in Drupal
Tipp von Reini82 vor 21 StundenCMS

Laut einem Bericht auf t3n gibt es eine Schwere Sicherheitslücke in Drupal die auch schon ausgenutzt wird. Betroffen sind ...

Sicherheit

MikroTik-Router patchen, Schwachstelle wird ausgenutzt

Information von kgborn vor 1 TagSicherheit

Am 23. April 2018 wurde von Mikrotik ein Security Advisory herausgegeben, welches auf eine Schwachstelle im RouterOS hinwies. Mikrotik ...

Windows 10

Microcode-Updates KB4090007, KB4091663, KB4091664, KB4091666 für Windows 10

Information von kgborn vor 2 TagenWindows 101 Kommentar

Kurze Information für Administratoren von Windows 10-Systemen, die mit neueren Intel CPUs laufen. Microsoft hat zum 23. April 2018 ...

Heiß diskutierte Inhalte
Ausbildung
Wie gelingt ein guter Einstieg in die FiSi-Ausbildung? (Umschulung)
Frage von SiAnKoAusbildung30 Kommentare

Schönen guten Tag, ich bin SiAnKo und habe seit dem 1.04.2018 eine Umschulung als FiSi angefangen. Ich möchte natürlich ...

Windows Server
Alten DC entfernen
gelöst Frage von smartinoWindows Server27 Kommentare

Hallo zusammen, ich habe hier eine Umgebung übernommen und erstmal einen DCDIAG gemacht. Dabei fällt auf, daß eine ganze ...

Batch & Shell
OU an eine Variable übergeben
gelöst Frage von oesi1989Batch & Shell22 Kommentare

Hallo, ich würde gerne alle OUs an eine Variable übergeben und danach einen Teil per .remove entfernen. Das Anzeigen ...

Router & Routing
Subnetzmaske vergrößern
gelöst Frage von groovesurferRouter & Routing20 Kommentare

Hallo, hat jemand schonmal getestet was passiert, wenn man die Subnetzmaske bei laufendem Betrieb (wenn user im Netzwerk verbunden ...