Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Kompletter Traffic über Firewall via VPN Netgear FVS338

Mitglied: righter

righter (Level 1) - Jetzt verbinden

27.06.2008, aktualisiert 02.07.2008, 6878 Aufrufe, 4 Kommentare

Hallo zusammen

Ich habe 2 Netgear Router FVS338 mit denen ich ein VPN mache, was auch kein Problem ist.
Jedoch sollte der komplette Traffic übers VPN geschickt werden und auf der anderen Seite an eine Firewall geroutet werden.

Folgendes habe ich als Konfig versucht

Hauptstelle VPN 1:
LAN IP: 192.168.5.100
Netmak: 255.255.255.0

Nebenstelle VPN 2:
LAN IP: 193.134.5.142
Netmask: 255.255.255.240

Firewall (dient als Gateway für den Internetzugriff):
Ist am Router der Hauptstelle angeschlossen.
LAN IP: 192.168.5.101
Netmask: 255.255.255.0

VPN Konfig von Hauptstelle (Nebenstelle genau gleich einfach subnets verkehrt)
10b8741986c5e2b93b00d149b62f652c-config - Klicke auf das Bild, um es zu vergrößern

Gemäss dieser VPN Config sollte doch jeglicher Traffic von der Nebenstelle in den VPN Tunnel geschickt werden?!

Auf der Hauptstelle möchte ich dann ja den sämtlichen Traffic zur Firewall schicken:
Route 0.0.0.0 0.0.0.0 -> 192.168.5.101 mit einer Metric von 10
Dies ist auch keine Hexerei.

Damit jedoch die Nebenstelle erreichbar ist muss ich auch noch einen Route Eintrag für das externe Subnet machen:
Route 193.134.5.128 255.255.255.240 -> 192.168.5.100 mit einer Metric von 2

In meinen Augen müsste dies ja eigentlich funktionieren.
sobald ich jedoch die Route Einträge setzte, hauts mir den VPN Tunnel zusammen, wenn ich von der Firewall pingen möchte.
Nehme an, dass der Ping auf der Hauptstelle geloopt wird.

Nach etlichen Stunden finde ich leider keine Lösung.

Hat da jemand einen Tipp??

herzlichen dank, gruss righter
Mitglied: aqui
30.06.2008 um 17:58 Uhr
Nein, da begehst du einen Denkfehler. Der NetGear vesucht durch die Default Route 0.0.0.0 0.0.0.0 -> 192.168.5.101 ja nun alle Packete an den Firewall Router zu schicken, und dazu gehören natürlich auch seine IPsec Packete für das VPN. Das killt vermutlich deinen VPN Tunnel. Ist dumm und sollte nicht so sein aber durchaus ein üblicher Bug bei billigen Consumer Endgeräten wie es dein NetGear leider ist wo die Firmware nicht sauber implementiert ist.

Ist die 193.134.5.128 die WAN (DSL) Adresse des remoten Routers oder die des lokalen Netzwerkes am remoten Standort ??
Wenns letzteres ist, ist das sehr unglücklich gewählt, denn das ist ein öffentliches IP Netzwerk und kein privates IP Netz
http://de.wikipedia.org/wiki/Private_IP-Adresse
das man dafür generell verwenden sollte !!!

Diese IP Adresse gehört folgender Organisation: (Abfrage http://www.heise.de/netze/tools/whois-abfrage )

inetnum: 193.134.4.0 - 193.134.7.255
netname: KPSH
descr: Main Police Departement in Schaffhausen
descr: Schaffhausen, Switzerland
country: CH
admin-c: PB145-RIPE
tech-c: PB145-RIPE
status: ASSIGNED PI
mnt-by: CH-UNISOURCE-MNT
source: RIPE # Filtered

person: Peter Brunner
address: Kantonspolizei Schaffhausen
address: Beckenstube 1
address: CH-8201 Schaffhausen
address: Switzerland
phone: +41 52 624 2424
fax-no: +41 52 624 5070
nic-hdl: PB145-RIPE
source: RIPE # Filtered


Wie du selber siehst eine mehr als unglückliche, wenn nicht sehr brisante Wahl die schon sehr Nahe an Dummheit grenzt !!!
Es sei denn du gehörst der Kantonspolizei Schaffhausen, Schweiz an ??!!

Vermutlich hast du das Problem nicht wenn du für deinen lokalen Standort eine IP Adresse nach RFC 1918 auswählst wie es eigentlich sein sollte.
Damit bedient dein netGear dann keine öffentlichen IP Adressen die von der default Route erfasst werden !
Bitte warten ..
Mitglied: righter
01.07.2008 um 09:16 Uhr
hehe nein das mit den IP's ist schon korrekt, das müssen public IP's sein.

so wie es aussieht geht dies nicht, denn die IPSEC Pakete sollten ja mit einer tieferen metric zur gegenstelle geroutet werden können. nur beim netgear router gibt es einen error wenn ich den eintrag mit ziel ip der gegenstelle einrichten will.

muss doch wohl ein cisco her, welcher auch richtiges routing beherrscht.

trotzdem herzlichen dank
Bitte warten ..
Mitglied: aqui
01.07.2008 um 10:59 Uhr
Public müssen sie schon sein aber bestimmt NICHT von dem o.a. genannten Kontingent wenn du/ihr nicht wirklich selber die Polizei in der Schweiz seit. Nur dann ist die verwendung OK, sonst nicht !

Scheinbar greift die Metric in der Routingtabelle nicht wirklich, denn sonst sollte es klappen. Normalerweise hätte man sich die Route mit der Metrik 2 komplett sparen können denn diese Netze sind ja am Router selber dran !!!
Das kommt sehr häufig vor das solche Feinheiten bei der Implementierung der Firmware auf Consumersystemen nicht funktionieren. Auf einen Fix kann man dann auch meistens lange warten....
Mit dem Cisco sollte es klappen...auch wenn es damit etwas teuer wird aber ggf. wirst du bei eBay fündig.... Obwohl....ob die Polizei da einkaufen darf ??

Wenns das war bitte
https://www.administrator.de/index.php?faq=32
nicht vergessen !
Bitte warten ..
Mitglied: righter
02.07.2008 um 08:48 Uhr
ok werde es mit einem richtigen router versuchen.

herzlichen dank
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Netgear FVS338 - NAT VPN
gelöst Frage von MultitaskRouter & Routing9 Kommentare

Hallo, Situation: Netgear FVS338 in der Zentrale mit diversen VPN-Tunneln (IPSec) zu den Aussenstellen - funktioniert seit Jahren wunderbar. ...

Router & Routing
VPN - kompletter Traffic! - nur Intern?
Frage von ububehRouter & Routing4 Kommentare

Hallo Gemeinde nach paar Tagen Google-Recherche, weiß ich nicht mehr, nach was ich suchen soll. Ich hoffe, hier bin ...

DSL, VDSL

Netgear VPN Firewall FVS318 anschließen

gelöst Frage von dude94DSL, VDSL6 Kommentare

Hallo, ich habe von meiner Firma einen Netgear VPN Firewall FVS318 bekommen, um eine Verbindung ins Firmennetzwerk aufzubauen. Leider ...

LAN, WAN, Wireless

Probleme mit Speedport und NETGEAR ProSafe VPN Firewall FVS336G

gelöst Frage von ProtectedLAN, WAN, Wireless12 Kommentare

Hallo, ich habe ein Problem mit dem Speedport, von der Telekom und dem NETGEAR ProSafe VPN Firewall FVS336G. Ich ...

Neue Wissensbeiträge
Windows 10
Zero-Day-Lücke in Microsoft Edge
Information von kgborn vor 1 TagWindows 10

In Microsofts Edge-Browser klafft wohl eine nicht geschlossene (0-Day) Sicherheitslücke im Just In Time Compiler (JIT Compiler) für Javascript. ...

Sicherheit
Microsoft und Skype: Sicherheit
Information von kgborn vor 1 TagSicherheit

Die Tage gab es ja einige Berichte zur Sicherheit des Skype-Updaters. Der Updater von Skype läuft unter dem Konto ...

Datenschutz

Behörden ignorieren Sicherheitsbedenken gegenüber Windows 10

Information von Penny.Cilin vor 2 TagenDatenschutz8 Kommentare

Hallo, passend zum Thema Ablösung LIMUX in München ein Beitrag bei Heise (siehe Link folgend). Behörden ignorieren Sicherheitsbedenken gegenüber ...

Sicherheit
Information Security Hub Munich airport
Information von brammer vor 2 TagenSicherheit

Hallo, Neues Center für Cyber Kriminalität am Münchener Flughafen brammer

Heiß diskutierte Inhalte
DSL, VDSL
Mindestgeschwindigkeiten DSL Telekom
Frage von justlukasDSL, VDSL13 Kommentare

Hallo zusammen, Seit diesem Jahr habe ich Verständnisprobleme mit dem Verhalten der Telekom. Wir haben seit einem Jahr VDSL ...

Switche und Hubs
LANCOM-Switch: Probleme (no link) mit SFP-Modulen?
Frage von THETOBSwitche und Hubs10 Kommentare

Hi zusammen, ich habe folgendes Problem: Und zwar habe ich an einem Standort drei Switche verbaut - LANCOM GS-2326P+, ...

Firewall
RB2011 Firewall Rule eine bestimmte Mac oder IP Adresse nicht zu blockieren
Frage von lightmanFirewall10 Kommentare

Hallo liebes Forum mit ihren Spezialisten. Ich habe meine Firewall so konfiguriert das kein Endgerät ohne meine Speziellen Erlaubnis ...

Voice over IP
Vodafone IP Anlagenanschluss - TK-Anlage einrichten
Frage von BytedreherVoice over IP8 Kommentare

Moin Zusammen, wir hatten gestern bei uns die Umstellung auf den neuen IP Anschluss bei Vodafone. Vodafone IP Anlagenanschluss ...