Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Komplizierte VPN Einrichtung mit Linksys BEFSX41

Mitglied: mmmtom

mmmtom (Level 1) - Jetzt verbinden

19.07.2008, aktualisiert 31.07.2008, 7016 Aufrufe, 6 Kommentare

Hallo Forum, hier geht es um die Einrichtung eines VPN Zugriffs via ISP Router mit Portforwarding > Linksys BEFSX41 > Zyxel NSA

Wir haben im Wohnhaus ein 'Hausnetz' quasi wie eine Standleitung von einem österreichischen Provider (sil.at).

Auf dem Router des Providers wurde vor kurzem ein Port Forwarding eingerichtet.
Die von aussen sichtbare IP ist statisch, sagen wir 55.55.55.55 und der Port 5555 ist für meine IP 192.168.0.55 gedacht/forwarded.
Ich hab nun meinen FirewallRouter Linksys BEFSX41 auf diese statische IP umgestellt.
Hinter dem Router verwende ich ein 10.0.0.X IP-Range.

Ich habe auch laut Linksys Handbuch eine 'IP-Sicherheitsrichtlinie auf Lokaler Computer' in den 'lokalen Sicherheitsrichtlinien' erstellt und zugewiesen.

Im VPN Setup des Routers habe ich folgende Einstellungen vorgenommen:

Local Secure Group: auf Subnet 10.0.0.0 / 255.255.255.0

Remote Secure Group: HOST (the same as Remote Security Gateway setting!)

Remote Security Gateway: FQDN 55.55.55.55:55

Bei den Remote Einträgen bin ich aber nicht sicher, ob ich das richtig gemacht habe.
Im VPN LOG kommt das:
2008-07-19 13:21:18 IKE[1] ERROR: Remote Security Gateway domain name problem

Ich bin mir nicht sicher, ob die Remote Secure Group nicht die IP meines Clients sein müsste, also 10.0.0.55 und unter Remote Security Gateway der von aussen sichtbare Teil mit Port 5555. Es gibt aber ausser FQDN keine Möglichkeiten, auch einen Port anzugeben. Wenn ich nur die IP angebe, weis er zwar nicht, wohin der Hausrouter forwarden soll, immerhin erhalte ich im VPN LOG dann:
2008-07-19 14:03:40 IKE[1] Tx >> MM_I1 : 55.55.55.55 SA

Mein Problem ist also etwas vielschichtig, weil ich erstens als VPN Ziel nicht einen normalen Windows Client hab sondern nur den Linksys Router an dem ein Zyxel Network Attached Storage aus dem 10.0.0.X Range hängt und zweitens, weil ich im Netz nur Anleitungen für Router zu Router oder Router zu WinClient gefunden habe.

Hat hier vielleicht eine Idee, wie ich das richtiger/besser machen könnte?
Danke
Tom
Wien
Mitglied: aqui
19.07.2008 um 15:13 Uhr
Die wichtigste Information lieferst du leider nicht Nämlich welches VPN Protokoll du benutzen willst und was genau du erreichen willst.
Vermutlich wohl ein VPN Dialin von remote auf den Router um einen Netzwerkzugriff auf dein Netz zu erlangen, was ja auch ein klassisches VPN Szenario ist, das überhaupt nicht kompliziert ist ??

Nach deinen Beschreibungen von ist dein Vorhaben aber vermutlich von vorn herein zum Scheitern verurteilt !
Es fängt damit an das dein Provider nur den Port 5555 forwardet, wie du ja selbst schreibst. Wobei du es noch nicht einmal für nötig hälst uns zu sagen für welches Protokoll UDP oder TCP er das macht.
So oder so benutzt kein einziges VPN Protokoll was derzeit existiert diesen Port egal ob UDP oder TCP ! Das ist schon das erste Hindernis !

Wenn man sich die Daten zum Linksys Router einmal genauer ansieht sieht man in den technischen Features das er nur IPsec als VPN Protokoll supportet.
Vermutlich dann also IPsec im ESP Modus. Damit das sauber funktioniert müssten mindestens 3 Protokolle bzw. Ports nämlich IKE mit UDP 500, NAT-Traversal mit UDP 4500 und der eigentliche Datenstrom der mit dem ESP Protokoll (Encapsulation Security Payload) mit der Protokollnummer 50 übertragen wird geforwardet werden von deinem Provider. Für das ESP Protokoll muss der Provider zudem VPN Passthrough supporten.

All das ist aber scheinbar nicht der Fall bei dir wenn nur Port 5555 (was auch immer) geforwardet wird.
Damit bekommst du kein einziges VPN Protokoll auf deinen Linksys Router !!

(Nebenbei: Mit remote Secure Group ist das remote lokale Netzwerk gemeint !)
Bitte warten ..
Mitglied: mmmtom
20.07.2008 um 10:59 Uhr
Danke für die Antwort!

Dass ich so viele Informationen unabsichtlich unterschlagen habe, bestätigt, dass es zumindest für mich doch kompliziert ist und ich mich weniger auskenne als ich dachte Nichts desto Trotz möchte ich versuchen, dass es mir gelingt

Zunächst einmal muss ich gestehen, dass ich bei den IPs und Ports nicht die tatsächlichen angegeben habe, um bei Fehlkonfiguration nicht gleich die ersten Angreifer anzulocken - sorry wenn das vielleicht etwas naiv ist!

Tatsächlich sind 3 interne Ports je Wohnungsanschluß im Haus reserviert.
Meine sind:
Port 5902 auf IP 192.168.0.52
Port 5903 auf IP 192.168.0.53
Port 5904 auf IP 192.168.0.54

Wie sich diese Tatsache auf die Art und Weise der Konfiguration auswirkt bleibt mir zunächst noch unerschlossen - Sorry again!

Aus reiner Unwissenheit hielt ich es nicht mal für nötig ob mein Provider die Ports für UDP oder TCP forwarded - sorry again: Ich weis es noch immer nicht.

Also beschreibe ich mein Szenario noch etwas genauer:

Ich bin viel unterwegs und habe in meinem Home-Office viele Daten auf diesem Zyxel-NSA liegen, der wiederum an dem Linksys Router angeschloßen ist. Dieser Router kann folgende 3 Protokolle:
IPSec Pass-Through (Diese Option habe ich gewählt)
PPPoE Pass-Through (hab ich disabled)
PPTP Pass-Through (hab ich disabled)
Man kann auch alle drei enablen

Für Unterwegs hab ich ein Mobiles UMTS Breitband Modem mit dem ich online gehe. Ich erhalte bei jeder Einwahl eine dynamische IP (!).
Nun möchte ich, wenn diese Verbindung steht eine VPN Verbindung mit meinem Linksys Router herstellen und damit auf meinen Fileserver (NSA) zugreifen. Im Home-Office gibt es (noch) keinen PC auf den ich zugreifen möchte, das kann sich aber ändern.

Beim Router hab ich als Verschlüsselung 3DES (es ginge auch DES und disabled) und bei Authentifizierung SHA (es ginge auch MD5 und disabled) gewählt.
Bei Key Management habe ich Auto IKE gewählt (es gibt auch die Option Manual), PFS enabled, bei Pre-shared Key habe ich einen 24 stelligen eingegeben und bei Key Lifetime steht 3600 Sekunden.

Auf die Gefahr hinauf, wieder zu wenig Informationen angegeben zu haben, belasse ich es jetzt mal hierbei und hoffe, dass mir doch noch geholfen werden kann. Vielen 1000Dank schon mal im Vorhinein!!!!
Tom
Bitte warten ..
Mitglied: mmmtom
20.07.2008 um 14:03 Uhr
Zur Ergänzung meiner Fragen weitere Infos:
  • Einstellungen des Routers
  • 'Netzwerk-Schema'

Welche IPs gehören nun beim Router i.d. VPN Konfiguration eingetragen:
  • Local Secure Group: ? (Optionen: IP-Adr., Subnet, IP-Range)
  • Remote Secure Group: ? (Optionen: IP-Adr., Subnet, IP-Range, Host, Any)
  • Remote Security Gateway: ? (Optionen: IP-Adr., FQDN,Any)

und was muss man beim Notebook dafür konfigurieren?

Hab ich mit IPsec das richtige gewählt oder wäre ich mit PPPoE oder PPTP besser/sicherer dran?

### Einstellungen des Routers: ###
NAT = enabled
Dynamic Routing = enabled
(Transmit / Receive RIP Version RIP1)
Advanced Routing = optional 20 Routes

01.
 
02.
 
03.
Routing Table Entry List: 
04.
Destination LAN IP    Subnet Mask	Default Gateway   Hop Count   Interface 
05.
0.0.0.0               0.0.0.0         192.168.0.1      1          WAN 
06.
10.0.0.0              255.255.255.0   0.0.0.0          1          LAN 
07.
192.168.0.0           255.255.255.0   0.0.0.0          1          WAN 
08.
 
09.
### 'Netzwerk-Schema' ### 
10.
 ________________ 
11.
|                | 
12.
|  NOTEBOOK      | 
13.
|       USB      | 
14.
|________|_______| 
15.
 ________|_______ 
16.
|        |       | 
17.
|       USB      | 
18.
|  HUAWEI        | 
19.
|  3G UMTS MODEM | 
20.
|  Dynamische IP | 
21.
|  XX.XX.XX.XX   | 
22.
|________________| 
23.
 ________|_______ 
24.
(                ) 
25.
(   INTERNET     ) 
26.
(________________) 
27.
 ________|_______ 
28.
|        |       | 
29.
|  86.58.17.123  | 
30.
|        |       | 
31.
|  Port Forward  | 
32.
|  Port: 5902__  | 
33.
|              | | 
34.
|  HAUSROUTER  | | 
35.
|              | | 
36.
|              | | 
37.
| 192.168.0.52 | | 
38.
|______________|_| 
39.
 ________|_____|_ 
40.
|              | | 
41.
|              V | 
42.
| 192.168.0.52   | 
43.
|                | 
44.
|  Mein Router   | 
45.
|   Linksys      | 
46.
|   BEFSX41      | 
47.
|                | 
48.
| 10.0.0.1       | 
49.
|________________| 
50.
         |_ _ _ _ _ _ _ _ 
51.
 ________|_______   _____|_____ 
52.
|                | |           | 
53.
| 10.0.0.100     | | 10.0.0.60 | 
54.
| Zyxel NSA-220  | | PRINTER   | 
55.
|  (Network      | |___________| 
56.
|     Storage)   | 
57.
|________________| 
58.
 
59.
 
Bitte warten ..
Mitglied: aqui
20.07.2008 um 18:32 Uhr
Da muss noch ein Fehler in deiner Zeichnung sein ! Der Hausrouter und dein Router koennen niemals ein und dieselbe IP Adresse im gleichen Netzwerk (.52) haben...das muss falsch sein !

So oder so hast du aber keinerlei Chance das zum Laufen zu bringen solange der Hausrouter nur diese sinnlosen 590x Ports forwardet.

Wie du ja oben schreibst benutzt du IPsec als VPN Protokoll und das benoetigt zwingend die folgenden Ports:
UDP 500 (IKE)
UDP 4500 (NAT-T)
ESP Protokoll (Protokoll Nummer 50)

Solange du diese 3 Ports bzw. Protokolle nicht vom Hausrouter auf deinen Linksys forwardest ist eine VPN Konfiguration aussichtslos und von vorn herein zum Scheitern verurteilt.

Du musst erst diese Ports weiterleiten, erst dann wird eine VPN Verbindung funktionieren, sonst niemals !
Bitte warten ..
Mitglied: mmmtom
22.07.2008 um 14:00 Uhr
Ich würde gerne auch noch andere Meinungen dazu lesen.

Vielen Dank
Tom
Bitte warten ..
Mitglied: mmmtom
31.07.2008 um 17:34 Uhr
Sorry, ich möchte das jetzt nochmal mit einer veränderten Fragestellung pushen:

Unabhängig von den vorherigen Fragen, sprich: angenommen ich bestehe nicht auf IPsec als Protokoll.

Welche Alternativen hätte ich mit der bestehenden Hardware (wie weiter oben im Netzwerkschema aufgezeichnet) eine sichere Verbindung herzustellen (sicher im Sinne von Authentifizierung und Datenübertragung)

Das 3G Huawei Modem ist mittlerweile per DynDNS registriert und hat somit einen Hostnamen!

Vielen Dank
Tom
Bitte warten ..
Ähnliche Inhalte
Router & Routing
VPN mit zwei Linksys WRT54GL
Frage von Haegi75Router & Routing50 Kommentare

Hallo ich habe folgendes Problem: Gerne möchte ich meine Ferienhaussteuerung (Loxone) von ausserhalb steuern. Leider habe ich bei Standort ...

Sicherheitsgrundlagen

Sicherheitsbedenken bei Einrichtung einer VPN im Unternehmen

Frage von AlexBerlinSicherheitsgrundlagen11 Kommentare

Hallo liebe Administratoren, folgendes Problem: In unserem Unternehmen (Aufbauhersteller von Geld- und Werttransporter) gibt es viele Außendienstmitarbeiter, welche ihre ...

Router & Routing

Einrichtung einer VPN verbindung

gelöst Frage von SmilasRouter & Routing7 Kommentare

Hallo zusammen, ich bin etwas neu im Bereich der IT und stehe nun vor dem Problem, dass ich ein ...

LAN, WAN, Wireless

VPN IPSec mit Linksys Router funktioniert nicht

gelöst Frage von knubbieLAN, WAN, Wireless5 Kommentare

Hallo Liebes Forum, ich habe ein Netzwerk mit einem Linksys WRV200 Router. Der Router hat die aktuelle Firmware Version. ...

Neue Wissensbeiträge
Administrator.de Feedback
Update der Seite: Alles zentriert
Information von Frank vor 35 MinutenAdministrator.de Feedback4 Kommentare

Hallo User, die größte Änderung von Release 5.8 ist das Zentrieren der Webseite (auf großen Bildschirmen) und ein "Welcome"-Teaser ...

Humor (lol)

WhatsApp-Nachrichten endlich auch per Bluetooth versendbar

Information von BassFishFox vor 17 StundenHumor (lol)4 Kommentare

Genau darauf habe ich gewartet! ;-) Der beliebte Messaging-Dienst WhatsApp erhält eine praktische neue Funktion: Ab dem nächsten Update ...

Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 1 TagGoogle Android3 Kommentare

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Sicherheit

Intel gibt neue Spectre V2-Microcode-Updates frei (20.02.2018)

Information von kgborn vor 1 TagSicherheit

Intel hat zum 20. Februar 2018 weitere Microcode-Updates für OEMs freigegeben, um Systeme mit neueren Prozessoren gegen die Spectre ...

Heiß diskutierte Inhalte
Server-Hardware
Welche Rolle spielt Design bei Enterprise IT Hardware?
Frage von ApolloXServer-Hardware17 Kommentare

Ich arbeite für einen internationalen Elektronikhersteller in der Forschung und meine Aufgabe ist es, Feedback von Nutzern in Hinsicht ...

Windows Netzwerk
WSUS4 und Windows 10 Updates automatisch installieren
Frage von sammy65Windows Netzwerk15 Kommentare

Hallo miteinander, ich habe mit einen neuen WSUS Server aufgesetzt Server 2016 darauf einen aktuellen WSUS. Grund, wir stellen ...

Switche und Hubs
Cisco SG350X-48 AdminIP in anderes VLAN
Frage von lcer00Switche und Hubs14 Kommentare

Hallo zusammen, ich habe ein Problem mir einem Cisco SG350X-48 bei der Erstinstallation wurde eine IP 192.168.0.254 (Default VLAN ...

Speicherkarten
Vergessliche USB-Sticks?
Frage von hanheikSpeicherkarten14 Kommentare

Ich habe in den letzten Tagen 500 USB-Sticks mit Bilddateien bespielt. Obwohl ich die Dateien mit größter Sorgfalt kopiert ...