Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Site-to-site VPN, beidseitig hinter NAT

Mitglied: Mr.correct

Mr.correct (Level 1) - Jetzt verbinden

06.07.2010, aktualisiert 18.10.2012, 12286 Aufrufe, 10 Kommentare

Moin Leute,

ich habe folgendes Problem:

Ich moechte ein Site-to-Site-VPN ueber 2 Router, die jeweils wiederum ueber einen NAT-Router im Internet haengen, aufbauen. Ich habe schon ein wenig gegoogelt und bin auf Begriffe wie Port-Forwarding und NAT-Traversal gestossen, allerdings muesste ich bei ersterem die Konfiguration des NAT-Routers aendern, was ich moeglichst vermeiden will, und beim 2. blicke ich ehrlich gesagt noch nicht ganz durch ...

Bin fuer jeden Tipp dankbar

Gruesse

Matthias
Mitglied: Arch-Stanton
06.07.2010 um 09:14 Uhr
dann nimm doch zwei VPN-fähige Router wie z.N. Lancom oder Draytek und stelle zwischen diesen das VPN her. Wozu dann noch ein vorgeschalteter Router?

Gruß, Arch Stanton
Bitte warten ..
Mitglied: brammer
06.07.2010 um 09:27 Uhr
Hallo,

vermutlich wirst du ohne Konfiguratiosnändeurng auf beiden Routern nicht auskommen.
Dazu wäre es aber gut wenn du uns verrätst um welche Router es sich handelt.
Außerdem könnte man je nach IP Adressierung auch ohne ein NAT auskommen, um wieviele Geräte handelt es sich den?

brammer
Bitte warten ..
Mitglied: dog
06.07.2010 um 10:32 Uhr
Geht nicht.
Jedenfalls nicht wenn nicht mind. ein Router Port-Forwarding macht.

Die einzige Möglichkeit für sowas ist über Firewall Hole Punching (also Drittanbieter-VPN wie Hamachi)
Bitte warten ..
Mitglied: Mr.correct
06.07.2010 um 10:49 Uhr
Naja, ich habe halt schon beispielsweise 2 bestehende Netzwerke, die aber nicht komplett per VPN verbunden werden sollen. Es sollen nur 2 Clients, die aber selbst keine VPN-Verbindung aufbauen koennen, verbunden werden. Daher die Router-hinter-Router-Konfi.

Wenns ohne Konfiguration (Port-Forwarding) nicht geht, ists auch ok, haette fuer mich nur einiges deutlich leichter gemacht ..

Vielleicht hat ja noch jemand ne Idee ...

Danke im Voraus!

Gruesse

Matthias

edit: Zu deiner Antwort: Wuerde die Konfiguration denn mit Port-Forwarding auf einer Seite schon sicher funktionieren oder wie geht man in diesem Fall vor?
Bitte warten ..
Mitglied: aqui
06.07.2010, aktualisiert 18.10.2012
Bei den Clients gehts ohne Port Forwarding wenn du als VPN Protokoll PPTP nutzt und wenn der Router davor VPN Passthrough supportet.
Serverseitig musst du immer zwangsweise Port Forwarding machen, sonst können die VPN Pakete die NAT Firewall des Routers nicht überwinden um an den dahinterliegenden VPN Server zu gelangen...logisch !
https://www.administrator.de/wissen/vpns-einrichten-mit-pptp-117700.html ...
Je nach verwendetem VPN Protokoll sind das unterschiedliche UDP oder TCP Ports und eigenständige IP Protokolle wie ESP bei IPsec mit der IP Protokollnummer 50 oder GRE (Prot.Nr. 47) bei PPTP.
Am einfachsten ist es du verwendest OpenVPN, denn das benutzt nur einen UDP Port (default 1194) den man serverseitig forwarden muss. Das ist sehr einfach zu implementieren.
Weitere Details dazu findest du hier:
https://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ...
Für andere VPN Protokolle analog hier:
https://www.administrator.de/wissen/vpns-einrichten-mit-pptp-117700.html
https://www.administrator.de/wissen/vpns-mit-dd-wrt%2c-m0n0wall-oder-pfs ...
https://www.administrator.de/wissen/ipsec-vpn-auf-m0n0wall-oder-pfsense- ...
https://www.administrator.de/wissen/vpn-einrichtung-%28pptp%29-mit-dsl-r ...
Such dir das schönste aus....
Bitte warten ..
Mitglied: Mr.correct
06.07.2010 um 11:51 Uhr
Nochmal zum durch den Kopf gehen lassen: Wie schon gesagt, ich kann auf den Clients kein VPN direkt einrichten, weil auf SPS Windows-Anwendungen eher schlecht laufen .. Also vllt doch nicht ganz so simpel, da waer ich auch drauf gekommen ;)

Trotzdem danke
Bitte warten ..
Mitglied: aqui
06.07.2010 um 12:05 Uhr
Doch es ist ganz simpel: 2 billige Linksys WRT54 Router, DD-WRT drauf flashen und PPTP VPN nach o.a. Tutorial einrichten, fertig !
Oder... 2 billige Linksys WRT54 Router DD-WRT drauf flashen und OpenVPN nach o.a. Tutorial einrichten, fertig !
Oder... 2 kostenlose Pfsense oder Monowalls installieren, PPTP oder IPsec VPN einrichten, fertig !
Oder...wenn du keine Lust zum Installieren hast 2 fertige VPN Router von der Stange kaufen z.B. Draytek oder FritzBox oder... und VPN damit mit 3 Mausklicks im Setup einrichten, fertig !
Was soll an solcher Banalinstallation denn "...nicht ganz so simpel" sein ??
Einfacher gehts ja nun wirklich nicht, oder ?
Bitte warten ..
Mitglied: Mr.correct
06.07.2010 um 13:21 Uhr
OK, ich glaube wir haben aneinander vorbei geredet .. Ich wollte mit meiner urspruenglichen Frage eigentlich nur wissen, ob es eine Moeglichkeit gibt, den geschilderten Aufbau zu realisieren ohne an der Routerkonfiguration der bereits bestehenden Router etwas zu aendern, weil ich nicht wuesste, wie. Aber wie dog und auch du geschrieben haben, geht das wohl nicht, ist eigentlich auch logisch, da gebe ich dir Recht. Wie ich ein (funktionierendes) VPN im Normalfall einrichte, ist mir durchaus klar.
Bitte warten ..
Mitglied: aqui
06.07.2010 um 15:35 Uhr
In jedem DSL Router ist eine NAT Firewall (NAT = Network Adress Translation) die eigehende Connection Requests von außen blockt. Das ist der tiefere Sinn einer solchen Firewall.
NAT lässt nur Sessions passieren, die von innen schon nach außen aufgebaut wurden aber niemals eingehende neue Sessions.
Aufgrund dieser Tatsache kann ja nun eine eingehende VPN Session an so einem Router niemals an ein dahinter liegendes System weitergeleitet werden OHNE ein entsprechendes Port Forwarding was in die NAT Firewall ein entsprechendes Loch bohrt.
Wenn dir durchaus klar ist wie man (funktionierende) VPNs im Normafalle einrichtet dann solltest du eigentlich diesen simplen Mechanismus jeglichen NAT Routers selber kennen !! Das ist Grundlage eines jeglichen Netzes und hat ja unmittelbar immer etwas mit VPNs zu tun. In sofern ist dein Thread unverständlich...
Deshalb gilt, um es mal wieder zu wiederholen, immer die goldenen Regel VPNs niemals auf Systemen hinter NAT Firewalls einzurichten sondern immer auf den Routern oder FWs selber.
VPN Router kosten heutzutage nicht viel mehr als ein simpler DSL Router ohne VPN. Außerdem gibt es zig kostenfreie und gute Lösungen wie du an den o.a. Tutorials ja selber sehen kannst !

Wenns das denn war bitte
https://www.administrator.de/index.php?faq=32
nicht vergessen !
Bitte warten ..
Mitglied: Mr.correct
07.07.2010 um 09:19 Uhr
Hm, im Grunde hast du Recht, Hirn einschalten hilft manchmal. Aber da ich kein IT-Profi bin, brauche ich manchmal ein wenig laenger .. Trotzdem danke .. ;)
Bitte warten ..
Ähnliche Inhalte
Netzwerkgrundlagen

IPSec Site-to-Site über NAT ohne Portforwarding

Frage von BirdyBNetzwerkgrundlagen18 Kommentare

Hallo miteinander, ich habe da mal eine Frage: In unserem Hauptstandort gibt es eine Sophos UTM mit fester IP. ...

LAN, WAN, Wireless

Site to Site VPN FritzBox

gelöst Frage von marni1996LAN, WAN, Wireless7 Kommentare

Hallo Zusammen, Ich versuche vergeblich eine VPN Verbindung zwischen Office <> RZ herzustellen. Leider klappt es nicht im RZ ...

Firewall

VPN Konfiguration End - Site(NAT) - Site mit Fortigate

Frage von itprojectFirewall3 Kommentare

Hallo zusammen, ich brauche eure Hilfe, ich blick noch nicht ganz durch ;) Die Situation: Ein Entwickler verbindet sich ...

Router & Routing

Mikrotik Site to Site VPN Firewall Probleme

gelöst Frage von Rolf-Hanka.ITDRouter & Routing19 Kommentare

Hallo Leute, ich habe mal eine kleine Frage. Ich habe hier zwei Mikrotik Router. Einer hat extern eine feste ...

Neue Wissensbeiträge
Erkennung und -Abwehr

Ups: Einfaches Nullzeichen hebelte den Anti-Malware-Schutzt in Windows 10 aus

Information von kgborn vor 7 StundenErkennung und -Abwehr

Windows 10 ist das sicherste Windows aller Zeiten, wie Microsoft betont. Insidern ist aber klar, das es da Lücken, ...

Windows 10

Windows 10 on ARM: von Microsoft entfernte Info - Klartext, was nicht geht

Information von kgborn vor 9 StundenWindows 10

Windows 10 on ARM ist ja eine neue Variante, die Microsoft im Verbund mit Geräteherstellern am Markt etablieren will. ...

Microsoft
TV-Tipp: Das Microsoft-Dilemma
Information von kgborn vor 9 StundenMicrosoft7 Kommentare

Aktuell gibt es in Behörden und in Firmen eine fatale Abhängigkeit von Microsoft und dessen Produkten. Planlos agieren die ...

Windows 10
Zero-Day-Lücke in Microsoft Edge
Information von kgborn vor 2 TagenWindows 10

In Microsofts Edge-Browser klafft wohl eine nicht geschlossene (0-Day) Sicherheitslücke im Just In Time Compiler (JIT Compiler) für Javascript. ...

Heiß diskutierte Inhalte
Windows 10
Windows 10 (1709) Tastur und Maus wieder einschalten?
Frage von LochkartenstanzerWindows 1026 Kommentare

Moin, Ich habe von einem Kunden einen Win10-Rechner bekommen, bei dem weder Tastatur noch Maus geht. Die Hardware funktioniert ...

Firewall
RB2011 Firewall Rule eine bestimmte Mac oder IP Adresse nicht zu blockieren
Frage von lightmanFirewall15 Kommentare

Hallo liebes Forum mit ihren Spezialisten. Ich habe meine Firewall so konfiguriert das kein Endgerät ohne meine Speziellen Erlaubnis ...

Humor (lol)
Was könnte man mit einem Server machen? Idee gesucht
Frage von 2SeitenHumor (lol)15 Kommentare

Hey Zusammen Ich habe einen alten HP G2 Rackserver zu Hause rumliegen. 28GB Ram, 1xAMD Prozi mit etwa 2GHz. ...

Webbrowser
Welcher Browser ist der Beste?
Frage von justtinWebbrowser13 Kommentare

Hallo Leute Ich habe eine interessante Frage. Mich wurde mal interessieren welcher Browser ist eure meinung nach der beste? ...