Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VPN faehiger Router soll hinter Endian Firewall laufen

Mitglied: x-ray-3

x-ray-3 (Level 1) - Jetzt verbinden

21.06.2008, aktualisiert 27.06.2008, 13091 Aufrufe, 5 Kommentare

Schönen guten Tag,

wir sind hier in der Firma seit heute Vormittag 11:00 Uhr am werkeln und kommen leider nicht zur Lösung. Wir haben uns eine Endian Firewall Mini zugelegt. Der Draytek Vigor 2900 hat somit als Gateway ausgedient und soll eigentlich nur noch die VPN-Funktionalität zur Verfügung stellen. Und genau dabei klemmt es.
Wir haben also die Endian Firewall vorgeschaltet, den Port für PPTP(1721) auf den Router geforwarded und GRE(IP-Protokoll 47) ebenfalls. Zunächst reagierte der Router gar nicht bei einer VPN-Einwahl von außen. Dann haben wir SNAT bei den Forward-Regeln aktiviert und jetzt reagiert er schonmal insofern, daß der VPN-Einwahldialog bis zur Passwort-Autentifizierung kommt. Und genau dabei bleibt er hängen. Wir haben an den VPN-Einstellungen am Router und an den Client keine Veränderungen vorgenommen. Als er direkt dranhing ging ja auch alles. Kann es sein, daß der Router Probleme eben genau mit der Route hat?
Wir hoffen stark, da draußen hatte schonmal jemand so ein Problem.
Mitglied: harald21
21.06.2008 um 22:04 Uhr
Hallo,

hast du dich evtl. vertippt? Soweit ich mich erinnern kann benutzt PPTP den Port UDP/1723.

Ansonsten macht das meiner Meinung nach wenig Sinn, das VPN-Gateway hinter die Firewall zu setzen. Kann eure neue Endian Firewall diese Aufgabe nicht übernehmen?

Hilfreich wäre es auch, wenn ihr hier ein Netzwerkdiagramm einfügen könntet, damit das etwas deutlicher wird.

mfg
Harald
Bitte warten ..
Mitglied: x-ray-3
22.06.2008 um 09:08 Uhr
Moin Harald,

ja, ich meine die 1723, sorry!
Wir können leider die OpenVPN-Funktion der Endian Firewall nicht nutzen, da sie nicht kompatibel zu VPN ist. Es bestehen side-to-side-Verbindungen zu Zweigstellen unserer Firma. Darum wollen wir den Router weiterhin nutzen. Irgendwann soll das mal unser WIN 2003 Server übernehmen. Aber da sind wir noch nicht. Montag soll ja erstmal wieder alles wie gewohnt laufen. Irgendwie haben wir es jetzt auch schon zum Teil hinbekommen. Wir wissen aber gar nicht so richtig wieso es auf einmal läuft. Ich versuche mal so gut wie es geht, von zu Hause aus zu erklären. Sämtliche Rechner und die Firewall sind im 192.168.1.0-Netz. Irgendwann kamen wir auf die Idee, beim Vigor den WAN-Eingang ins 192.168.10.0-Netz zu verlegen und den LAN-Bereich im 1er Netz zu lassen. Die Portweiterleitung für VPN an der Firewall verweist nun auf das 10er Netz. Zunächst lief nichts. Dann haben wir noch eine statische Route an der Firewall hinzugefügt. Alles was von 0.0.0.0 kommt und als Ziel 192.168.10.0 hat dafür ist das Gateway 192.168.1.17(Router LAN). Ist doch richtig oder? Das kuriose ist nur, jetzt können wir die Route deaktivieren und es geht immer noch. Außerdem bekommen die Clients seltsame DNS-IPs zugewiesen und trotzdem funktioniert die Namensauflösung.
Hast Du ein Beispiel wie das Netzwerkdiagramm aussehen soll?

Gruß Heiko
Bitte warten ..
Mitglied: aqui
22.06.2008 um 16:25 Uhr
Z.B. so sollte ein sauberes Netzwerkdiagramm von einem funktionierenden Szenario wie dem deinen aussehen:

e4436e053a9c469a67104d81616b6767-vpn3 - Klicke auf das Bild, um es zu vergrößern

Nur so ist der vorhandene Router IP technisch sauber integriert !
Es ist nebenbei gesagt Blödsinn die VPN Verbindungen mit einem schwerfälligen Server zu machen wenn VPN Router vorhanden sind ! Von so einer Lösung kann man dir nur dringend abraten.
Bitte warten ..
Mitglied: x-ray-3
26.06.2008 um 20:51 Uhr
Moin,

ein Netzwerkdiagramm muß ich nachreichen. Gibt es da etwas für Linux, damit ich das erstellen kann?
Es läuft jetzt auf jeden Fall FAST alles prima. Versuche mal zu erklären: Den VPN-Router haben wir im WAN-Bereich die 192.168.40.100 gegeben. Die Firewall hat jetzt auf einer Karte die 192.168.40.1 und auf einer anderen 192.168.1.1. Kabel von Firewall 40.1 auf Router 40.100. Portweiterleitung für VPN von Uplink auf die 40.100. Logisch! Der LAN-Bereich des VPN-Routers hat jetzt die 1.15. So bekommen alle VPN-Clients Adressen aus dem 1er-Netz. Soll ja auch, weil unsere Rechner auch im 1er sind.
Aber nun wird es wieder komisch. Eine VPN-Verbindung die manuell hergestellt wird, läuft tadellos. Die Clients können auf alles zugreifen, DNS läuft... usw.
Aber:
Die Site-to-Site-Verbindung zu unserer Zweigstelle hat auch eine Verbindung. Die Zweigstelle hat ihre Rechner im 192.168.4.0-Netz. Als die Router noch Gateway waren konnte man problemlos vom 1er auf das 4er pingen und umgekehrt. Freigaben und so liefen. Seit der Firewall geht nur dies nicht mehr. Die Verbindung der beiden Router ist zwar da, aber die Ressourcen eben nicht. Ich vermute, daß ich irgendwo ein statisches Routing eintragen muß, vom 4er aufs 1er oder umgekehrt. Nur wo? An der Firewall?

Wie gesagt, ein Diagramm reiche ich gerne nach...

Danke und Grüße

Heiko
Bitte warten ..
Mitglied: x-ray-3
27.06.2008 um 15:19 Uhr
Hallo Aqui,

vielen Dank übrigens für Dein tolles Beispieldiagramm. Eigentlich ist es kein Beispiel sondern trifft beinahe genau unseren Fall. Nur das Du alles richtig gemacht hast und wir nicht. Wir haben bei allen LAN-Rechnern hinter dem Vigor als Gateway die 1.1 eingetragen. Die Firewall eben! Und haben sogar ein Kabel von der Firewall in den Switch fürs 1er Netz gelegt. Gateway für alle Rechner muß natürlich der Vigor sein. Und das Gateway für den Vigor dann eben die Firewall. Und das Kabel muß weg. Danke nochmal für das Diagramm. Nun müssen wir das nochmal ummodeln. Ich bin gespannt ...

Gruß Heiko
Bitte warten ..
Ähnliche Inhalte
Switche und Hubs
VLAN fähiger VPN Router gesucht
gelöst Frage von Leo-leSwitche und Hubs33 Kommentare

Hallo Leute, ich suche einen voll managebaren Switch bzw. Router, womit ich per vpn erreichbar sein kann und der ...

Firewall
Endian Firewall Aktivierung UTM Mini
gelöst Frage von horstvogelFirewall3 Kommentare

Hallo, ich habe hier eine Endian Firewall, unser "Star Admin" hat das Passwort vergessen oder angeblich nie gehabt. Der ...

TK-Netze & Geräte
VPN-fähige IP-Telefone
Frage von the-buccaneerTK-Netze & Geräte16 Kommentare

Hi! Weiss noch jemand ein VPN-fähiges IP-Telefon mit dem man z.B. einen Heimarbeitsplatz gesichert anbinden könnte? Habe nur einen ...

LAN, WAN, Wireless
WEB SSL fähiger Router (Client)
Frage von Teck90LAN, WAN, Wireless4 Kommentare

Hallo zusammen, Ein Kunde hat ein Software gekauft um seine Windanlagen auszulesen. Um die Windanlagen auszulesen hat unser Kunde ...

Neue Wissensbeiträge
Humor (lol)
IoT-Gefahr: Smartes Aquarium leckt!
Information von Lochkartenstanzer vor 1 TagHumor (lol)3 Kommentare

Moin, Die IoT-Manie hat weitere Opfer gefunden. Ein Casino-Leck durch ein smartes Aquarium: Allerdings haben sie kein Wasser, sondern ...

Router & Routing

Alte Fritzbox 7270 mit VPN und SIP-Telefonie hinter O2 Homebox 6641 als "Modem"

Erfahrungsbericht von the-buccaneer vor 1 TagRouter & Routing3 Kommentare

Nun war es soweit: Auch O2 hat mich mit VOIP zwangsbeglückt. Heute am Privatanschluss, in 2 Wochen ist das ...

Sicherheit

Ungepatchte Remote Code Execution-Lücke in LG NAS

Information von kgborn vor 2 TagenSicherheit

Nutzt wer LG NAS-Einheiten? In den NAS-Einheiten der LG Network Storage-Einheiten gibt es eine sehr unschöne Schwachstelle, die einen ...

Windows Update

Neue Version KB4099950 NIC Einstellungen gehen verloren

Information von sabines vor 2 TagenWindows Update2 Kommentare

Es ist eine neue Version des KB4099950 verfügbar, die das Problem mit den verlorenen Netzwerkeinstellungen lösen soll. Das Datum ...

Heiß diskutierte Inhalte
Router & Routing
Mikrotik: Routing zwischen Interfaces mit Geräten ohne Gateway
Frage von TonLichtVideoRouter & Routing20 Kommentare

Hallo zusammen, ich komme aus dem Veranstaltungstechnik Bereich und habe zwei Netze um verschiedene Hardware zu Remoten. CONTROL1 192.168.1.0/24 ...

Linux Netzwerk
Raspberry Pi 3: WLAN Power save deaktivieren
Frage von nordie92Linux Netzwerk14 Kommentare

Moin moin, mein Raspberry Pi 3 Model B benötigt eine dauerhaft aktive WLAN-Verbindung. Leider bricht die WLAN-Verbindung nach einigen ...

Vmware
Server 2008 r2 vmware terminalserver
Frage von MasterCVmware11 Kommentare

Guten Abend zusammen, ich hoffe , dass einer von euch mir weiterhelfen kann ,bei meinem kack Problem ! Ist ...

VB for Applications
VBScript mit WINscp für einfachen FTP Transfer und nachträglichem verschieben der Datei in ein erledigt Verzeichnis
Frage von KeiosIDVB for Applications9 Kommentare

Hallo, leider soll ich auf den neueren Servern(Win2016R2) keine *.Bat Dateien mehr laufen lassen. Hier soll nun alles über ...