jimbow
Goto Top

VPN Gateway einrichten. Welche Hardware etc.

Hallo zusammen,

ich würde gerne ein VPN Gateway einrichten. Es soll ein Tunnel zwischen zu Hause und Firma aufgebaut werden.

In der Firma steht momentan ein Router von Linksys BEFSR81. Ich möchte so wenig Softwarelösungen wie möglich einsetzen. Damit meine ich, dass ein Hardware-Gateway die Verbindungen managen soll und man nur per Software sich darauf einwählen kann.

Ich kenne die Firma Draytek, die Router mit VPN-Gateways anbietet. Welche Lösungen sollte ich am Besten nehmen?


Ziel ist es, ich habe ein Gateway, auf dem ich mich von zu Hause einloggen kann und dann mich mit dem Server binden kann, dass sich Outlook immer synchronisiert und ich auf Office-Dateien zugreifen kann.

Vielen Dank im Voraus.

Content-Key: 154485

Url: https://administrator.de/contentid/154485

Ausgedruckt am: 29.03.2024 um 06:03 Uhr

Mitglied: master3477
master3477 06.11.2010 um 15:31:55 Uhr
Goto Top
Moin,

ich habe das mit 2 Fritz Boxen 7390 gelöst. Ist einfach und funktioniert super.

Grüße
Sven
Mitglied: aqui
aqui 06.11.2010, aktualisiert am 18.10.2012 um 18:43:59 Uhr
Goto Top
Das einfachste ist in der Tat du tauscht deinen BEFS gegen einen Draytek Router ! Von einer Fritzbox kann man eher abraten wenn du VPN Laie bist außerdem supportet sie ausschlieslich nur das für Laien nicht einfache IPsec. Draytek hingegen supportet alle 3 relevanten VPN Protokolle wovon Windows, Apple Mac usw. 2 schon per Default an Bord haben und wofür du KEINE externe VPN Software auf dem Client benötigst !!
Für VPN Anfänger ist so eine Einrichtung mit VPN Bordmitteln einfacher !
VPNs einrichten mit PPTP
Mitglied: Jimbow
Jimbow 06.11.2010 um 20:12:11 Uhr
Goto Top
Also einfacher hin oder her, ich möchte die VPN Verbindung über IPSec + AH und ESP Verschlüsselung im Tunnel Modus betreiben. Das ist meiner Meinung nach, eine sehr sehr gute Verschlüsselung. Gibt es auch eine Mischung aus Tunnel Modus + Transport Modus? Sprich, ich wollte von zu Hause mit dem Client mich auf dem, in der Firma beispielweise Draytek Router, einwählen und somit mich mit dem Firmennetzwerk verbinden. Oder wäre das dann doch eher ein Transport Modus?

Oder doch eher L2TP? face-smile

Ist doch bestimmt mit Draystek Router auch zu realisieren oder? Welchen Draytek Router müsste ich dann nehmen?
Mitglied: aqui
aqui 08.11.2010, aktualisiert am 18.10.2012 um 18:44:00 Uhr
Goto Top
L2TP nutzt denselben Mechanismus mit IPsec ESP !
OK bei IPsec dann Draytek oder Fritzbox oder... und einen Shrew Client
http://www.shrew.net/
Oder eine Firewall wie die Monowall/PfSense:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
bzw.:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
http://www.shrew.net/support/wiki/HowtoMonowall
http://www.shrew.net/support/wiki/HowtoPfsense
Ein weiterer und einfacherer Weg ist ein SSL VPN Router
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
usw. usw.
Es gibt zig Lösungen dafür. Such dir die Schönste aus...alle führen im Handumdrehen zum Erfolg mit dem was du vorhast !
Mitglied: Jimbow
Jimbow 08.11.2010 um 17:49:15 Uhr
Goto Top
Kann man denn sagen, dass über SSL die Verbindung genau so sicher wäre wie bei IPSec? Ist eine der Verschlüsselungen langsamer? Oder sind die ca. gleich schnell?

Um eine reibungslose Verbindung zwischen Home und Frima zu bekommen, sprich Officedateien austauschen, Outlook synchronisieren usw., reicht da eine 6 MBit Leitung auf der Firmenseite? Momentan ist eine DSL1000 Leitung vorhanden. Oder direkt auf 16 erhöhen?
Mitglied: goscho
goscho 08.11.2010 um 18:34:30 Uhr
Goto Top
Zitat von @Jimbow:
Kann man denn sagen, dass über SSL die Verbindung genau so sicher wäre wie bei IPSec?
Ja, kann man sagen.
Dies Sicherheit der Verbindungen hängt aber nicht zuletzt von der Komplexität der verwendeten Kennwörtern ab.

Ist eine der
Verschlüsselungen langsamer? Oder sind die ca. gleich schnell?
Das kann ich dir so pauschal nicht sagen.
Am Ende hängt das auch von der verwendeten Hardware ab.
Es gibt sehr viele unterschiedliche Modi, allein im IPSec VPN-Bereich. Und ja, diese haben idR unterschiedliche Verbindungszeiten zur Aushandlung des VPN.

Meine Empfehlung ist ein SSL-VPN. Damit kannst du dich von beinahe überall aus in der Firma einwählen. Ein PC mit Internetanschluss und Browser genügt, geht im Zweifel sogar in einem Internetcafé (gibt es diese noch?).

Um eine reibungslose Verbindung zwischen Home und Frima zu bekommen, sprich Officedateien austauschen, Outlook synchronisieren
usw., reicht da eine 6 MBit Leitung auf der Firmenseite? Momentan ist eine DSL1000 Leitung vorhanden. Oder direkt auf 16
erhöhen?
Du hast aktuell 1 MBit in der Firma? Das solltest du unbedingt ändern. Nimm soviel Upload, wie du kriegen kannst.
Bei ADSL 6000 hast du zwischen 600 und 800 kBit/sec im Upload. Du kannst ja jetzt mal ausrechnen, wie lange es dauert, bis du deine Daten (Outlook vom Exchange, oder woher sonst) empfangen hast.
Die großen Office-Dateien solltest du lieber auf dein Notebook kopieren und mit nach Hause nehmen. face-wink
Mitglied: Jimbow
Jimbow 08.11.2010 um 21:13:59 Uhr
Goto Top
Mhm, ich bin irgendwie noch ned von SSL so wirklich überzeugt. Ich stell mir das so vor, wenn ich jetzt IPSec verwenden würde, dass ich auf dem Client eine die VPN-Verbindung aktiviere und der sich automatisch dann am Gateway einloggt und dann mit dem Firmennetz verbunden ist. Würde doch so ablaufen oder muss man bei IPSec mehr Sachen beachten? Das Gleiche wäre doch dann auch bei SSL so oder? face-smile

Zum Thema Internetleitung, bin bei T-online Business Kunde und werde da mal nachfragen, ob die meinen Upload hochschrauben können. Mal schauen, ob es da interessante Angebote gibt. Sonst nehme ich die 16er und versuche es erst einmal damit.

So, wenn ich mich dann endlich endschieden habe, ob SSL oder IPSec, ich weiß wirklich immer noch ned, welche Hardware ich lieber dafür holen sollte? Ein Bekannter hat einen Router von Draytek und der läuft eigentlich ziemlich gut. Aber ich möchte da nicht sparen und was wirklich anständiges haben. Sicherheit geht bei mir vor!!
Mitglied: goscho
goscho 09.11.2010 um 08:41:55 Uhr
Goto Top
Morgen Jimbow,

du solltest uns auch mitteilen, wie viele User dieses VPN nutzen sollen, etwa nur du allein?

So, wenn ich mich dann endlich endschieden habe, ob SSL oder IPSec, ich weiß wirklich immer noch ned, welche Hardware ich lieber dafür holen sollte?
Warum musst du dich entscheiden?
Die meisten Firwalls/Router, die SSL-VPNs anbieten, beherrschen ebenso IPSec.
Ein Bekannter hat einen Router von Draytek und der läuft eigentlich ziemlich gut. Aber ich möchte da nicht sparen und was wirklich anständiges haben. Sicherheit geht bei mir vor!!
Was meinst du jetzt damit, dass du eventuell mit den Geräten von Draytek zu wenig an Sicherheit hättest?
Nach meinem Kenntnisstand sind die meisten VPN-Router/Firewalls ziemlich sicher einzurichten. Das hängt aber von der Konfiguration der Firewall ab.
Mitglied: aqui
aqui 10.11.2010 um 09:06:02 Uhr
Goto Top
@Jimbow
Du solltest erstmal dich erstmal kundig machen zu grundlegendes zu Schlüsselverfahren und lesen was da bei IPsec und SSL verwendet wird. Dann würdest du auch nicht solche "Bauch gesteuerten" Aussagen wie "...ich bin nicht überzeugt.." ohne fundierte technische Basis treffen wie oben.
Die Schlüsselverfahren und wie Goscho richtig bemerkt vor allen Dingen die Komplexität des verwendeten Passworts, sofern man denn mit Preshared Keys arbeitet... ist relevant und doch wohl niemals das Transportverfahren selber wie IPsec oder SSL.
Dein Internet Banking machst du ja wohl auch über SSL (https) und nicht über IPsec, oder ?? Soviel Banken können sich doch nicht irren zum Thema SSL Sicherheit !! Die sind nämlich schon "überzeugt" !
Mitglied: Jimbow
Jimbow 10.11.2010 um 19:47:04 Uhr
Goto Top
Also ich hab mich hier an Euch gewendet, da ich grob eine Richtung von euch wissen wollte. Damit ich mich dann genauer danach erkundigen kann.

Ich wollte gerne wissen, welches Verfahren man gerne anwenden sollte und welche Hardware ich da am Besten nehmen könnte.

Bis jetzt ist erst einmal der Gedanke, dass ich nur alleine darauf zu greife. Aber ich sehe es in der Zukunft schon kommen, dass Home Office sich mehr und mehr druchsetzen wird. Deshalb möchte ich, jetzt keine "billig" Hardware verwenden, sondern professionelle und stabile Hardware.


Zum Thema welches Verfahren ich nehmen soll, ich kann also davon ausgehen, dass SSL komplett ausreichen würde und auch ausreichend sicher wäre?
Mitglied: goscho
goscho 10.11.2010 um 23:05:27 Uhr
Goto Top
Zitat von @Jimbow:
Also ich hab mich hier an Euch gewendet, da ich grob eine Richtung von euch wissen wollte. Damit ich mich dann genauer danach
erkundigen kann.
Deshalb bekommst du ja auch Hilfe von uns. face-wink
Ich wollte gerne wissen, welches Verfahren man gerne anwenden sollte und welche Hardware ich da am Besten nehmen könnte.
Ich habe in den letzten Jahren sehr viele Netgear-Geräte verbaut und die VPNs laufen sehr stabil.
Mein bevorzugtes Gerät in KMUs ist der FVS336G.
Der hat 2 GBit WAN, 4 GBit LAN Anschlüsse und kann 10 SSL-VPN und max. 50 gleichzeitige IPSec-Verbindungen.
Kostet ungefähr 300,- € -> Preis -Leistung ist voll o.k.

Bis jetzt ist erst einmal der Gedanke, dass ich nur alleine darauf zu greife. Aber ich sehe es in der Zukunft schon kommen, dass
Home Office sich mehr und mehr druchsetzen wird. Deshalb möchte ich, jetzt keine "billig" Hardware verwenden,
sondern professionelle und stabile Hardware.
Was verstehst du unter "professionell"?
Wieviel bist du bereit auszugeben?
Zum Thema welches Verfahren ich nehmen soll, ich kann also davon ausgehen, dass SSL komplett ausreichen würde und auch
ausreichend sicher wäre?

SSL-VPN-Gateways/Router sind aber idR wesentlich teurer als vergleichbare ohne SSL-Möglichkeiten.
Mitglied: Jimbow
Jimbow 11.11.2010 um 16:40:17 Uhr
Goto Top
Also, ich habe ein Budget von 1000€ angesetzt.

Unter professionell versteh ich, dass ich nicht eine 0 8 15 Hardware haben möchte, sondern eine, mit der ich auch noch Jahre mit auskomme und wenn ich vlt etwas Erweitern möchte, nicht direkt wieder etwas Neues brauche face-smile
Deshalb kann sie ruhig was kosten.

Das Gateway, was du mir vorgeschlagen hast, kann ich mich dort auch per SSH einloggen vlt? Aber so von den Daten ist das ja schon ein sehr nettes Gerät face-smile
Mitglied: Jimbow
Jimbow 22.11.2010 um 10:39:09 Uhr
Goto Top
Ich werde jetzt in den nächsten Wochen damit beginnen, das VPN einzurichten. Das Gerät von Netgear FVS336G scheint meinen Anforderungen genüge zu tun.

Jetzt noch eine Frage zum Aufbau. Bis jetzt habe ich einen Linksys Router BEFSR81. Wenn ich nun IPSec verwenden würde, müsste ich wahrscheinlich dann die Option IPSec Passthrough aktivieren oder? Da das Netgear Gateway hinter dem Router säße.

Andere Frage noch, sollte ich ggf. noch einen anderen Router mit einer besseren Firewall nehmen? Oder würde dieser Router reichen? Gibt ja auch Geräte, die Modem und Gateway in einem haben, beispielsweise Draytek. Was würdet ihr lieber nehmen, Router und dahinter das VPN Gateway oder direkt eine All-in-one Lösung?
Mitglied: goscho
goscho 22.11.2010 um 13:07:11 Uhr
Goto Top
Zitat von @Jimbow:
Ich werde jetzt in den nächsten Wochen damit beginnen, das VPN einzurichten. Das Gerät von Netgear FVS336G scheint
meinen Anforderungen genüge zu tun.
Das musst du selbst beurteilen.
Ich habe mehrere dieser Geräte im Einsatz.
Bei mir sind 10 IPSec-VPNs (davon 5 ständige aktive LAN-LAN) und 3 SSL-VPNs eingerichtet.
Damit kommt das Gerät gut klar.
Jetzt noch eine Frage zum Aufbau. Bis jetzt habe ich einen Linksys Router BEFSR81. Wenn ich nun IPSec verwenden würde,
müsste ich wahrscheinlich dann die Option IPSec Passthrough aktivieren oder? Da das Netgear Gateway hinter dem Router
säße.
Ich würde dies so nicht machen.
Der Netgear-Router bringt eine gut konfigurierbare Firewall mit. Davor wird ein normales Modem eingesetzt.

BTW: Es ist ratsam, dieses Gerät mit 2 WAN-Anschlüssen zu nutzen. Dann kann man bswp. das VPN über WAN2 und Surfen über WAN1 einrichten.
Mitglied: Jimbow
Jimbow 22.11.2010 um 13:22:20 Uhr
Goto Top
Der Netgear-Router bringt eine gut konfigurierbare Firewall mit. Davor wird ein normales Modem eingesetzt.

Gut, jetzt habe ich schon einmal den Router, also könnte ich den doch einfach vor dem VPN Gateway lassen und der Router soll einfach nur IPSec weiterleiten? Oder gibt das eventuelle Probleme bei der Weiterleitung, sprich Ports etc.?

Mit stink normalen Modem meinst du das standard Modem vom Provider?

BTW: Es ist ratsam, dieses Gerät mit 2 WAN-Anschlüssen zu nutzen. Dann kann man bswp. das VPN über WAN2 und Surfen
über WAN1 einrichten.

Ist das denn einfach so einzurichten, dass VPN über WAN1 und der Rest über WAN2 läuft? Wenn ich beide WAN Schnittstellen verwenden würde, hieße das für mich, dass ich auch 2 Leitungen von meinem Provider benötige oder? Sprich, wären auch 2 Verträge oder verstehe ich das falsch?
Mitglied: goscho
goscho 22.11.2010 um 15:46:38 Uhr
Goto Top
Zitat von @Jimbow:
> Der Netgear-Router bringt eine gut konfigurierbare Firewall mit. Davor wird ein normales Modem eingesetzt.

Gut, jetzt habe ich schon einmal den Router, also könnte ich den doch einfach vor dem VPN Gateway lassen und der Router soll
einfach nur IPSec weiterleiten? Oder gibt das eventuelle Probleme bei der Weiterleitung, sprich Ports etc.?

Mit stink normalen Modem meinst du das standard Modem vom Provider?
Genau das könnte man nehmen. face-smile

Es ist in fast jedem Fall besser, als einen billigen Router mit eventuell schlecht implementiertem IPSEC-Passthrough einzusetzen.
> BTW: Es ist ratsam, dieses Gerät mit 2 WAN-Anschlüssen zu nutzen. Dann kann man bswp. das VPN über WAN2 und
Surfen
> über WAN1 einrichten.

Ist das denn einfach so einzurichten, dass VPN über WAN1 und der Rest über WAN2 läuft?
JA, ist es. face-smile
Wenn ich beide WAN Schnittstellen verwenden würde, hieße das für mich, dass ich auch 2 Leitungen von meinem Provider benötige
oder? Sprich, wären auch 2 Verträge oder verstehe ich das falsch?
Natürlich braucht man dann auch 2 Leitungen ins Internet ( 2 x DSL, oder andere Techniken, die per LAN auf den Router gebracht werden können).

Wo ist das Problem? Wer heutzutage mehr als 2 ISDN-Leitungen benötigt, hat schnell 2 ISDN-Basisanschlüsse und kann zu beiden den passenden DSL-Tarif dazu nehmen, möglichst Business-Versionen mit der Option zur festen öffentlichen IP-Adresse.
Mitglied: Jimbow
Jimbow 22.11.2010 um 18:41:51 Uhr
Goto Top
Alles klar, dann muss ich mal schauen, wo ich das alte Modem denn so rumfliegen habe :D

Na gut, an den 2 Tarifen soll es ned scheitern. Habe momentan schon 4 ISDN Leitungen angeschlossen aber mal schauen, was es da so bei Tcom an Business Verträgen so gibt. face-smile

Ja dann wäre alles geritzt :P

Noch eine Frage hätte ich mal wieder. Und zwar kann ich das auch so einstellen, dass über WAN1, wo dann VPN drüber gefahren wird, dass dort auch vlt der Server seine Updates ziehen könnte? Da diese auf jeden Fall schneller wäre, als die an WAN2 mit DSL 1000. Könnte man das einstellen?
Mitglied: goscho
goscho 22.11.2010 um 19:07:03 Uhr
Goto Top
Zitat von @Jimbow:
Noch eine Frage hätte ich mal wieder. Und zwar kann ich das auch so einstellen, dass über WAN1, wo dann VPN drüber
gefahren wird, dass dort auch vlt der Server seine Updates ziehen könnte? Da diese auf jeden Fall schneller wäre, als
die an WAN2 mit DSL 1000. Könnte man das einstellen?
Man richtet für beide WAN-Leitungen ein Load-Balancing ein. Damit geht der Traffic über beide Leitungen (Leitung 1 ausgelastet -> Leitung 2 wird genutzt).
Für bestimmte Protokolle kann jetzt eine Bindung an eine der beiden WAN-Leitungen erfolgen.
Dies ist z.B. für https sehr wichtig. Dies ist auch für bestimmte IP-Adressen machbar (Quell-/Ziel-Adressen).

Schau mal hier rein, ist ein Simulator für die Konfiguration des FVS-336G:
http://tools.netgear.com/landing/gui/security/fvs336g/simulators/v_2.2. ...
Mitglied: Jimbow
Jimbow 23.11.2010 um 11:26:11 Uhr
Goto Top
Gibt es zufälligerweise auch eine schöne Doku dabei?

Wie sieht das eigentlich mit den VPN Lizenzen aus? Ist eine kostenlose Software dabei und braucht man pro VPN User noch eine Lizenz?
Mitglied: goscho
goscho 23.11.2010 um 14:33:45 Uhr
Goto Top
Zitat von @Jimbow:
Gibt es zufälligerweise auch eine schöne Doku dabei?
Handbuch?
VPN-Anleitung?
http://kb.netgear.com/app/products/model/a_id/2425
http://kb.netgear.com/app/products/model/a_id/2425
Schau mal in das Netgear Forum (englisch)
Wie sieht das eigentlich mit den VPN Lizenzen aus? Ist eine kostenlose Software dabei und braucht man pro VPN User noch eine
Lizenz?
Eine IPSEC-Client-Lizenz ist dabei, SSL-Lizenzen sind alle dabei.
Zusätzliche IPSEC-Client VPN-Lizenzen kann man erwerben (1er oder 5er Packs).
http://www.netgear.com/products/business/VPN-firewalls-appliances/wired ...
Für LAN-LAN VPN brauchst du keine Lizenzen.
Mitglied: Jimbow
Jimbow 23.11.2010 um 18:52:50 Uhr
Goto Top
Alles klar, es gibt aber schon die FVS336Gv2 Version. Ist wahrscheinlich eine verbesserte oder? Die V2 gibt es schon für 200€.

So nun, sollte eigentlich alles geklärt sein. Werde das Gateway am Freitag bestellen mit einer 5er Lizenz dabei.

Dann kann es ja endlich los gehen. Bei Tcom werde ich am Donnerstag mal anrufen und nachfragen, welches Paket die mir anbieten könnten.

Werde dann später mal berichten, wie so alles gelaufen ist. Vielleicht habe ich ja noch ein paar Fragen ;)

Auf jeden Fall tausend Dank @ goscho. Warst sehr hilfsbereit ;)
Mitglied: goscho
goscho 24.11.2010 um 09:57:24 Uhr
Goto Top
Zitat von @Jimbow:
Alles klar, es gibt aber schon die FVS336Gv2 Version. Ist wahrscheinlich eine verbesserte oder? Die V2 gibt es schon für
200€.
Ist der jetzt billig geworden, UVP war mal 399,- € (2008) und ist jetzt auf 233,- € gesunken.
Was an der V2 jetzt besser ist, weiß ich nicht, eventuell anderer Prozessor.
So nun, sollte eigentlich alles geklärt sein. Werde das Gateway am Freitag bestellen mit einer 5er Lizenz dabei.
Wenn du dich mit dem SSL-VPN anfreunden kannst, brauchst du keine Lizenzen bestellen.

Eine einzelne IPSec-Client-Lizenz müsste dem Gerät noch beiliegen (war zumindest früher so).
Dann kann es ja endlich los gehen. Bei Tcom werde ich am Donnerstag mal anrufen und nachfragen, welches Paket die mir anbieten
könnten.
BTW: Wenn du zu schnelles WAN bekommst ( > 50 MBit/s) solltest du wieder umdenken.
Der FVS336 kann LAN-WAN nur 60 MBit/S
Die max 16 MBit/s VPN-Durchsatz (10 MBit/s bei SSL) wirst du wohl mit einem normalen DSL-Anschluss von T-Blöd nicht erreichen. Der Upload liegt ja selbst bei den schnellsten VDSL-Varianten bei derzeit höchstens 10 MBit/s.
Aber vielleicht gibt es ja Business-Lösungen, die mehr anbieten.
Werde dann später mal berichten, wie so alles gelaufen ist. Vielleicht habe ich ja noch ein paar Fragen ;)
Denke ich auch.
Auf jeden Fall tausend Dank @ goscho. Warst sehr hilfsbereit ;)
Bitte, gern geschehen.
Mitglied: Jimbow
Jimbow 02.01.2011 um 19:52:40 Uhr
Goto Top
So, es hat dann doch etwas länger gedauert face-smile

SSL VPN funktioniert einwandfrei, nur möchte ich gerne IP Sec ausprobieren und bekomme leider keine Verbindung hin.

Konfiguriert ist folgendes:

IKE Policy

VPN Policy

Beim Netgear VPN Tool kommt die ganze Zeit die Fehlermeldung: 2011 Jan 2 20:16:40 [FVS336GV2] [IKE] Could not find configuration for xx.xx.xx.xx[500]_

Könnt ihr an den Einstellungen schon irgendwelche Fehler sehen?


Ich habe den Port 1723 tcp und 500 udp freigeschaltet.
Mitglied: aqui
aqui 02.01.2011 um 21:18:53 Uhr
Goto Top
Verwunderlich... NetGear ist beim Thema VPN hardwaretechnisch so ziemlich das Übelste was man sich antun kann...siehe die zahllosen Threads hier...
Hersteller wie Draytek, Lancom etc. können sowas erheblich besser abgesehen von Lösungen wie Monowall und pfSense etc...aber nundenn.
TCP 1723 freizuschalten ist Blödsinn, denn das nutzt nur lediglich PPTP.
Für IPsec ist das UDP 500 (IKE) und das ESP Protokoll was ein eigenständiges IP protokoll mit der Nummer 50 ist im Port Forwarding relevant. (Kein TCP oder UDP 50)

Da du aber mit dem Router eh direkt am Internet mit einer öffentlichen IP hängst ist Port Forwarding aber generell Blödsinn, denn du terminierst ja dein VPN auf dem Router...
Brauchst logischerweise also überhaupt gar bein PFW !!
Mitglied: Jimbow
Jimbow 03.01.2011 um 00:21:23 Uhr
Goto Top
Das mit Portforwarding war mir schon klar aber überhaupt mit dem Router in Kontakt zu treten, müsste doch eigentlich ein Port geöffnet werden oder sehe ich das falsch?

Könnte denn einer, der sich mit Netgear auskennt, mal die Einstellungen checken, ob ich nicht da schon einen Fehler gemacht habe?
Mitglied: goscho
goscho 03.01.2011 um 10:23:52 Uhr
Goto Top
Morgen und alles Gute im Jahr 2011 face-smile

@aqui,
dein Eingangssatz ist absoluter Unsinn und du weißt das auch.
Deine persönliche Abneigung gegenüber Netgear bringt hier niemandem etwas.
Warum soll ein Router (FVS336G), welcher IPSec und SSL-VPN beherrscht, schlecht sein?
Weil es kein PPTP/L2TP unterstützt oder weil du, der dieses Gerät wahrscheinlich überhaupt nicht kennt, Netgear nicht leiden kann?

@Jimbow,
ich versuche mal dir zu helfen und nicht nur oberlehrerhafte Sprüche zu bringen.

Du willst ein IPSec-VPN zwischen dem FVS336G (über ein DSL-Modem im INET) und einem Client (welches Win mit welche ProSafe Version) haben.
Dein Client baut die Internetverbindung über einen Router auf oder direkt?

Ich habe mir die Bilder angeschaut.
IPSec-Policy:
Du hast in der Firma eine feste öffentliche IP, dann ist die Einstellung WAN-IP bei 'Local identifier-type' korrekt.
Da dein Client keine feste öffentliche IP haben wird, solltest du dort einen 'User FQDN' als remote identifier eintragen.
VPN-Policy:
Client (remote-IP) nicht auf Any stellen, sondern bspw. 10.10.10.10 und dies im ProSafe Client auch so vergeben.

Deine Konfiguration des Prosafe Clients wäre noch wichtig, bitte auch bereitstellen.
Mitglied: aqui
aqui 05.01.2011 um 11:26:13 Uhr
Goto Top
@goscho
Sieh dir die zahllosen Kommentare und Probleme dazu an hier und auch in anderen Foren...da erübrigt sich jeder weitere Kommentar zu dem Thema ! Das solltest auch DU erkennen...

@Jimbow
Nein das siehst du falsch, Port Forwarding benötigst du nur wenn sich dein VPN Server hinter der NAT Firewall des Routers befindet. Das ist bei dir ja nicht der Fall da der Router selber der VPN Server ist und du hier eine öffentliche IP hast. Port Forwarding einzutragen ist also in diesem Falle Blödsinn und auch kontraproduktiv !
Und....bitte nicht immer Zwangswerbung behaftete externe Bilderlinks nutzen. Es gibt hier eine schöne Bilder upload Funktion die du vermutlich schlicht und einfach übersehen hast !!
Einfach beim Originalthread auf "Bearbeiten" klicken, dann "Bilder hochladen" und den dir dann erscheinenden Bilder URL hier im Text pasten...
Eigentlich doch ganz einfach, oder ??? Also nächstes mal bitte KEIN überflüssigen Imageshack mehr !!
Mitglied: goscho
goscho 05.01.2011 um 19:40:07 Uhr
Goto Top
Zitat von @aqui:
@goscho
Sieh dir die zahllosen Kommentare und Probleme dazu an hier und auch in anderen Foren...da erübrigt sich jeder weitere
Kommentar zu dem Thema ! Das solltest auch DU erkennen...
Hallo aqui und auch dir alles Gute im neuen Jahr. face-smile

Es gibt hier und in anderen Foren zahllose Beiträge zu Problemen mit bspw. MS Exchange oder Active Directory.
Deswegen assoziierst du aber nicht gleich, dass diese Produkte schrottig sind. face-wink
Mitglied: Jimbow
Jimbow 11.01.2011 um 15:13:51 Uhr
Goto Top
Sorry, der Termin hat sich wieder was nach hinten verschoben.

Haben gerade auch noch Probleme mit der Telekom. Die hat unsere ganzen Verträge total durcheinander geworfen.
Mitglied: Jimbow
Jimbow 11.02.2011 um 08:38:49 Uhr
Goto Top
Kurzes Feedback, die Telekom schafft es bis jetzt anscheinend immer noch nicht, uns den VDSL Anschluss zuzuschalten.

Warte schon seit einem Monat auf den Anschalttermin. Wäre anscheinend von einem Mitarbeiter in Bearbeitung und die könnten leider nichts dazu sagen.

Die Mitarbeiter haben den schon ein paar Emails geschrieben aber irgendwie bekomme ich keine Meldung von dem zurück.

Naja, ich warte mal
Mitglied: Jimbow
Jimbow 22.03.2011 um 18:01:47 Uhr
Goto Top
Es ist endlich vollbracht. Die Telekom hat endlich nach 3 Monaten unseren VDSL 50 Anschluss aktiviert.

Es ist soweit alles eingerichtet und die Clients gehen momentan per SSL VPN ins Firmennetzwerk rein.

Werde vlt dieses Wochenende mal schauen, ob ich nicht doch IPSec verwende, da es ein bisschen lästig ist, dass die Clients sich erst über eine Homepage einloggen müssen. Gibt es da noch eventuell eine Software, die das für einen übernehmen könnte und der User müsste nur noch ein Passwort eintippen?

Eventuell würde es über SSL auch eine Variante geben, dass sich der User vor dem Systemlogin am Laptop im Firmennetzwerk per SSL VPN einloggen könnte?
Mitglied: goscho
goscho 22.03.2011 um 18:25:12 Uhr
Goto Top
Zitat von @Jimbow:
Es ist endlich vollbracht. Die Telekom hat endlich nach 3 Monaten unseren VDSL 50 Anschluss aktiviert.
Das freut mich für dich, vor allem, da ich gerade mal 6 MBit über Vodafone (TCOM 3 MBit) bekommen kann (habe aber 2 Anschlüsse).

Es ist soweit alles eingerichtet und die Clients gehen momentan per SSL VPN ins Firmennetzwerk rein.
Das ist toll, wo brennt's denn?
Werde vlt dieses Wochenende mal schauen, ob ich nicht doch IPSec verwende, da es ein bisschen lästig ist, dass die Clients
sich erst über eine Homepage einloggen müssen. Gibt es da noch eventuell eine Software, die das für einen
übernehmen könnte und der User müsste nur noch ein Passwort eintippen?
Wenn es ein Problem ist, einen Browser zu starten und dort seine Anmeldedaten einzugeben, dann kann man fast nicht mehr helfen.
SSL ist die fortschrittlichste der VPN-Techniken, auch weil du fast unabhängig vom verwendeten Client bist. Es gibt für fast jedes BS eine Möglichkeit, sich per SSL-VPN einzuloggen.

Es ist z.B. echt geil, sich bei einem Kunden von dessen PC per SSL in sein eigenes Netz einzuloggen und per OWA zu prüfen, ob die gerade mit dem Kunden versendete Mail angekommen ist.
Eventuell würde es über SSL auch eine Variante geben, dass sich der User vor dem Systemlogin am Laptop im Firmennetzwerk
per SSL VPN einloggen könnte?
Ist mir keine bekannt, aber vielleicht kennt sich jemand anderes damit noch besser aus.
Warst du schon mal hier?

Du könntest dein Vorhaben aber mit einem IPSec-VPN (Shrew, ProSafe) realisieren. allerdings gibt es dort die allseits bekannten Nachteile.
Mitglied: Jimbow
Jimbow 22.03.2011 um 22:11:18 Uhr
Goto Top
Das Thema bei SSL war, dass er administrative Rechte brauchte und die wollte ich ihm eigentlich nicht lokal geben face-smile

Es war so, er hat seine Logindaten eingegeben über den IE (Leider funktioniert das auch nur mit dem IE) und musste dann noch auf den runden Button klicken. Danach wurde er aufgefordert den Treiber zu installieren und da braucht er nun immer adminrechte. Das ist ein bisschen blöd aber sehr wahrscheinlich gibts da keine andere Lösung oder?
Mitglied: Jimbow
Jimbow 24.03.2011 um 17:17:34 Uhr
Goto Top
Wie bekomme ich es denn hin, dass ich beim Aufrufen der Loginseite von dem Netgear Router keinen Zertifikatsfehler bekomme? Kann ich irgendwo entweder das Zertifikat runterladen und als vertrauenswürdig abspeichern oder kann ich ein eigenes einstellen? Immer wenn ich auf https://IP gehe, kommt die Fehermeldung, dass das Zertifikat nicht vertrauenswürdig wäre. Momentan ist das standard Netgear Zertifikat drin.

Zum Thema IPSec habe ich noch ein paar Einstellungsfragen.

IKE Policies
Local und Remote, kann ich dort einfach Local und Remote WAN IP einstellen? Oder was muss da genau eingestellt werden?

VPN Policies
Remote Endpoint, kann ich dort die WAN IP eintragen? Und unter Traffic Selection-> Local gebe ich das interne subnet an und unter Remote ANY oder?

Wenn ich diese Einstellungen gemacht habe, bekomme ich leider keine Verbindung hin. Hoffe ihr könnt mir da weiterhelfen.
Mitglied: goscho
goscho 24.03.2011 um 19:04:26 Uhr
Goto Top
Hi Jimbow (scheint ja ein Dialog zwischen uns beiden zu werden)

Du musst dafür ein richtiges Zertifikat erwerben und auf dem Netgear einrichten.
Hier ist eine ältere Anleitung dazu.
Mitglied: Jimbow
Jimbow 24.03.2011 um 19:23:46 Uhr
Goto Top
Mitglied: goscho
goscho 24.03.2011 um 20:49:59 Uhr
Goto Top
Zitat von @Jimbow:
Zum Thema IPSec habe ich noch ein paar Einstellungsfragen.

IKE Policies
Local und Remote, kann ich dort einfach Local und Remote WAN IP einstellen? Oder was muss da genau eingestellt werden?

VPN Policies
Remote Endpoint, kann ich dort die WAN IP eintragen? Und unter Traffic Selection-> Local gebe ich das interne subnet an und
unter Remote ANY oder?

Wenn ich diese Einstellungen gemacht habe, bekomme ich leider keine Verbindung hin. Hoffe ihr könnt mir da weiterhelfen.
Hast du eigentlich schon mal die VPN-Anleitungen auf der Netgear Homepage oder von den Usern aus dem Netgear-Forum gelesen.
Dort wird deine Voegrehensweise step-by-step beschrieben.

Wenn du Interesse hast, kannst du mich aber auch direkt per PN ansprechen. Ich kann dir die Verbindungen remote einrichten. face-smile
Mitglied: Jimbow
Jimbow 24.03.2011 um 21:22:12 Uhr
Goto Top
Bei deinem Link ist man ja gezwungen sein NETGEAR Produkt zu registrieren, um sich den Beitrag anzuschauen.

Jetzt brauch ich erst einmal die Seriennummer von meinem Teil ^^
Mitglied: goscho
goscho 24.03.2011 um 21:38:15 Uhr
Goto Top
Zitat von @Jimbow:
Bei deinem Link ist man ja gezwungen sein NETGEAR Produkt zu registrieren, um sich den Beitrag anzuschauen.
Sorry, habe ich vergessen und merkt man dann auch nicht mehr.
Jetzt brauch ich erst einmal die Seriennummer von meinem Teil ^^
Wenn du das Teil nach dem KAuf bei Netgear registriert hast (eventuell Hardware-Supportverlängerung), dann könnte die Seriennummer in einer gesendeten Mail stehen.
Ansonsten steht die SN unter dem Router.

Schau dich auch mal hier um:
http://www.vpncasestudy.com/
Mitglied: Jimbow
Jimbow 24.03.2011 um 22:04:20 Uhr
Goto Top
Die Seite ist sehr gut. Werde mich da mal umschauen.

Achja, hatte mich schon bei netgear registriert mit der Seriennummer und konnte die dadurch noch schnell herausfinden face-smile
Mitglied: Jimbow
Jimbow 26.03.2011 um 12:23:38 Uhr
Goto Top
Ich würde gerne wöchentlich die Logs an eine bestimmte emailadresse schicken.

Soweit habe ich alles eingestellt und zum versenden der emails verwende ich ein Googlemail Account. Leider braucht er ewig zum Versenden und am Ende wurde keine email verschickt.

Ich habe folgende Daten eingetragen unter Monitoring -> Firewall Logs...

Do you want logs to be emailed to you? Yes
E-Mail Server Address: smtp.googlemail.com
Return E-Mail Address: Emailabsender- Adresse
Send to E-Mail Address: Empfänger- Adresse
Login Plain YES (oder lieber CRAM-MD5?)
User Name: Googleemail
Password: GooglePW
Respond to Identd from SMTP Server: YES

Gibt es dort irgendeinen Konfigurationsfehler? Oder ist einfach die Log zu groß? Habe zu Testzwecken einfach nur die Logs vom WAN-Status versenden wollen. Aber es erscheint nur ein Ladebalken beim Browser und mehr nicht.
Mitglied: Jimbow
Jimbow 15.04.2011 um 15:26:15 Uhr
Goto Top
Hey,

VPN über IPSec funktioniert einwandfrei. Gab nen kleinen Logikfehler aber jetzt ist alles zur vollsten Zufriedenheit.

Eins stört mich immer noch, dass der Router keine Logs über mein Googlemail account verschicken kann. Da werde ich wohl mal ein bisschen überlegen müssen. Danke euch allen für die tatkräftige Unterstützung.
Mitglied: goscho
goscho 15.04.2011 um 18:17:31 Uhr
Goto Top
Zitat von @Jimbow:
Hey,

VPN über IPSec funktioniert einwandfrei. Gab nen kleinen Logikfehler aber jetzt ist alles zur vollsten Zufriedenheit.
Jetzt sind wir doch ein kleines bisschen erfreut, dass es geklappt hat. face-smile
Eins stört mich immer noch, dass der Router keine Logs über mein Googlemail account verschicken kann. Da werde ich wohl
mal ein bisschen überlegen müssen.
So, habe gerade mal für dich getestet, was passiert, wenn ich über einen entfernten SMTP-Server (smtp.1und1.de) sende.
Das Log wird anstandslos versendet. face-smile
Es muss also mit deinem Mailserver zu tun haben (anderer Port als 25, anderes Login, etc.). Wenn du noch weitere Mailadressen hast, nutze doch mal eine andere.

Hast du einen internen Mailserver. Mit dem klappts bestimmt sehr easy.
Ich habe einen ÖO (Adresse: netgearrouterlogs_at_meine_firma.de] im Exchange eingerichtet und erhalte dort täglich das Log des FVS zugesandt.
Danke euch allen für die tatkräftige Unterstützung.
Gerne doch, dafür sind wir ein Forum.
Mitglied: Jimbow
Jimbow 27.04.2011 um 22:38:35 Uhr
Goto Top
Hallo, gibt es eine Möglichkeit, dass ich einfach das Netgear Zertifikat, welches schon standardmäßig vorinstalliert ist zu vertrauen?

Kann ich mir irgendwo den Publik Key von der CA dem diesem Zertifikat runterladen. Somit würde das Problem mit dem Zertifikatsfehler nicht mehr auftreten.