Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst VPN Tunel mit 2 FVS318v3 ohne PPoE aber mit Dyndns?

Mitglied: 38517

38517 (Level 1)

17.11.2006, aktualisiert 26.09.2007, 12347 Aufrufe, 17 Kommentare

VPN ohne fixe IPs (Dyndns), ohne PPoE möglich?

Hallo Zusammen

Ich möchte 2 Standorte mti VPN verbinden. Ich habe zwei Netgear FVS318v3,
2 ADSL Modems Analog und betreibe Sie am Bluewin Netz (Schweiz).
2 Dyndns Einträge

Da ich kein PPoE verwenden (das war mir bisher lieber) erhält ein FVS318v3 eine interne IP im gleichen Subnetz wie das ADSL Modem/Router. Das ADSL Gerät versteckt die Firewall also hinter NAT.

Meine Frage: Geht dies so, hinter NAT, oder muss ich unbedingt PPoE verwenden, damit die Firewall wirklich eine externe WAN IP bekommt?

Könnte ich auch ein Portredericting auf dem ADSL Modem einrichten, so dass die VPN anfragen an die IP der Firewall witergeleitet werden?

Ich habe mir überlegt, einfach WAN DHCP auf der Firewall einzustellen, so dass diese die IP vom ADSL Modem bekommt. Beim ADSL Modem könnt ich dann NAT und DHCP usw. ausschalten, dass die Firewall wie ein einfacher Desktiop PC aus IP sicht funktionieren würde und eben eine IP des ADSL Netzes bekommt.

Was denkt ihr, was ist die eleganteste Lösung? PPoE zu verwenden? Oder Firewall mit DHCP WAN IP und dabei DHCP und NAT auf dem ADSL Router abschalten?

Grüsse
Manuel
Mitglied: aqui
17.11.2006 um 14:45 Uhr
Auf einem ADSL Modem kann man nichts einrichten, denn das ist komplett passiv, da nur ein banaler Medienwandler von ADSL Zellen auf Ethernet Framing !! Oder meinst du mit "Modem" deinen Router ???
Normalerweise machst die immer PPPoE, denn das dient dem Carrier als Benutzerauthentifizierung und erst damit schaltet er den DSL Zugang frei indem er dir über einen Radius Server eine IP Adresse u.a. zuweist. Ohne PPPoE läuft also gar nichts im Consumer DSL Zugang. Allerdings mag das in der Schweiz etwas anders sein, denn teilweise wird auch PPPoA oder MPoA benutzt (nicht in DL).
Normalerweise schliesst du den NetGear an einem (passiven) DSL Modem an. Er bekommt dann bei DSL Einwahl über PPPoE dynamisch seine IP Adresse zugeteilt.
Die VPN Verbindung die dann der Router aufbaut macht er direkt auf diese WAN IP Adresse vom Carrier. Das Problem ist nun das diese ewig wechselt und der VPN Peer irgendwann mal die Ziel IP nicht mehr findet. Um das Problem zu umgehen musst du DynDNS benutzen.
Ausnahme wäre du bekommst von deinem Carrier immer eine feste IP über den Radius per PPPoE zugeordnet, dann kannst du auch mit diesen IP Adressen arbeiten ohne DynDNS zu verwenden !
Diese feste Zuordnung findet meist Anwendung wenn du einen VoIP Account hast bei einem Carrier, denn ein SIP Server muss dann deine feste IP kennen um outgoing Telefon Calls zuordnen zu können.
Bitte warten ..
Mitglied: 38517
17.11.2006 um 15:17 Uhr
Hallo!

Mein ADSL Modem/Router von Cayman macht NAT und hat einen DHCP Server. Ich habe bei der Firewall eine selbst definierte lokale IP und nicht etwa eine des Providers. Bei der Firewall mache ich nochmals NAT und DHCP für die angeschlossenen PCs. Der Gateway per DHCP Lease zeigt auf die LAN IP Adresse des ADSL Modems.

Gruss
Manuel
Bitte warten ..
Mitglied: aqui
17.11.2006 um 22:04 Uhr
OK, nun wird das klar, es ist also kein Modem sondern ein Router mit integriertem Modem !
Du hast ein kaskadiertes Szenario. Du hast hinter dem DSL NAT Router nochmal eine VPN Appliance bzw. Router.
OK, das Problem ist der NAT Prozess in dem DSL Router vor den VPN Maschinen, denn der lässt diese VPN Packete nicht so einfach passieren.

Nun ist es sehr wichtig zu wissen um dir zu helfen welche Form von VPN bzw. welches Protokoll deine VPN Verbindung benutzt. Es gibt dort verschiedene Verfahren bzw. Protokolle als da sind: PPTP, IPsec AH, IPsec ESP, L2TP, SSL etc. und davon ist es abhängig welche IP Ports du forwarden musst auf dem Router damit dein Szenario funktioniert.

Wenn du das Protokoll weisst kann man auch die Ports definieren...sonst musste man für alle Verfahren hier einen Roman verfassen....
Bitte warten ..
Mitglied: 38517
18.11.2006 um 00:42 Uhr
Hallo!

Ich verwende den FVS318v3 VPN Wizard mit folgenden Einstellungen:

Gatewas - Gateway (2x Netgear FVS318v3)

IKE Policy Configuration
Encryption Algorithm: 3DES
Authentication Algorithm: SHA-1
Authentication Method: Pre-shared Key
Diffie-Hellman (DH) Group: Group 2 (1024 Bit)


Policy Table
      1. Enable Name Type Local Remote AH ESP
      1 freshpixel Auto 192.168.0.0 / 255.255.255.0 192.168.3.0 / 255.255.255.0 Disabled ESP



      VPN Policies
      Encryption Algorithm: 3DES
      Authentication Algorithm: SHA-1
      NETBIOS Enable


      Policy Table
          1. Name Mode Local ID Remote ID Encr Auth DH
          1 freshpixel Main A.dyndns.org B.dyndns.org 3DES SHA1 Group 2 (1024 Bit)

          Auf beiden Firewall werde ich dies so einrichten, jedoch local remote natürlich gespiegelt.

          Ich nehme an, dass ich Port rederictions machen muss, oder?

          ADSL Router --> Firewall

          Wisst ihr gerade welche Ports ich nehmen muss?

          Grüsse
          Manuel
Bitte warten ..
Mitglied: aqui
19.11.2006 um 16:44 Uhr
Das sieht nach IPsec im ESP Mode aus.
Du musst kein Port Forwarding machen wenn die VPN Systeme direkt mit dem Internet verbunden sind. Sind jeweils Router davor oder nur auf einer Seite muss bei IPsec mit ESP der Port UDP 500 (ISAKMP / IKE) und ESP Protokoll Nummer 50 (Achtung NICHT TCP Port 50) geforwardet werden.
Ausserdem muss der/die Router VPN Passthrough supporten.
Bitte warten ..
Mitglied: 38517
24.09.2007 um 10:13 Uhr
Hallo Zusammen

Ich nochmals... Welche Ports muss ich auf dem ADSL Router forwarden, wenn ich eine Gateway-Gateway Verbindung herstellen will?

Ich gehe dabei vor wie im Manual ab Seite 200 über den VPN Wizard: http://kbserver.netgear.com/pdf/fvs318v3_manual.pdf#xml=http://kbserver ...

Da die Firewalls hinter einem ADSL Router mit NAS stehen muss ich die Remote-IP des ADSL-Routers abgeben und Portforwaring machen. Ich hoffe, dass dies funktioniert, wenn ich die Port nummern weiss. Sollte dies klappen? Welche Ports muss ich genau mit der Standardeinstellung forwarden?

Danke und Gruss
Manuel
Bitte warten ..
Mitglied: aqui
24.09.2007 um 10:20 Uhr
Was meinst du genau mit einer Gateway - Gateway Verbindung ??? Sowas gibt es eigentlich nicht und du meinst damit vermutlich einen VPN Tunnel zwischen den Firewalls oder den beiden Routern, oder ??
Da du von Port Forwarding sprichst sollen vermutlich die Firewalls hinter den Routern den VPN Tunnel aufbauen, denn wenn die Router es machen würden (was technisch die bessere Lösung ist...!) bräuchtest du erst gar kein Port Forwarding !

Die wichtigste Information aber die man braucht um die diese Frage adäquat zu beantworten gibst du uns aber nicht, damit ist eine hilfreiche Antwort unmöglich

Wie du ja sicher weisst gibt es eine ganze Anzahl von VPN Protokollen (PPTP, IPsec(AH), IPsec(ESP), L2TP, OpenVPN, SSL usw.) jedes mit unterschiedlichen Mechanismen und Ports....

Man muss also mindestens das von dir auf der Firewall konfigurierte VPN Protokoll oder das Verfahren ihres VPN kennen um dir die Frage nach den Ports richtig beantworten zu können !!!
Bitte warten ..
Mitglied: 38517
24.09.2007 um 10:37 Uhr
Hallo Aqui

Ich verwende 2 Netopia ADSL Router an zwei Standarten. Hinter jedem ADSL Router steckt eine FVS318v3 Firewall. ADSL Router und Firealls sind kaskadiert mit NAS, dh. dass der ADSL Router eine WAN IP des Providers bekommt, die Firewalls hingegen haben eine interne IP Adresse. Über die Interne IP sind sie im Internet nicht erreichbar, nur über die IP des ADSL Routers. Ich möchte VPN zwischen den beiden FVS318v3 einrichten. Dazu muss ich die Ports der ADSL Router forwarden, weils jeweils deren IP im Internet bekannst ist (NAS).

Meine Frage ist, welche Ports ich bei den Standardeinstellungen des Wizzards (Gateway to Gateway) jeweils von den ADSL Routern auf die Firewall forwarden muss. Sprich, ich brauch die Ports der tangierten Protokolle bei den VPN Standardeinstellungen.

Ob dies eine gute Lösung ist ist Phylosophie, Fact ist aber, dass ich dies so machen muss

Danke für die Hilfe!
Manuel
Bitte warten ..
Mitglied: aqui
24.09.2007 um 11:00 Uhr
Nach deiner Beschreibung sieht dein Szenario so aus, oder ?

f0b6db987a12286448e544c520117dd2-ng-vpn - Klicke auf das Bild, um es zu vergrößern

Wie bereits oben gesagt: Man muss wissen welches VPN Protokoll die Firewalls untereinander benutzen um den VPN Tunnel aufzubauen damit man die entsprechenden Port Forwarding Einträge in den Netopia Routern machen kann auf die lokalen IP Adressen der Firewalls in dem Router/Firewall Netzsegment.
Diese Frage hast du wiederum nicht beantwortet. Ohne diese Information kann man deine Frage hier aber nicht lösen !

Generell ist das kein gutes Konzept oben, da du gezwungen bist mit Port Forwarding auf den Routern zu arbeiten. Bei Net to Net VPNs keine wirklich gute Lösung !
Warum du nicht die FVS Firewalls direkt am DSL Anschluss betreibst und damit das PFW Problem elegant umgehst und das Netz weniger anfällig zu machen, bleibt mehr als unverständlich ?!
OK aber warum einfach machen wenn es umständlich auch geht... Generell funktioniert das design von oben auch.
Bitte warten ..
Mitglied: 38517
24.09.2007 um 11:17 Uhr
Hallo Aqui

Vielen Dank!

Ja, das Diagramm stimmt genau! Ich verwende NAT (nicht NAS sorry!) und kein Ppoe, weil ich damit mehr Erfahrung habe und so die Verbindungen funktionieren. Ich möchte nicht die Interntezugänge an beiden Standorten unterbrechen.

Wie haben die selbe Frage: Welches Protokoll? Ich weiss es nicht genau. Auf dem Manual ist im Wizzard: Encryption mit 3DES und Authentication mit SHA-1, Protocol ist ESP

Kannst du mir sagen, welche Ports dies betrifft? Vielen Dank!
Bitte warten ..
Mitglied: aqui
24.09.2007 um 11:50 Uhr
Du nutzt IMMER PPPoE und NAT auf der DSL Seite zum Provider !!! Mit dem PPPoE Protokoll authentifizierst du dich bei deinem DSL Provider. Also ist PPPoE immer mit aktiviert auf dem Router ! (Ggf. mag das in der Schweiz anders sein da dort andere Authentifizierungsprotokolle benutzt werden, das könnte sein ?!)

Ok, nach den paar Brocken ist zu vermuten das die VPN Verbindung vermutlich mit IPsec im ESP Modus (Encapsulation Security Payload) funktioniert. Nur eine Vermutung....

Die IPsec(ESP) Protokollsuite für VPN benutzt die folgenden Ports bzw. Protokolle:

UDP 500 (IKE, Internet Key Exchange Protocol)
UDP 4500 (NAT Traversal)
ESP Protokoll (ESP hat die IP Protokoll Nummer 50, Achtung: Nicht UDP oder TCP 50 denn ESP ist ein eigenständiges IP Protokoll)

Diese 3 Ports/Protokolle musst du in jedem Falle in den Routern auf beiden Standort Seiten auf die IP Adresse der FVS Firewall im Router/Firewall Segment forwarden ! Sonst wirst du keinen VPN Verbindungsaufbau damit zustandebringen !
Bitte warten ..
Mitglied: 38517
24.09.2007 um 12:08 Uhr
Dankeschön!

Ich werde es damit ausprobieren.

Mit kein PPOE meinte ich kein PPOE auf der Firewall selbst, sondern auf dem ADSL Router. Ist ist so kaskadiert leider etwas komplizierter... Hat aber den Vorteil, dass die Firewall einfach getauscht werden kann

Ich hatte früher Probleme den ADSL Router in den Bridge Mode zu schalten, darum habe ich es damals mit der Kaskadierung eingerichtet. Ich verwende Port forwarding über 2 Stufen (ADSL Router --> Firewall --> Server) und es funktioniert...

Grüsse
Manuel
Bitte warten ..
Mitglied: aqui
24.09.2007 um 12:17 Uhr
OK, das ist auch richtig. Die Firewall darf auf keinen Fall PPPoE am WAN Port machen sondern muss eine statische IP Adresse aus dem Router/Firewall Segment haben !
Bedenke das diese 4 IP Netze alle unterschiedlich sein müssen z.B.

Standort 1:
Router/Firewall Netz: 172.16.1.0/24 (Router z.B. .254, Firewall z.B.: .1)
Lokales Netz: 172.17.1.0/24 (Router/Firewall z.B. .254)

Standort 1:
Router/Firewall Netz: 172.16.2.0/24 (Router z.B. .254, Firewall z.B.: .1)
Lokales Netz: 172.17.2.0/24 (Router/Firewall z.B. .254)
Bitte warten ..
Mitglied: 38517
24.09.2007 um 12:22 Uhr
Danke Aqui

Das habe ich, die 4 Netze sind ganz unterschiedlich. Ist hoffe, dass mit der VPN Config nicht der normale Datenverkehr übers Internet und andere Server, dass auf den VPN Tunnel geroutet werden. Normalerweise sollten nur Daten für das Remote Subnetz/Netz via Tunnel geroutet werden, oder?

Lieber Gruss
Manuel
Bitte warten ..
Mitglied: aqui
24.09.2007 um 12:50 Uhr
Ja, genau ! Der VPN Tunnel verhält sich genau so wie eine direkt geroutete Ethernet Verbindung in das Zielnetz.
Virtuell ist es so als ob deine FVS Firewall noch einen weiteren Adapter hat und dort das remote Netz dranhängt...
Bitte warten ..
Mitglied: 38517
25.09.2007 um 11:51 Uhr
Hallo!

Auf den ADSL Router konnte ich einen NET default Server einrichten. Diesen habe ich auf die Firewall eingestellt. So werden alle Pakete an die Firewall geroutet.
Damit hat das VPN mit Dyndyn geklappt.

Danke für die Hilfe!
Grüsse
Manuel
Bitte warten ..
Mitglied: aqui
26.09.2007 um 17:53 Uhr
...keine Ursache. Bitte dann
https://www.administrator.de/index.php?faq=32
nicht vergessen !
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless

VPN Tunel geht verloren nach VM Switching

Frage von staybbLAN, WAN, Wireless5 Kommentare

Hallo zusammen, ich habe folgendes Problem: Ich habe einen Server 2012R2 mit eingerichtetem PPTP Dienst. Der Server ist virtualisiert ...

Router & Routing

Netgear FVS318v3 VPN - Tunnel steht, aber nichts erreichbar

Frage von Xaero1982Router & Routing10 Kommentare

Moin Zusammen, hab schon viel gesucht, aber irgendwie nichts weiter passendes gefunden. Ich muss ne VPN Verbindung zu og. ...

SAN, NAS, DAS

NAS per VPN oder DynDNS erreichbar

gelöst Frage von verueckterHundSAN, NAS, DAS7 Kommentare

Hallo zusammen, bin gerade am überlegen wie ich mein NAS (Synology DS718+) von außen erreichbar machen kann. Es gibt ...

Switche und Hubs

Netzwerkgerät lässt im Router die PPoE zusammenbrechen

gelöst Frage von StephsSwitche und Hubs6 Kommentare

Hallo zusammen, ich habe heute mal eine Frage an die Runde, da ich einen Fall habe der sich mir ...

Neue Wissensbeiträge
Ausbildung

Linux-Ausstieg in Niedersachsen - Windows statt Bugfix

Information von StefanKittel vor 1 TagAusbildung9 Kommentare

Sind ja nur Steuergelder

Speicherkarten

Neuer Speicherkartentyp - zunächst nur für Huawei-Smartphones (künftig auch für Notebooks u. Tablets?)

Tipp von VGem-e vor 3 TagenSpeicherkarten3 Kommentare

Servus, als ob das "Chaos" i.S. Speicherkarten noch nicht groß genug wäre?! Evtl. kommt dieser neue Kartentyp bald auch ...

Sicherheit

Diverse D-Link-Router durch drei Schwachstellen kompromittierbar

Information von kgborn vor 3 TagenSicherheit

Hat jemand D-Link-Router in Verwendung? Einige Modelle sind sicherheitstechnisch offen wie ein Scheunentor. Äußerst unschöne Sache, aber nichts neues ...

Hardware

100.000 Mikrotik-Router ungefragt von Hacker abgesichert

Information von 7Gizmo7 vor 4 TagenHardware3 Kommentare

Hallo zusammen, da hier ja öfters mal von Mikrotik gesprochen wird. Trotz Updates klafft eine Sicherheitslücke in Hundertausenden Mikrotik-Routern. ...

Heiß diskutierte Inhalte
Vmware
Offene LDAP-Server in AS
gelöst Frage von obi-wan-kenobiVmware19 Kommentare

Hallo alle Miteinander, ich habe ein Problem, unsere VM-Ware Appliance (Version. 6.5.0.10000) ist scheinbar angreifbar. Wir haben eben die ...

Windows Server
Zertifikat RemoteDesktop hinterlegen
gelöst Frage von Green14Windows Server12 Kommentare

Hallo zusammen. ich habe mehrere Server (WinSrv 2016). Die Server sind in keiner Domäne und keine Terminalserver. Ich verbinde ...

Suche Projektpartner
Debian 9.5 32 Bit und PHP 7 Fehlerbeseitigungen
Frage von zeroblue2005Suche Projektpartner11 Kommentare

Hallo Zusammen, ich habe eine VM auf Basis von ESXI am laufen. Dieser wurde unter Debian 7 installiert mt ...

Windows 10
Windows 10 Spracherkennung - Eure Meinungen?
Frage von honeybeeWindows 1011 Kommentare

Hallo, wollte heute mal aus Neugier die Spracherkennung unter Windows 10 (Version 1803) ausprobieren und war mehr wie enttäuscht. ...