Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Wie bestehende VPN Verbindung nutzen?

Frage Netzwerke Router & Routing

Mitglied: MaeSiuS

MaeSiuS (Level 1) - Jetzt verbinden

14.01.2010, aktualisiert 18.10.2012, 12956 Aufrufe, 7 Kommentare

Router und VPN Client haben erfolgreich VPN Verbindung aufgebaut, wie geht es nun weiter?

Hallo Admins,
ich bitte als VPN-Neuling um Hilfe. Mit folgender Konfiguration habe ich bereits erfolgreich eine VPN Verbindung aufgebaut:
---Praxis-Netzwerk:
Router: Netgear DG834B, dahinter mehrere Rechner mit statischen IPs
VPN Einstellungen des Routers für Lokales LAN: Adressbereich
VPN Einstellungen des Routers für entferntes LAN: einzelne Adresse
---Heim-Netzwerk:
Router: Eumex 820 LAN, Filter zur Kommunikation über Port 500 (UDP) und Port forwarding auf Client bereits eingerichtet
Client: mit LAN IP 192.168.0.14 mit Netgear ProSafe VPN Client, Firewall auf Client deaktiviert
Beide Router haben feste Hostnamen per dyndns.
Nach Connect mit Prosafe VPN Client erscheint Meldung: "Successfully connected to...."
Im VPN-Status des DG834B steht zu lesen:
01.
Thu, 2010-01-14 00:40:51 - [Praxis-VPN] responding to Main Mode from unknown peer XXX.XXX.XXX.XXX 
02.
Thu, 2010-01-14 00:40:51 - [Praxis-VPN] sent MR3, ISAKMP SA established 
03.
Thu, 2010-01-14 00:40:51 - [Praxis-VPN] Dead Peer Detection (RFC 3706): enabled 
04.
Thu, 2010-01-14 00:40:52 - [Praxis-VPN] responding to Quick Mode {msgid:11e56b72} 
05.
Thu, 2010-01-14 00:40:52 - [Praxis-VPN] Dead Peer Detection (RFC 3706): enabled 
06.
Thu, 2010-01-14 00:40:52 - [Praxis-VPN] IPsec SA established
So weit, so gut. Wie kann ich diese Verbindung nun nutzen?
Mein Plan war über die Clientanwendung der Praxisverwaltungssoftware aus dem Heimnetzwerk den Server der Praxis bedienen zu können.
Der Clientanwendung wurde die private IP des Servers im Praxisnetz mitgeteilt. Seit dies geschehen ist schmiert die Clientanwendung nach dem Start ab.
Ich habe keine Anhnung, wie sich das bestehnde VPN auf dem Clientrechner im Heimnetzwerk bemerkbar machen sollte. Ich dachte an eine neue Netzwerkverbindung oder ähnliches.
"ipconfig /all" gibt allerdings keinen Hinweis auf das VPN.
Sind weitere Einstellungen in der Eumex oder auf dem Clientrechner nötig? Die Rechner im Praxisnetzwerk sollten über die wenigen zu machenden Einstellungen im Router dem VPN zugänglich sein.

HINWEIS: Ich nutze den Netgear ProSafe VPN CLient in der Version 10.3.5 (Build 6). Die Verbindung kann nur hergestellt werden, wenn ich in dessen Einstellungen unter "My Identity" den "Virtual Adapter" auf "disabled" stelle. Auf meiner Suche im Web stieß ich auf den Hinweis, dass es sich hierbei um einen Bug der älteren Versionen des ProSafe Clients (wie der von mir genutzten) handele. Die Einstellungen "required" oder "prefered" lassen den Verbindungsaufbau mit folgenden Einträgen im Log des ProSafe Clients scheitern:
01.
1-14: 01:12:32.687 Error creating Virtual Interface for local interface 192.168.0.14, err=RASSTATUS_NO_PROTOCOLS 
02.
 1-14: 01:12:32.687 My Connections\Praxis-VPN - Failed to create required virtual adapter 
03.
 1-14: 01:12:32.687 My Connections\Praxis-VPN - Deleting IKE SA (IP ADDR=XX.XXX.XXX.XXX) 
04.
 1-14: 01:12:32.687    MY COOKIE 55 86 ba 8d 7f 12 59 66 
05.
 1-14: 01:12:32.687    HIS COOKIE 56 5c 77 23 6 a6 38 58 
06.
 1-14: 01:12:32.687 My Connections\Praxis-VPN - SENDING>>>> ISAKMP OAK INFO *(HASH, DEL) 
07.
 1-14: 01:12:32.781 NO MATCHING SECURE CONNECTION - RECEIVED<<< ISAKMP OAK INFO *(Opaque) 
08.
 1-14: 01:12:32.781 NO MATCHING SECURE CONNECTION - Received message for non-active SA
Was ist dieser virtuelle Adapter und brauche ich ihn zum erfolgreichen VPN-Zugriff auf den Server?
Der VPN-Status des DG834B zeigt folgendes zum gescheiterten Verbindungsversuch mit der "required" Einstellung:
01.
Thu, 2010-01-14 01:13:04 - [Praxis-VPN] responding to Main Mode from unknown peer XXX.XXX.XXX.XXX 
02.
Thu, 2010-01-14 01:13:05 - [Praxis-VPN] sent MR3, ISAKMP SA established 
03.
Thu, 2010-01-14 01:13:05 - [Praxis-VPN] Dead Peer Detection (RFC 3706): enabled 
04.
Thu, 2010-01-14 01:13:10 - [Praxis-VPN] received Delete SA payload: deleting ISAKMP State #14
Für Hilfe bin ich dankbar. Falls ich wichtige Angaben vergessen habe, hole ich das auf Hinweis gerne nach.
Gute Nacht,
MaeSiuS
Mitglied: wiesi200
14.01.2010 um 07:21 Uhr
Guten Morgen,

kann es sein das die Verbindung für die Software schlicht weg zu langsam ist?
Bitte warten ..
Mitglied: StefanKittel
14.01.2010 um 10:28 Uhr
Zitat von MaeSiuS:
Mein Plan war über die Clientanwendung der Praxisverwaltungssoftware aus dem Heimnetzwerk den Server der Praxis bedienen zu können.
Vergiss es!

Wir arbeiten seit 15 Jahren für Zahnärzte und ich kenne ziemlich viele Programme. Aber selbst die, die auf einem SQL-Server basieren und lokal installierte Clients haben sind über ein VPN nicht nutzbar.
Selbst WLAN ist für viele Programme (auch N nicht) nicht nutzbar. Das liegt an der Struktur und Qualität ALLER (mir bekannten) Programme.
Die Programme die zur Zeit entwicklet werden basieren quasi alle auf Web-Techniken. Damit wird dass dann möglich sein.

Deine Lösung heißt erstmal RDP.
Also entweder einen Terminamlserver wenn mehrere Personen von Außen arbeiten sollen oder RemoteDesktop wenn es nur darum geht, dass eine Person außerhalb der Arbeitszeiten arbeiten will.

Stefan
Bitte warten ..
Mitglied: MaeSiuS
14.01.2010 um 23:27 Uhr
Guten Abend,
nein, denn die Software ist für den Fernzugriff über schmalbandige Verbindungen ausgelegt. Die clientseitige Anwendung gibt sich auch mit einer ISDN-Wählverbindung zum Zugriff auf den Server zufrieden. Es wird nur Text übermittelt.
Bitte warten ..
Mitglied: MaeSiuS
15.01.2010 um 02:04 Uhr
Hallo Stefan, vielen Dank für Deine Antwort.
Zitat von StefanKittel:
> Zitat von MaeSiuS:
> Mein Plan war über die Clientanwendung der Praxisverwaltungssoftware aus dem Heimnetzwerk den Server der Praxis bedienen
zu können.
Vergiss es!
Niemals! Wie in meiner Antwort an wiesi200 geschrieben, gibt sich die Clientsoftware auch mit einer ISDN-Wählverbindung zufrieden. Es wird ja nur Text übertragen, keine Befunde oder ähnliches.
Deine Lösung heißt erstmal RDP.
Eine ähnliche Lösung erprobe ich gerade mit der proprietären "VNC"-Software Teamviewer.
Also entweder einen Terminamlserver wenn mehrere Personen von Außen arbeiten sollen oder RemoteDesktop wenn es nur darum
geht, dass eine Person außerhalb der Arbeitszeiten arbeiten will.
Hier liegt das Problem, die Mitarbeiter können nicht am Rechner arbeiten, wenn der Heimarbeiter aus der Ferne zugreift. Außerdem müssten zusätzlich zum Linux-Server zwei Windows-Rechner permanent eingeschaltet bleiben, da zwei Heimarbeitsplätze existieren. Der ununterbrochenen Rechner-Laufzeit könnte man vielleicht mit einer funktionierendern WOL-Lösung über's Internet Abhilfe schaffen.
Die VPN-Lösung, in der die Clientsoftware direkt auf dem Heimarbeitsplatz ausgeführt wird (statt ferngesteuert zu werden) ist sinnvoller und eleganter. So man den VPN beherrscht.

Ich stehe nun vor dem Problem nichts mit meinem bestehenden VPN anfangen zu können, da dieses auf dem Heimrechner schlicht nicht sicht- und benutzbar ist. Wie schon geschrieben stelle ich mir vor, dass nach erfolgreicher Herstellung eines VPNs mit dem Praxisnetz eine neue Netzwerkverbindung hergestellt wird, die Zugriff auf das Praxisnetzwerk möglich macht. Ist diese Vorstellung falsch? Wenn nicht, liegt es wahrscheinlich an der Einstellung virtual Adapter disabled. Dieser liefert vermutlich die Netzwerkverbindung, die ich vermisse.

Ich freue mich auf weitere Antworten
Bitte warten ..
Mitglied: aqui
15.01.2010, aktualisiert 18.10.2012
Vielleicht solltest du mal einen stabileren VPN Client als den von NetGear verwenden wie z.B. den freien Shrew Client:

http://www.shrew.net/
bzw.
http://www.shrew.net/support/wiki/HowtoNetgear

Damit sollte es problemlos klappen. (Dafür den NetGear Client komplett deinstallieren) NetGear ist im Bereich VPN Hard- und Software nicht gerade ein Ruhmesblatt wie dir die zahllosen Threads hier beweisen...leider. Besser machen sich da Router von Draytek z.B.
So oder so sollte es aber mit dem o.a. Client besser und fehlerfrei klappen.
Generell hast du alles richtig gemacht und man muss auch nichts besonderes beachten oder zusätzlich installieren wenn man denn die grundlegenden VPN Design Regeln zwingend beachtet hat:
http://www.administrator.de/wissen/vpns-einrichten-mit-pptp-117700.html ...

P.S.: Den "virtuellen Adapter" kannst du immer sehen, wenn du bei erforlgreicher Herstellung der VPN Verbindung einmal ein ipconfig in der Eingabeaufforderung eingibst. Dort findest du dann den Adapter den der VPN Client einrichtet über den dann der VPN Traffic geroutet wird !
Er ist auch immer ein Indiz dafür das alles korrekt abgelaufen ist beim Aufbau der VPN Verbindung.
Ob alle Routen korrekt laufen kannst du mit dem Kommando route print überprüfen !!
Bitte warten ..
Mitglied: MaeSiuS
15.01.2010 um 23:12 Uhr
@aqui,
vielen Dank für die konstruktive Hilfe. Wegen des "virtual adapter" Bug des NetGear Clients wollte ich einen anderen VPN Client ausprobieren. Ich habe bereits die Testversion des "TheGreenBow IPSec VPN Client 4.6" installiert, werde die aber deinstallieren und Ihre Empfehlung nutzen.
Danke auch für den Link zur VPN-Anleitung.

FRAGEN:
  • Hat jemand Erfahrung, ob eine erfolgreiche VPN-Nutzung durch einen "Eumex 820 LAN" Router auf Clientseite vereitelt wird? Einstellungen zum Verkehr über die Protokolle ESP oder AH bietet dieser nicht.
  • Ich möchte während der VPN-Einrichtung an einem anderen Arbeitsplatz arbeiten, der über devolo DLAN an die Eumex angebunden ist. Wird das Probleme geben?

Grüße,
MaeSiuS
Bitte warten ..
Mitglied: aqui
16.01.2010, aktualisiert 18.10.2012
Ein DLAN Link arbeitet wie du ja vermutlich selber weisst als simple Netzwerk Bridge auf Basis der MAC Adressen. Hat also gar keine Ahnung was da IP technisch rübergeht.
Das ist also nicht das Thema und funktioniert sicher... !!

Schlimmer ist da schon der Eumex Router: Generell betreiben alle Consumer DSL Router eine NAT Firewall (Adress Translation). Sie müssten also ein im Internet nicht routebares IP Netzwerk (dein lokales LAN) auf eine öffentliche IP Adresse (die DSL Adresse des Providers) umsetzen.
Dies bedingt dann das eingehende verbindungen von außen generell nicht möglich sind (NAT Firewall)

IPsec das nach einen Sessionrequest eine Verbingung von der VPN Serverseite zum Client aufbaut scheitert als generell IMMER an einem NAT Router. Generell sind also IPsec VPN so gar nicht möglich ! Es gibt aber 2 Ausnahmen:

Generell muss also dein Eumex Router ertsmal VPN Passthrough supporten. Minimal müsstest du eine Port Weiterleitung für UDP 4500 (NAT Traversal) einrichten wenn der Client NAT Traversal kann. Besser UDP 500 und UDP 4500 forwarden. Wenn er VPN Passthrough supportet geht ESP meist dann mit durch.
Ohne das alles wird eine IPsec Verbindung am Eumex Router scheitern !
Du solltest also dann ins Handbuch sehen.
Wäre das der Fall das er all das nicht kann, ist deine einzige Chance dann nur noch ein SSL VPN das über eine normale Webseite und HTTPS rennt oder das sog. SSL VPN für Arme wie es hier beschrieben ist:
http://www.administrator.de/wissen/vpn-f%c3%bcr-arme-tcp-in-ssh-tunneln ...
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Netzwerkmanagement
gelöst Macht eine VPN Verbindung in eine DMZ sinn? (8)

Frage von M.Marz zum Thema Netzwerkmanagement ...

Windows 10
gelöst VPN Verbindung Probleme (7)

Frage von Yeter2 zum Thema Windows 10 ...

Windows Server
gelöst Netzlaufwerke mit einer VPN Verbindung verbinden lassen (16)

Frage von M.Marz zum Thema Windows Server ...

Netzwerke
gelöst VPN Verbindung WIndows Rechner via FritzBox Fernzugang - Kein Internet

Frage von garack zum Thema Netzwerke ...

Heiß diskutierte Inhalte
Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Microsoft Office
Keine Updates für Office 2016 (12)

Frage von Motte990 zum Thema Microsoft Office ...

Grafikkarten & Monitore
Tonprobleme bei Fernseher mit angeschlossenem Laptop über HDMI (11)

Frage von Y3shix zum Thema Grafikkarten & Monitore ...