Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Komplizierte VPN Einrichtung mit Linksys BEFSX41

Frage Netzwerke Router & Routing

Mitglied: mmmtom

mmmtom (Level 1) - Jetzt verbinden

19.07.2008, aktualisiert 31.07.2008, 6968 Aufrufe, 6 Kommentare

Hallo Forum, hier geht es um die Einrichtung eines VPN Zugriffs via ISP Router mit Portforwarding > Linksys BEFSX41 > Zyxel NSA

Wir haben im Wohnhaus ein 'Hausnetz' quasi wie eine Standleitung von einem österreichischen Provider (sil.at).

Auf dem Router des Providers wurde vor kurzem ein Port Forwarding eingerichtet.
Die von aussen sichtbare IP ist statisch, sagen wir 55.55.55.55 und der Port 5555 ist für meine IP 192.168.0.55 gedacht/forwarded.
Ich hab nun meinen FirewallRouter Linksys BEFSX41 auf diese statische IP umgestellt.
Hinter dem Router verwende ich ein 10.0.0.X IP-Range.

Ich habe auch laut Linksys Handbuch eine 'IP-Sicherheitsrichtlinie auf Lokaler Computer' in den 'lokalen Sicherheitsrichtlinien' erstellt und zugewiesen.

Im VPN Setup des Routers habe ich folgende Einstellungen vorgenommen:

Local Secure Group: auf Subnet 10.0.0.0 / 255.255.255.0

Remote Secure Group: HOST (the same as Remote Security Gateway setting!)

Remote Security Gateway: FQDN 55.55.55.55:55

Bei den Remote Einträgen bin ich aber nicht sicher, ob ich das richtig gemacht habe.
Im VPN LOG kommt das:
2008-07-19 13:21:18 IKE[1] ERROR: Remote Security Gateway domain name problem

Ich bin mir nicht sicher, ob die Remote Secure Group nicht die IP meines Clients sein müsste, also 10.0.0.55 und unter Remote Security Gateway der von aussen sichtbare Teil mit Port 5555. Es gibt aber ausser FQDN keine Möglichkeiten, auch einen Port anzugeben. Wenn ich nur die IP angebe, weis er zwar nicht, wohin der Hausrouter forwarden soll, immerhin erhalte ich im VPN LOG dann:
2008-07-19 14:03:40 IKE[1] Tx >> MM_I1 : 55.55.55.55 SA

Mein Problem ist also etwas vielschichtig, weil ich erstens als VPN Ziel nicht einen normalen Windows Client hab sondern nur den Linksys Router an dem ein Zyxel Network Attached Storage aus dem 10.0.0.X Range hängt und zweitens, weil ich im Netz nur Anleitungen für Router zu Router oder Router zu WinClient gefunden habe.

Hat hier vielleicht eine Idee, wie ich das richtiger/besser machen könnte?
Danke
Tom
Wien
Mitglied: aqui
19.07.2008 um 15:13 Uhr
Die wichtigste Information lieferst du leider nicht Nämlich welches VPN Protokoll du benutzen willst und was genau du erreichen willst.
Vermutlich wohl ein VPN Dialin von remote auf den Router um einen Netzwerkzugriff auf dein Netz zu erlangen, was ja auch ein klassisches VPN Szenario ist, das überhaupt nicht kompliziert ist ??

Nach deinen Beschreibungen von ist dein Vorhaben aber vermutlich von vorn herein zum Scheitern verurteilt !
Es fängt damit an das dein Provider nur den Port 5555 forwardet, wie du ja selbst schreibst. Wobei du es noch nicht einmal für nötig hälst uns zu sagen für welches Protokoll UDP oder TCP er das macht.
So oder so benutzt kein einziges VPN Protokoll was derzeit existiert diesen Port egal ob UDP oder TCP ! Das ist schon das erste Hindernis !

Wenn man sich die Daten zum Linksys Router einmal genauer ansieht sieht man in den technischen Features das er nur IPsec als VPN Protokoll supportet.
Vermutlich dann also IPsec im ESP Modus. Damit das sauber funktioniert müssten mindestens 3 Protokolle bzw. Ports nämlich IKE mit UDP 500, NAT-Traversal mit UDP 4500 und der eigentliche Datenstrom der mit dem ESP Protokoll (Encapsulation Security Payload) mit der Protokollnummer 50 übertragen wird geforwardet werden von deinem Provider. Für das ESP Protokoll muss der Provider zudem VPN Passthrough supporten.

All das ist aber scheinbar nicht der Fall bei dir wenn nur Port 5555 (was auch immer) geforwardet wird.
Damit bekommst du kein einziges VPN Protokoll auf deinen Linksys Router !!

(Nebenbei: Mit remote Secure Group ist das remote lokale Netzwerk gemeint !)
Bitte warten ..
Mitglied: mmmtom
20.07.2008 um 10:59 Uhr
Danke für die Antwort!

Dass ich so viele Informationen unabsichtlich unterschlagen habe, bestätigt, dass es zumindest für mich doch kompliziert ist und ich mich weniger auskenne als ich dachte Nichts desto Trotz möchte ich versuchen, dass es mir gelingt

Zunächst einmal muss ich gestehen, dass ich bei den IPs und Ports nicht die tatsächlichen angegeben habe, um bei Fehlkonfiguration nicht gleich die ersten Angreifer anzulocken - sorry wenn das vielleicht etwas naiv ist!

Tatsächlich sind 3 interne Ports je Wohnungsanschluß im Haus reserviert.
Meine sind:
Port 5902 auf IP 192.168.0.52
Port 5903 auf IP 192.168.0.53
Port 5904 auf IP 192.168.0.54

Wie sich diese Tatsache auf die Art und Weise der Konfiguration auswirkt bleibt mir zunächst noch unerschlossen - Sorry again!

Aus reiner Unwissenheit hielt ich es nicht mal für nötig ob mein Provider die Ports für UDP oder TCP forwarded - sorry again: Ich weis es noch immer nicht.

Also beschreibe ich mein Szenario noch etwas genauer:

Ich bin viel unterwegs und habe in meinem Home-Office viele Daten auf diesem Zyxel-NSA liegen, der wiederum an dem Linksys Router angeschloßen ist. Dieser Router kann folgende 3 Protokolle:
IPSec Pass-Through (Diese Option habe ich gewählt)
PPPoE Pass-Through (hab ich disabled)
PPTP Pass-Through (hab ich disabled)
Man kann auch alle drei enablen

Für Unterwegs hab ich ein Mobiles UMTS Breitband Modem mit dem ich online gehe. Ich erhalte bei jeder Einwahl eine dynamische IP (!).
Nun möchte ich, wenn diese Verbindung steht eine VPN Verbindung mit meinem Linksys Router herstellen und damit auf meinen Fileserver (NSA) zugreifen. Im Home-Office gibt es (noch) keinen PC auf den ich zugreifen möchte, das kann sich aber ändern.

Beim Router hab ich als Verschlüsselung 3DES (es ginge auch DES und disabled) und bei Authentifizierung SHA (es ginge auch MD5 und disabled) gewählt.
Bei Key Management habe ich Auto IKE gewählt (es gibt auch die Option Manual), PFS enabled, bei Pre-shared Key habe ich einen 24 stelligen eingegeben und bei Key Lifetime steht 3600 Sekunden.

Auf die Gefahr hinauf, wieder zu wenig Informationen angegeben zu haben, belasse ich es jetzt mal hierbei und hoffe, dass mir doch noch geholfen werden kann. Vielen 1000Dank schon mal im Vorhinein!!!!
Tom
Bitte warten ..
Mitglied: mmmtom
20.07.2008 um 14:03 Uhr
Zur Ergänzung meiner Fragen weitere Infos:
  • Einstellungen des Routers
  • 'Netzwerk-Schema'

Welche IPs gehören nun beim Router i.d. VPN Konfiguration eingetragen:
  • Local Secure Group: ? (Optionen: IP-Adr., Subnet, IP-Range)
  • Remote Secure Group: ? (Optionen: IP-Adr., Subnet, IP-Range, Host, Any)
  • Remote Security Gateway: ? (Optionen: IP-Adr., FQDN,Any)

und was muss man beim Notebook dafür konfigurieren?

Hab ich mit IPsec das richtige gewählt oder wäre ich mit PPPoE oder PPTP besser/sicherer dran?

### Einstellungen des Routers: ###
NAT = enabled
Dynamic Routing = enabled
(Transmit / Receive RIP Version RIP1)
Advanced Routing = optional 20 Routes

01.
 
02.
 
03.
Routing Table Entry List: 
04.
Destination LAN IP    Subnet Mask	Default Gateway   Hop Count   Interface 
05.
0.0.0.0               0.0.0.0         192.168.0.1      1          WAN 
06.
10.0.0.0              255.255.255.0   0.0.0.0          1          LAN 
07.
192.168.0.0           255.255.255.0   0.0.0.0          1          WAN 
08.
 
09.
### 'Netzwerk-Schema' ### 
10.
 ________________ 
11.
|                | 
12.
|  NOTEBOOK      | 
13.
|       USB      | 
14.
|________|_______| 
15.
 ________|_______ 
16.
|        |       | 
17.
|       USB      | 
18.
|  HUAWEI        | 
19.
|  3G UMTS MODEM | 
20.
|  Dynamische IP | 
21.
|  XX.XX.XX.XX   | 
22.
|________________| 
23.
 ________|_______ 
24.
(                ) 
25.
(   INTERNET     ) 
26.
(________________) 
27.
 ________|_______ 
28.
|        |       | 
29.
|  86.58.17.123  | 
30.
|        |       | 
31.
|  Port Forward  | 
32.
|  Port: 5902__  | 
33.
|              | | 
34.
|  HAUSROUTER  | | 
35.
|              | | 
36.
|              | | 
37.
| 192.168.0.52 | | 
38.
|______________|_| 
39.
 ________|_____|_ 
40.
|              | | 
41.
|              V | 
42.
| 192.168.0.52   | 
43.
|                | 
44.
|  Mein Router   | 
45.
|   Linksys      | 
46.
|   BEFSX41      | 
47.
|                | 
48.
| 10.0.0.1       | 
49.
|________________| 
50.
         |_ _ _ _ _ _ _ _ 
51.
 ________|_______   _____|_____ 
52.
|                | |           | 
53.
| 10.0.0.100     | | 10.0.0.60 | 
54.
| Zyxel NSA-220  | | PRINTER   | 
55.
|  (Network      | |___________| 
56.
|     Storage)   | 
57.
|________________| 
58.
 
59.
 
Bitte warten ..
Mitglied: aqui
20.07.2008 um 18:32 Uhr
Da muss noch ein Fehler in deiner Zeichnung sein ! Der Hausrouter und dein Router koennen niemals ein und dieselbe IP Adresse im gleichen Netzwerk (.52) haben...das muss falsch sein !

So oder so hast du aber keinerlei Chance das zum Laufen zu bringen solange der Hausrouter nur diese sinnlosen 590x Ports forwardet.

Wie du ja oben schreibst benutzt du IPsec als VPN Protokoll und das benoetigt zwingend die folgenden Ports:
UDP 500 (IKE)
UDP 4500 (NAT-T)
ESP Protokoll (Protokoll Nummer 50)

Solange du diese 3 Ports bzw. Protokolle nicht vom Hausrouter auf deinen Linksys forwardest ist eine VPN Konfiguration aussichtslos und von vorn herein zum Scheitern verurteilt.

Du musst erst diese Ports weiterleiten, erst dann wird eine VPN Verbindung funktionieren, sonst niemals !
Bitte warten ..
Mitglied: mmmtom
22.07.2008 um 14:00 Uhr
Ich würde gerne auch noch andere Meinungen dazu lesen.

Vielen Dank
Tom
Bitte warten ..
Mitglied: mmmtom
31.07.2008 um 17:34 Uhr
Sorry, ich möchte das jetzt nochmal mit einer veränderten Fragestellung pushen:

Unabhängig von den vorherigen Fragen, sprich: angenommen ich bestehe nicht auf IPsec als Protokoll.

Welche Alternativen hätte ich mit der bestehenden Hardware (wie weiter oben im Netzwerkschema aufgezeichnet) eine sichere Verbindung herzustellen (sicher im Sinne von Authentifizierung und Datenübertragung)

Das 3G Huawei Modem ist mittlerweile per DynDNS registriert und hat somit einen Hostnamen!

Vielen Dank
Tom
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Sicherheitsgrundlagen
Sicherheitsbedenken bei Einrichtung einer VPN im Unternehmen (11)

Frage von AlexBerlin zum Thema Sicherheitsgrundlagen ...

Netzwerke
Open VPN Server am LINKSYS LRT214 korrekt einrichten (1)

Frage von Thomas866 zum Thema Netzwerke ...

Windows Netzwerk
Direct Access mit VPN aufbau (6)

Frage von geocast zum Thema Windows Netzwerk ...

Windows Server
Windows Server 2016 VPN richtig konfigurieren (1)

Frage von junior zum Thema Windows Server ...

Heiß diskutierte Inhalte
DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (13)

Frage von JayyyH zum Thema Switche und Hubs ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...

Backup
Clients als Server missbrauchen? (9)

Frage von 1410640014 zum Thema Backup ...