Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Komplizierte VPN Einrichtung mit Linksys BEFSX41

Frage Netzwerke Router & Routing

Mitglied: mmmtom

mmmtom (Level 1) - Jetzt verbinden

19.07.2008, aktualisiert 31.07.2008, 7003 Aufrufe, 6 Kommentare

Hallo Forum, hier geht es um die Einrichtung eines VPN Zugriffs via ISP Router mit Portforwarding > Linksys BEFSX41 > Zyxel NSA

Wir haben im Wohnhaus ein 'Hausnetz' quasi wie eine Standleitung von einem österreichischen Provider (sil.at).

Auf dem Router des Providers wurde vor kurzem ein Port Forwarding eingerichtet.
Die von aussen sichtbare IP ist statisch, sagen wir 55.55.55.55 und der Port 5555 ist für meine IP 192.168.0.55 gedacht/forwarded.
Ich hab nun meinen FirewallRouter Linksys BEFSX41 auf diese statische IP umgestellt.
Hinter dem Router verwende ich ein 10.0.0.X IP-Range.

Ich habe auch laut Linksys Handbuch eine 'IP-Sicherheitsrichtlinie auf Lokaler Computer' in den 'lokalen Sicherheitsrichtlinien' erstellt und zugewiesen.

Im VPN Setup des Routers habe ich folgende Einstellungen vorgenommen:

Local Secure Group: auf Subnet 10.0.0.0 / 255.255.255.0

Remote Secure Group: HOST (the same as Remote Security Gateway setting!)

Remote Security Gateway: FQDN 55.55.55.55:55

Bei den Remote Einträgen bin ich aber nicht sicher, ob ich das richtig gemacht habe.
Im VPN LOG kommt das:
2008-07-19 13:21:18 IKE[1] ERROR: Remote Security Gateway domain name problem

Ich bin mir nicht sicher, ob die Remote Secure Group nicht die IP meines Clients sein müsste, also 10.0.0.55 und unter Remote Security Gateway der von aussen sichtbare Teil mit Port 5555. Es gibt aber ausser FQDN keine Möglichkeiten, auch einen Port anzugeben. Wenn ich nur die IP angebe, weis er zwar nicht, wohin der Hausrouter forwarden soll, immerhin erhalte ich im VPN LOG dann:
2008-07-19 14:03:40 IKE[1] Tx >> MM_I1 : 55.55.55.55 SA

Mein Problem ist also etwas vielschichtig, weil ich erstens als VPN Ziel nicht einen normalen Windows Client hab sondern nur den Linksys Router an dem ein Zyxel Network Attached Storage aus dem 10.0.0.X Range hängt und zweitens, weil ich im Netz nur Anleitungen für Router zu Router oder Router zu WinClient gefunden habe.

Hat hier vielleicht eine Idee, wie ich das richtiger/besser machen könnte?
Danke
Tom
Wien
Mitglied: aqui
19.07.2008 um 15:13 Uhr
Die wichtigste Information lieferst du leider nicht Nämlich welches VPN Protokoll du benutzen willst und was genau du erreichen willst.
Vermutlich wohl ein VPN Dialin von remote auf den Router um einen Netzwerkzugriff auf dein Netz zu erlangen, was ja auch ein klassisches VPN Szenario ist, das überhaupt nicht kompliziert ist ??

Nach deinen Beschreibungen von ist dein Vorhaben aber vermutlich von vorn herein zum Scheitern verurteilt !
Es fängt damit an das dein Provider nur den Port 5555 forwardet, wie du ja selbst schreibst. Wobei du es noch nicht einmal für nötig hälst uns zu sagen für welches Protokoll UDP oder TCP er das macht.
So oder so benutzt kein einziges VPN Protokoll was derzeit existiert diesen Port egal ob UDP oder TCP ! Das ist schon das erste Hindernis !

Wenn man sich die Daten zum Linksys Router einmal genauer ansieht sieht man in den technischen Features das er nur IPsec als VPN Protokoll supportet.
Vermutlich dann also IPsec im ESP Modus. Damit das sauber funktioniert müssten mindestens 3 Protokolle bzw. Ports nämlich IKE mit UDP 500, NAT-Traversal mit UDP 4500 und der eigentliche Datenstrom der mit dem ESP Protokoll (Encapsulation Security Payload) mit der Protokollnummer 50 übertragen wird geforwardet werden von deinem Provider. Für das ESP Protokoll muss der Provider zudem VPN Passthrough supporten.

All das ist aber scheinbar nicht der Fall bei dir wenn nur Port 5555 (was auch immer) geforwardet wird.
Damit bekommst du kein einziges VPN Protokoll auf deinen Linksys Router !!

(Nebenbei: Mit remote Secure Group ist das remote lokale Netzwerk gemeint !)
Bitte warten ..
Mitglied: mmmtom
20.07.2008 um 10:59 Uhr
Danke für die Antwort!

Dass ich so viele Informationen unabsichtlich unterschlagen habe, bestätigt, dass es zumindest für mich doch kompliziert ist und ich mich weniger auskenne als ich dachte Nichts desto Trotz möchte ich versuchen, dass es mir gelingt

Zunächst einmal muss ich gestehen, dass ich bei den IPs und Ports nicht die tatsächlichen angegeben habe, um bei Fehlkonfiguration nicht gleich die ersten Angreifer anzulocken - sorry wenn das vielleicht etwas naiv ist!

Tatsächlich sind 3 interne Ports je Wohnungsanschluß im Haus reserviert.
Meine sind:
Port 5902 auf IP 192.168.0.52
Port 5903 auf IP 192.168.0.53
Port 5904 auf IP 192.168.0.54

Wie sich diese Tatsache auf die Art und Weise der Konfiguration auswirkt bleibt mir zunächst noch unerschlossen - Sorry again!

Aus reiner Unwissenheit hielt ich es nicht mal für nötig ob mein Provider die Ports für UDP oder TCP forwarded - sorry again: Ich weis es noch immer nicht.

Also beschreibe ich mein Szenario noch etwas genauer:

Ich bin viel unterwegs und habe in meinem Home-Office viele Daten auf diesem Zyxel-NSA liegen, der wiederum an dem Linksys Router angeschloßen ist. Dieser Router kann folgende 3 Protokolle:
IPSec Pass-Through (Diese Option habe ich gewählt)
PPPoE Pass-Through (hab ich disabled)
PPTP Pass-Through (hab ich disabled)
Man kann auch alle drei enablen

Für Unterwegs hab ich ein Mobiles UMTS Breitband Modem mit dem ich online gehe. Ich erhalte bei jeder Einwahl eine dynamische IP (!).
Nun möchte ich, wenn diese Verbindung steht eine VPN Verbindung mit meinem Linksys Router herstellen und damit auf meinen Fileserver (NSA) zugreifen. Im Home-Office gibt es (noch) keinen PC auf den ich zugreifen möchte, das kann sich aber ändern.

Beim Router hab ich als Verschlüsselung 3DES (es ginge auch DES und disabled) und bei Authentifizierung SHA (es ginge auch MD5 und disabled) gewählt.
Bei Key Management habe ich Auto IKE gewählt (es gibt auch die Option Manual), PFS enabled, bei Pre-shared Key habe ich einen 24 stelligen eingegeben und bei Key Lifetime steht 3600 Sekunden.

Auf die Gefahr hinauf, wieder zu wenig Informationen angegeben zu haben, belasse ich es jetzt mal hierbei und hoffe, dass mir doch noch geholfen werden kann. Vielen 1000Dank schon mal im Vorhinein!!!!
Tom
Bitte warten ..
Mitglied: mmmtom
20.07.2008 um 14:03 Uhr
Zur Ergänzung meiner Fragen weitere Infos:
  • Einstellungen des Routers
  • 'Netzwerk-Schema'

Welche IPs gehören nun beim Router i.d. VPN Konfiguration eingetragen:
  • Local Secure Group: ? (Optionen: IP-Adr., Subnet, IP-Range)
  • Remote Secure Group: ? (Optionen: IP-Adr., Subnet, IP-Range, Host, Any)
  • Remote Security Gateway: ? (Optionen: IP-Adr., FQDN,Any)

und was muss man beim Notebook dafür konfigurieren?

Hab ich mit IPsec das richtige gewählt oder wäre ich mit PPPoE oder PPTP besser/sicherer dran?

### Einstellungen des Routers: ###
NAT = enabled
Dynamic Routing = enabled
(Transmit / Receive RIP Version RIP1)
Advanced Routing = optional 20 Routes

01.
 
02.
 
03.
Routing Table Entry List: 
04.
Destination LAN IP    Subnet Mask	Default Gateway   Hop Count   Interface 
05.
0.0.0.0               0.0.0.0         192.168.0.1      1          WAN 
06.
10.0.0.0              255.255.255.0   0.0.0.0          1          LAN 
07.
192.168.0.0           255.255.255.0   0.0.0.0          1          WAN 
08.
 
09.
### 'Netzwerk-Schema' ### 
10.
 ________________ 
11.
|                | 
12.
|  NOTEBOOK      | 
13.
|       USB      | 
14.
|________|_______| 
15.
 ________|_______ 
16.
|        |       | 
17.
|       USB      | 
18.
|  HUAWEI        | 
19.
|  3G UMTS MODEM | 
20.
|  Dynamische IP | 
21.
|  XX.XX.XX.XX   | 
22.
|________________| 
23.
 ________|_______ 
24.
(                ) 
25.
(   INTERNET     ) 
26.
(________________) 
27.
 ________|_______ 
28.
|        |       | 
29.
|  86.58.17.123  | 
30.
|        |       | 
31.
|  Port Forward  | 
32.
|  Port: 5902__  | 
33.
|              | | 
34.
|  HAUSROUTER  | | 
35.
|              | | 
36.
|              | | 
37.
| 192.168.0.52 | | 
38.
|______________|_| 
39.
 ________|_____|_ 
40.
|              | | 
41.
|              V | 
42.
| 192.168.0.52   | 
43.
|                | 
44.
|  Mein Router   | 
45.
|   Linksys      | 
46.
|   BEFSX41      | 
47.
|                | 
48.
| 10.0.0.1       | 
49.
|________________| 
50.
         |_ _ _ _ _ _ _ _ 
51.
 ________|_______   _____|_____ 
52.
|                | |           | 
53.
| 10.0.0.100     | | 10.0.0.60 | 
54.
| Zyxel NSA-220  | | PRINTER   | 
55.
|  (Network      | |___________| 
56.
|     Storage)   | 
57.
|________________| 
58.
 
59.
 
Bitte warten ..
Mitglied: aqui
20.07.2008 um 18:32 Uhr
Da muss noch ein Fehler in deiner Zeichnung sein ! Der Hausrouter und dein Router koennen niemals ein und dieselbe IP Adresse im gleichen Netzwerk (.52) haben...das muss falsch sein !

So oder so hast du aber keinerlei Chance das zum Laufen zu bringen solange der Hausrouter nur diese sinnlosen 590x Ports forwardet.

Wie du ja oben schreibst benutzt du IPsec als VPN Protokoll und das benoetigt zwingend die folgenden Ports:
UDP 500 (IKE)
UDP 4500 (NAT-T)
ESP Protokoll (Protokoll Nummer 50)

Solange du diese 3 Ports bzw. Protokolle nicht vom Hausrouter auf deinen Linksys forwardest ist eine VPN Konfiguration aussichtslos und von vorn herein zum Scheitern verurteilt.

Du musst erst diese Ports weiterleiten, erst dann wird eine VPN Verbindung funktionieren, sonst niemals !
Bitte warten ..
Mitglied: mmmtom
22.07.2008 um 14:00 Uhr
Ich würde gerne auch noch andere Meinungen dazu lesen.

Vielen Dank
Tom
Bitte warten ..
Mitglied: mmmtom
31.07.2008 um 17:34 Uhr
Sorry, ich möchte das jetzt nochmal mit einer veränderten Fragestellung pushen:

Unabhängig von den vorherigen Fragen, sprich: angenommen ich bestehe nicht auf IPsec als Protokoll.

Welche Alternativen hätte ich mit der bestehenden Hardware (wie weiter oben im Netzwerkschema aufgezeichnet) eine sichere Verbindung herzustellen (sicher im Sinne von Authentifizierung und Datenübertragung)

Das 3G Huawei Modem ist mittlerweile per DynDNS registriert und hat somit einen Hostnamen!

Vielen Dank
Tom
Bitte warten ..
Ähnliche Inhalte
Router & Routing
VPN mit zwei Linksys WRT54GL
Frage von Haegi75Router & Routing50 Kommentare

Hallo ich habe folgendes Problem: Gerne möchte ich meine Ferienhaussteuerung (Loxone) von ausserhalb steuern. Leider habe ich bei Standort ...

Sicherheitsgrundlagen
Sicherheitsbedenken bei Einrichtung einer VPN im Unternehmen
Frage von AlexBerlinSicherheitsgrundlagen11 Kommentare

Hallo liebe Administratoren, folgendes Problem: In unserem Unternehmen (Aufbauhersteller von Geld- und Werttransporter) gibt es viele Außendienstmitarbeiter, welche ihre ...

Router & Routing
Einrichtung einer VPN verbindung
gelöst Frage von SmilasRouter & Routing7 Kommentare

Hallo zusammen, ich bin etwas neu im Bereich der IT und stehe nun vor dem Problem, dass ich ein ...

LAN, WAN, Wireless
VPN IPSec mit Linksys Router funktioniert nicht
gelöst Frage von knubbieLAN, WAN, Wireless5 Kommentare

Hallo Liebes Forum, ich habe ein Netzwerk mit einem Linksys WRV200 Router. Der Router hat die aktuelle Firmware Version. ...

Neue Wissensbeiträge
Batch & Shell

Open Object Rexx: Eine mittlerweile fast vergessene Skriptsprache aus dem Mainframebereich

Information von Penny.Cilin vor 10 StundenBatch & Shell8 Kommentare

Ich kann mich noch sehr gut an diese Skriptsprache erinnern und nutze diese auch heute ab und an noch. ...

Humor (lol)

"gimme gimme gimme": Automatischer Test stolpert über Easter Egg im man-Tool

Information von Penny.Cilin vor 12 StundenHumor (lol)6 Kommentare

Interessant, was man so alles als Easter Egg implementiert. Ist schon wieder Ostern? "gimme gimme gimme": Automatischer Test stolpert ...

MikroTik RouterOS

Mikrotik - Lets Encrypt Zertifikate mit MetaROUTER Instanz auf dem Router erzeugen

Anleitung von colinardo vor 1 TagMikroTik RouterOS8 Kommentare

Einleitung Folgende Anleitung ist aus der Lage heraus entstanden das ein Kunde auf seinem Mikrotik sein Hotspot Captive Portal ...

Sicherheit

Sicherheitslücke in HP-Druckern - Firmware-Updates stehen bereit

Information von BassFishFox vor 1 TagSicherheit1 Kommentar

Ein weiterer Grund, dass Drucker keinerlei Verbindung nach "auswaerts" haben sollen. Unter Verwendung spezieller Malware können Angreifer aus der ...

Heiß diskutierte Inhalte
Windows Server
RDP macht Server schneller???
Frage von JaniDJWindows Server17 Kommentare

Hallo Community, wir betrieben seit geraumer Zeit diverse virtuelle Maschinen und Server mit Windows Server 2012. Leider haben wir ...

Windows 10
Windows 10 dunkler Bildschirm nach Umfallen
Frage von AkcentWindows 1015 Kommentare

Hallo, habe hier einen Windows 10 Rechner der von einem User umgefallen wurde (Beine übers Knie, an den PC ...

Windows 10
Bitlocker nach Verschlüsselung nicht mehr aufrufbar!
gelöst Frage von alexlazaWindows 1013 Kommentare

Hallo, ich besitze ein HP ZBook 17 G4 mit einem Windows 10 Pro Betriebssystem. Bei diesem Problem handelt sich, ...

Batch & Shell
Neuste Datei via PowerShell kopieren
gelöst Frage von kaiuwe28Batch & Shell11 Kommentare

Hallo zusammen, ich hatte mir mit Hilfe der Suche im Forum einen kleinen Code von colinardo rausgesucht und versucht ...