Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Konfiguration unseres LAN, WAN, VPN am Aussenstandort Wunderland. 3 mögliche Szenarien...

Frage Netzwerke LAN, WAN, Wireless

Mitglied: c3r3br0

c3r3br0 (Level 1) - Jetzt verbinden

13.05.2014 um 17:58 Uhr, 1844 Aufrufe, 2 Kommentare

Hallo zusammen

Wir wollen bei uns eine neue Firewall konfigurieren, was mir noch ein wenig Kopfzerbrechen bearbeitet und zwar habe ich mir folgende Szenerien ausgedacht, dessen Vor- und Nachteile ich nicht abzuwägen weiss. Könnt ihr mir mit eurem Rat weiterhelfen?

Szenario 1 - bestehendes Szenario am Aussenstandort "Wunderland" (k.A. wer das mal eingerichtet hat und weshalb das so funktioniert hat):

80.128.100.100 (WAN) <--> Modem (PPPoE): 192.168.5.1/22 (Gateway) <--> Firewall: 192.168.5.2/22 (Gateway) <--> Clients: 192.168.7.0 - 30/24 (DHCP von Firewall)

Problem: Am Aussenstandort mussten wir die Firewall ersetzen und haben für die VPN-Verbindung (IPsec), die von der Firewall aufgebaut wird, die Konfiguration 1:1 übernommen. Leider ohne erfolg. Die Verbindung baut sich nicht mehr auf. Deshalb will ich im Zusammenhang mit dem neuen Firewallkonzept gleich auch den Netzaufbau am Aussenstandort "Wunderland" anpassen.


Szenario 2 - so denke ich müsste es richtig sein:

80.128.100.100 (WAN) <--> Modem (PPPoE): 192.168.0.1/24 (Gateway) <--> Firewall: 192.168.0.2/24 (Gateway) <--> Clients: 192.168.0.3 - 254/24 (DHCP von Firewall)


Szenario 3 - wir erhalten neu am Aussenstandort ein Businessinternetanschluss mit fixer IP und nun auch endlich einem Modem das bridgbar wäre. Daher wäre auch folgendes möglich:

80.128.100.100 (WAN) <--> Modem (Bidgemode): 80.128.100.100 (WAN) <--> Firewall (PPPoE): 192.168.0.1/24 (Gateway) <--> Clients: 192.168.0.1 - 254/24 (DHCP von Firewall)

Und kann es sein, dass es Firewalllösungen gibt, die kein PPPoE beherrschen? Fortigate D100 z.B.! Wie kann ich denn das Szenario 3 lösen? Szenario 3 kommt mir entgegen, da ich mir durch das Bridgen des Modems weniger Komplikationen mit dem IPsec-VPN Tunnel verspreche, welches sich von der Firewall des Aussenstandortes zu unserem Hauptstandort aufbaut.

Tausend Dank einmal mehr für euren Fachrat.

Grüsse

c3r3br0
Mitglied: Dobby
15.05.2014 um 03:12 Uhr
Hallo,

Problem: Am Aussenstandort mussten wir die Firewall ersetzen
und haben für die VPN-Verbindung (IPsec), die von der Firewall
aufgebaut wird, die Konfiguration 1:1 übernommen. Leider ohne erfolg.
- Wurde dort mittels Zertifikaten gearbeitet?
- Bei dem Tausch des Routers ändern sich auch die MAC Adressen!
Sind da noch irgend welche Filter oder Firewallregeln die sich auf
die alten MAC Adressen beziehen?


...und nun auch endlich einem Modem das bridgbar wäre.
Einen Router bridged man damit er zu einem Modem wird bzw.
nur als Modem agiert und ein reines Modem muss man nicht
bridgen denn es ist ja nur ein Modem!!!

Und kann es sein, dass es Firewalllösungen gibt, die kein
PPPoE beherrschen?
Bestimmt sogar.

Fortigate D100 z.B.!
Das steht dann aber auch dort in der Bedienungsanleitung!

Szenario 3 kommt mir entgegen,
- Welche Firewalls nutzt Ihr denn auf allen Seiten für das VPN?
- Ist das auch wirklich "nur" ein Modem oder ein Router der im
so genannten "Bridged Modus" läuft!?

Normaler Weise ist VPN heute zu Tage kein großes Problem
mehr nur sollten wir hier schon ein paar Infos mehr von Dir erhalten
damit wir hier nicht im freien Fall weiter raten müssen.
- Was sind das für Modems bzw. Router
- Was ist dort konfiguriert?
- Was sind das für Provider?
- Habt Ihr nur feste also statische öffentliche Adressen oder arbeitet
Ihr auch mittels DynDNS oder NoIP.org?
- Was sind das für Firewalls?
- Was ist bei den Firewalls konfiguriert?
- Was sind noch für Switche mit im Spiel? Layer2 oder Layer3?

Gruß ♪
Dobby♬
Bitte warten ..
Mitglied: aqui
15.05.2014, aktualisiert um 14:09 Uhr
80.128.100.100 (WAN) <--> Modem (PPPoE): 192.168.5.1/22 (Gateway)
Das geht so niemals, denn ein "Modem" kann NICHT routen, was hier in deiner Darstellung aber so beschrieben ist !

Dein vermeintliches "Modem" ist hier also ein NAT Router wenn deine obige Beschreibung technisch korrekt ist !!

die Konfiguration 1:1 übernommen. Leider ohne erfolg.
Komisch, eigentlich völlig unverständlich ?! Wenn man es richtig macht, die Basics beachtet funktioniert das fehlerlos auf Anhieb.
Hast du dir das hiesige, dazu passende IPsec Tutorial wirklich mal genau durchgelesen ??
http://www.administrator.de/wissen/ipsec-vpn-mit-cisco-mikrotik-pfsense ...
Kapitel: "Achtung bei Firewall im Router und Router Kaskade:"

Wenn man nur annähernd die Grundlagen dort beachtet ist das ein Kinderspiel einen IPsec Tunnel zum Fliegen zu bringen.
Vermutlich hast du wie so häufig hier vergessen auf deinem vermeintlichen "Modem" was hier aber ein NAT Router ist die IPsec relevanten Protokolle als da sind UDP 500, UDP 4500 und das ESP Protokoll mit der IP Nummer 50 (nein kein TCP oder UDP 50 !) auf den WAN Port der dahinter kaskadierten Firewall zu legen.
Ohne das kommt dann auch trotz noch so korrekter IPsec Konfiguration kein VPN zustande...logisch !
Besser also das "Modem" wäre ein wirkliches Modem und KEIN Router !
Dann hätte "Szenario 1" wunderbar und fehlerfrei funktioniert !

Szenario 2:
Wiederholung des Fehlers "Modem" Router hier. Und...
WASbitte sehr ist da der Unterschied zu "Szenario 1" abgesehen von der Tatsache das im Kaskadierungsnetz lediglich eine andere IP Adresse benutzt wird ?!
Für unterschiedliche Designs ist die IP Adressierung völlig Latte !
Folglich besteht keinerlei Unterschied zw. 1 und 2 bei dir !

Szenario 3:
Ahhhhh, endlich ist das Modem hier mal ein Modem !!
Ein Modem ist nämlich immer passiv und routet NICHT !
Vom Design her ist auch Szenario 3 vollkommen gleich wie 1 und 2 du beschreibst hier also überflüssigerweise immer das völlig gleiche Szenario !

Das was du nicht verstanden hast oder woran du scheiterst ist die Tatsache das es nur sehr sehr wenige Firewalls mit integriertem DSL Modem gibt.
PPPoE können sie durch die Bank alle !!
Der Knackpunkt für dich ist hier die technisch korrekte Bezeichnung Modem und Router die du hier laienhaft völlig vermischt.

Für deine Firewall benötigst du ein reines Modem. Also z.B. einen Speedport der im Setup auf PPPoE Passthrough gesetzt wurde oder eine Fritzbox die im Setup als reines Modem only konfiguriert wurde. Siehe auch hier:
http://www.administrator.de/wissen/preiswerte-vpn-fähige-firewall- ...
Kapitel: "Installation und Betrieb" !

Ein Modem ist ein rein passiver Medienwandler der nur Ethernet Pakete auf DSL Framing wandelt aber kein Routing und schon gar kein NAT (IP Adress Translation) macht ! (NAT Firewall)

Ein Router davor statt eines reinen Modems bedeutet dann immer ein NAT bzw. durch die quasi Firewalling Funktion des NAT auch eine pseudo Firewall.
So ein Standard Kaskaden Szenario mit all seinen Nachteilen und Fallstricken beschreibt dieses Forums Tutorial in der "Alternative 2" :
http://www.administrator.de/wissen/kopplung-von-2-routern-am-dsl-port-4 ...

Für ein IPsec VPN ist so eine Router Kaskade immer tödlich, denn es erfordert immer eine zusätzliche Port Forwarding Konfiguration auf dem vorgeschalteten Router der obigen 3 Protokollports damit IPsec funktioniert.
90% aller Fehlerthreads hier im Forum behandeln dann das Fehlen diese Port Forwardings oder es werden durch Unwissen vollkommen falsche Ports geforwardet die mit IPsec nichts zu tun haben.
Sowas haben wir hier mindestens ein bis zwei mal wöchentlich....
Ersetzt man den Router durch ein wirkliches "Nur Modem" entledigt man sich all dieser Probleme !

Wenn du das beachtest wird jedes deiner Szenarien sofort und auf Anhieb fehlerfrei funktionieren. Du bist vermutlich aus Unwissenheit in all die Fehler getappt die solche Kaskaden im VPN Umfeld mit sich bringen ?!
Sinnvoll als HW sind also hier kleine Firewalls mit einem "NUR Modem" am WAN Port:
http://www.administrator.de/wissen/preiswerte-vpn-fähige-firewall- ...
oder eben gleich ein Router inklusive xDSL Modem und SPI Firewall wo du dann alles in einem einzigen Gerät hast:
http://www.administrator.de/wissen/konfiguration-cisco-886va-mit-adsl-o ...
Lancom, Funkwerk etc. sind ähnlich.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
LAN, WAN, Wireless
LAN (WAN) mit ständigen Unterbrechungen (10)

Frage von Brudschgo zum Thema LAN, WAN, Wireless ...

Router & Routing
InterVlan Routing mit Linksys LRT224 Dual WAN Gigabit VPN Router (1)

Frage von darkliving zum Thema Router & Routing ...

Router & Routing
VPN für LAN-Clients über Asus RT-AC51-U hinter Fritz 7490 (3)

Frage von Samuel113 zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...