Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

NETGEAR VPN Router hinter Fritzbox erreichen

Frage Netzwerke Router & Routing

Mitglied: richi-nbg

richi-nbg (Level 1) - Jetzt verbinden

12.03.2012, aktualisiert 18.10.2012, 15221 Aufrufe, 6 Kommentare

Hallo zusammen,
ich habe schon viel gegoogelt, finde aber nicht den richtigen Tipp!

hinter meiner Fritzbox 7390 (DSL Router) soll ein NETGEAR Prosafe ein VPN Netz zur Verfügung stellen. VPN auf dem Prosafe FVS318G ist als IPSec konfiguriert, als VPN Client kommt Shrew 2.1.7 zum Einatz:

b4c855154b9e8701fd54f5329e8c91bf - Klicke auf das Bild, um es zu vergrößern


also die PC unterhalb des PROSAVE sollen Remote zugreifbar sein, aber keinen Zugriff ins restliche Netzwerk haben.

Mein ganzer Aufbau funktioniert schon, wenn ich den Shrew Client von einem PC aus dem LAN (unter der Fritzbox) starte. Aber von außen über DSL bekomme ich es nicht hin.
- Meine Frittbox hat eine statische IP von der Telekom. Die kann ich von extern pingen oder Remote administrieren; diese Seite scheint ok.
- auf der Fritzbox habe ich Portfreigaben für den Prosafe Router eingerichtet (NAT). Nach vielen Experimenten, die alle nicht funktionieren, ist der Prosafe jetzt als Exposed Host freigeschaltet (sollte also alles ankommen und an den Router weitergereicht werden)

an was kann es noch liegen?
- gibt es noch Einstellungen im Shrew Client , die notwendig sind
- oder muß der Prosafe noch anders konfiguriert werden, damit er die VPN Zugriffe über die Fritzbox akzeptiert.

Kann jemand helfen oder mir einen Link nennen?

Danke

Richi


Mehr zum Thema NETGEAR VPN Router hinter Fritzbox erreichen im Router Forum Netgear auf www.router-forum.de
Mitglied: Lochkartenstanzer
12.03.2012 um 00:24 Uhr
Nat-Traversal eingeschaltet?

Siehe z.B. auch: http://www.ip-phone-forum.de/showthread.php?t=181728

lks
Bitte warten ..
Mitglied: aqui
12.03.2012, aktualisiert 18.10.2012
Dein Szenario wird hier beschrieben:
http://www.administrator.de/wissen/kopplung-von-2-routern-am-dsl-port-4 ...
In der Tat ist wie immer die NAT Firewall der FB das Problem. Leider schreibst du nicht welches VPN Protokoll du verwendest, denn das ist essentiall für das Port Forwarding und zwingst uns so zum raten Eine zielführende Hiklfe ist so nicht einfach.
Bekanntermaßen kann Billigheimer NetGear aber nur IPsec im ESP Mode als VPN Protokoll. Du musst also die folgenden Ports in der FB forwarden:
UDP 500
UDP 4500
ESP Protokoll mit der IP Nummer 50 (Achtung: Das ist NICHT UDP oder TCP 50 !! ESP ist ein eigenes IP Protokoll !)
Hier kannst du es am Beispiel von GRE mit der FB sehen das auch ein eigenständiges Protokoll ist (Nr. 47)
http://www.administrator.de/wissen/vpns-einrichten-mit-pptp-117700.html ...
Achtung: das ist hier nur ein Beispiel wie man Port Weiterleitung generell macht, denn GRE wird nur in PPTP VPNs benutzt du hast hier aber IPsec mit ESP (Prot. Nr. 50) !
Damit funktioniert das auf Anhieb !
Nebenbei: Deine Annahme das die PCs im Prosafe Netz keinen Zugriff auf das andere Netz haben ist Unsinn und auch so in diesem Szenario nicht erreichbar.
All deren Traffic muss immer über das LAN dadrücber mit der FritzBox. Mit einem Sniffer hier kann man also problemlos jeglichen Traffic mitlesen und diese Rechner haben alle vollen Zugriff auf alle Rechner im FB LAN.
Ein Trennung ist so mit diesem "DMZ des kleinen Mannes" Design keinesfalls möglich.
Dafür musst du einen Firewall einsetzen die ein separates 3tes Interface hat. Erst damit ist ein wirkliche sichere Trennung möglich. Dein IPsec VPN macht sie gleich nebenbei auch noch mit:
http://www.administrator.de/wissen/preiswerte%2c-vpn-f%c3%a4hige-firewa ...
Und nochwas... Vergiss das Router Forum: Hier ist alles viel besser
Bitte warten ..
Mitglied: TorstenK
12.03.2012 um 09:33 Uhr
Moin,

ich als absoluter Freund von Fritboxen (lassen wir den Sarkasmus), würde einen komplett anderen Weg gehen.
Nimm die Fritzbox wie sie ist und konfigurier sie als DSL Modem.

Laut Beschreibung hat dein Netgear ja PPPoE Support. Also warum nicht das Ding direkt ans Netz. Damit ist die FB und ihre FW irrelevant...

Die Zugriffsrechte innerhalb deines Netzes müsste man halt anderes lösen, sicher gäbe es da Wege (Stichworte: Subnetzbldung / Routing). Dafür kenne ich aber den Netgear viel zu wenig.

Gruß

Torsten
Bitte warten ..
Mitglied: aqui
12.03.2012 um 11:33 Uhr
Dann verliert er aber die Trennung seiner sicher gewollten Trennung der beiden lokalen LANs und müsste alles in ein LAN schmeissen.
Vermtlich nicht das was er will. Auf der anderen Seite ist wie oben bereits schon gesagt diese Art der Trennung etwas blödsinning wenn man den Traffic vom "Isolated LAN" isolieren will, denn das ist de facto mit dem obigen Design so nicht möglich.
Dazu müsste der TO sich aber mal äußern hier sonst raten wir uns hier fröhlich einen Wolf....
Bitte warten ..
Mitglied: richi-nbg
12.03.2012 um 12:30 Uhr
sorry, ich bin ziemlich neu in diesem thema. deswegen lese ich gerade sehr aufmerksam eure kommentare. gibt viel zu lernen in diesem bereich!

aber komischerweise - gestern hab ich den halben tag ohne erfolg rumprobiert - heute geht es auf einmal, ohne das ich nochmal irgendetwas geändert hätte !!!

aber trotzdem danke für die vielen hinweise!

ein paar fragen kommen da noch hoch:



Zitat von aqui:
In der Tat ist wie immer die NAT Firewall der FB das Problem. Leider schreibst du nicht welches VPN Protokoll du verwendest,
denn das ist essentiall für das Port Forwarding und zwingst uns so zum raten Eine zielführende Hiklfe ist so nicht
einfach

außer das es IPSec ist, habe ich weitere Differenzierungen noch nicht realisiert.

Bekanntermaßen kann Billigheimer NetGear aber nur IPsec im ESP Mode als VPN Protokoll. Du musst also die folgenden Ports in
der FB forwarden:

überall wird geschimpft auf NETGEAR, was ist eigentlich so falsch an diesem Router? ist er unzuverlässig?

Nebenbei: Deine Annahme das die PCs im Prosafe Netz keinen Zugriff auf das andere Netz haben ist Unsinn und auch so in diesem
Szenario nicht erreichbar.
All deren Traffic muss immer über das LAN dadrücber mit der FritzBox. Mit einem Sniffer hier kann man also
problemlos jeglichen Traffic mitlesen und diese Rechner haben alle vollen Zugriff auf alle Rechner im FB LAN.
Ein Trennung ist so mit diesem "DMZ des kleinen Mannes" Design keinesfalls möglich.

das verstehe ich nicht ganz. Ein Client kann ja nur einen VPN Tunnel zum Netgear aufbauen, der dann Zugriff ins untergelagerte Netz gewährt.. An das FB Netz kommt er ja nicht direkt ran.Der Netgear hat ja dann auch Firewall Funktionen. Ich lasse aus dem Netz nur ganz eingeschränkt Zugriffe nach außen/oben zu.
Natürlich ist das getunnelte Protokoll im FB Netz unterwegs. Aber hier kommt niemand direkt rein.
ich will ja nur vermeiden, daß ein Remote Client auf einem PC im NETGEAR Netz sich wieder nach oben hacken kann.
Eine Sache stört mich allerdings: ich glaub, ich kann beim Netgear die Administration vom lokaten Netz aus nicht abschalten. Wenn jemand das Passwort rausbekommt, kann er sich die Routen nach außen freischalten.
Bitte warten ..
Mitglied: aqui
12.03.2012 um 17:14 Uhr
@richi...
Lernen sollte man auch mal chonologisch unter den Threads zu schreiben und zudem ist deine Shift Taste defekt. Die solltest du bei Gelegenheit mal reparieren, denn es macht nicht wirklich Spaß solcherlei Texte zu lesen
Zu den Fragen:
  • Nein wenn es IPsec ist dann ist alles "differenziert" !
  • Billiger Consumerschrott und für VPN ungeeignet da voller Bugs und Probleme. Andere wie Draytek können das bei VPNs besser wenn es denn der Billigstsektor sein muss !
  • OK dann hast du dich missverständlich ausgedrückt. Fakt ist aber das sämtlicher Traffic auch der VPN getunnelte über das drüberliegende netz muss. Hast du also schwache Passwörter oder wie so oft der NG einen Bug ist es ein leichtes aus dem dortigen LAN einen Brute Force auf den NG zu fahren. Oder noch einfacher ein paar DoS Syn Attacken aus dem Netz von einem einzigen PC und dann ist der NG Gurke mausetot inklusive ihrer VPNs.
Es gäbe bessere designs sowas zu lösen...aber egal wenns klappt und dir reicht ist ja alles gut !
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Switche und Hubs
gelöst VLAN fähiger VPN Router gesucht (33)

Frage von Leo-le zum Thema Switche und Hubs ...

Google Android
Pixel kann kein VPN zur Fritzbox herstellen! Finger weg von Google Pixel! (5)

Frage von MyApps2GO.de zum Thema Google Android ...

Router & Routing
gelöst VPN-Server (Fritzbox) hinter Zyxel 5501 betreiben (7)

Frage von basti76nie zum Thema Router & Routing ...

Router & Routing
Cisco 800 Series und VPN over Fritzbox und Telekom VDSL (4)

Frage von Ra1976 zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (22)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...