3
VPN hinter AVM KEN und Domaincontroller
Hallo Leute
Erst mal grosses Lob an dieses Forum. Habe hier schon viel gelernt.
Folgendes Problem:
Client XP -> Server 2003 (AD und DC) -> Win2000 mit Ken3 -> Router(Bridgemodus) -> Internet -> Rechner mit IPCop (feste IP)-> Server2003
Diese Verbindung soll nun mitttels VPN hergestellt werden.
Der IPCop funktioniert. Leider komme ich nicht aus unserem Netzwerk heraus.
Der KEN-Rechner hat 2 Netzwerkkarten mit unterschiedliche Netzen - Internet und eMail funktionieren tatellos.
Leider kann ich den KEN-Rechner nur von Server aus anpingen, nicht aber vom Client. Analog dazu die feste IP der anderen Seite.
TCP/IP DC: 192.168.0.121
Gateway: 192.168.0.110
DNS ist auch auf 192.168.0.110 weitergeleitet
TCP/IP Client: 192.168.0.34
Gateway: 192.168.0.121
DNS: 192.168.0.121
Interne Karte KEN 192.168.0.110
Gateway 192.168.0.121
DNS 192.168.0.121
Externe Karte KEN (zur Bridge) 192.168.1.110
Gateway 192.168.1.100 (Router bzw Bridge)
dns keine
Die beiden KEN-Karten sind im Rechner über Route add geroutet.
Auf dem KEN-Rechner läuft noch ein Norten NIS. Aber auch im abgeschalteten Zustand komme ich nicht raus.
Denke mal, dass ich erst einmal mein Routing und DNS Problem in den Griff kriegen muss, bevor ich überhaupt an VPN gehen kann.
Bein leider noch kein Netzwerkprofi - deshalb;
Habe ich da noch einen Denkfehler?
Gruss Ralf
Folgendes Problem:
Client XP -> Server 2003 (AD und DC) -> Win2000 mit Ken3 -> Router(Bridgemodus) -> Internet -> Rechner mit IPCop (feste IP)-> Server2003
Diese Verbindung soll nun mitttels VPN hergestellt werden.
Der IPCop funktioniert. Leider komme ich nicht aus unserem Netzwerk heraus.
Der KEN-Rechner hat 2 Netzwerkkarten mit unterschiedliche Netzen - Internet und eMail funktionieren tatellos.
Leider kann ich den KEN-Rechner nur von Server aus anpingen, nicht aber vom Client. Analog dazu die feste IP der anderen Seite.
TCP/IP DC: 192.168.0.121
Gateway: 192.168.0.110
DNS ist auch auf 192.168.0.110 weitergeleitet
TCP/IP Client: 192.168.0.34
Gateway: 192.168.0.121
DNS: 192.168.0.121
Interne Karte KEN 192.168.0.110
Gateway 192.168.0.121
DNS 192.168.0.121
Externe Karte KEN (zur Bridge) 192.168.1.110
Gateway 192.168.1.100 (Router bzw Bridge)
dns keine
Die beiden KEN-Karten sind im Rechner über Route add geroutet.
Auf dem KEN-Rechner läuft noch ein Norten NIS. Aber auch im abgeschalteten Zustand komme ich nicht raus.
Denke mal, dass ich erst einmal mein Routing und DNS Problem in den Griff kriegen muss, bevor ich überhaupt an VPN gehen kann.
Bein leider noch kein Netzwerkprofi - deshalb;
Habe ich da noch einen Denkfehler?
Gruss Ralf
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 57452
Url: https://administrator.de/contentid/57452
Printed on: April 24, 2024 at 18:04 o'clock
3 Comments
Latest comment
Mehrere Fragen hast du nicht geklärt !
1.) Was meinst du genau mit dem Router im Bridge Modus ??? Was soll das sein ??? Macht du mit dem Router PPPoE Passthrough, nutzt ihn also nur als dummes Modem und terminierst die PPPoE Session auf dem KEN Server selber ???
2.) Diese Verbindung soll nun mitttels VPN hergestellt werden....
Welche Verbindung deiner zahllosen meinst du ??? Sehr wahrscheinlich die zwischen Router und IPCop oder KEN Server und IPCop übers Internet oder ???
Oder soll der 2k3 Server oder einer der XP Clients das VPN aufbauen ???
Das ist ziemlich unklar !
3.) Welches VPN Protokoll willst du für dein VPN nutzen ??? ( IPsec(AH), IPsec(ESP), PPTP, SSL, L2TP etc. ?? )
4.) Die interne Karte vom KEN Server ist die im gleichen IP Segment wie der 2003er Server und die XP Clients oder hat der 2003er Server auch noch 2 Netzwerkkarten und routet ???
Wenn ersteres der Fall ist ist der Gateway Eintrag auf dem internen Interface am KEN Server überflüssig und falsch !
Der Knackpunkt ist der Router bzw. sein Modus und die beiden VPN Endpunkte bzw. wo die liegen ! Das musst du erstmal sicher klären hier !
1.) Was meinst du genau mit dem Router im Bridge Modus ??? Was soll das sein ??? Macht du mit dem Router PPPoE Passthrough, nutzt ihn also nur als dummes Modem und terminierst die PPPoE Session auf dem KEN Server selber ???
2.) Diese Verbindung soll nun mitttels VPN hergestellt werden....
Welche Verbindung deiner zahllosen meinst du ??? Sehr wahrscheinlich die zwischen Router und IPCop oder KEN Server und IPCop übers Internet oder ???
Oder soll der 2k3 Server oder einer der XP Clients das VPN aufbauen ???
Das ist ziemlich unklar !
3.) Welches VPN Protokoll willst du für dein VPN nutzen ??? ( IPsec(AH), IPsec(ESP), PPTP, SSL, L2TP etc. ?? )
4.) Die interne Karte vom KEN Server ist die im gleichen IP Segment wie der 2003er Server und die XP Clients oder hat der 2003er Server auch noch 2 Netzwerkkarten und routet ???
Wenn ersteres der Fall ist ist der Gateway Eintrag auf dem internen Interface am KEN Server überflüssig und falsch !
Der Knackpunkt ist der Router bzw. sein Modus und die beiden VPN Endpunkte bzw. wo die liegen ! Das musst du erstmal sicher klären hier !
Hi aqui,
sorry wenn ich mich unklar ausgedrückt habe.
1.) Es handelt sich um einen Zyxel-Router, der nur als Modem benutzt wird. Diesen kann man als Bridge-Modus konfigurieren, damit er reine Modemfunktionen übernimmt. Die Interneteinwahl erfolgt durch den Ken-Service über PPPoE.
2 und 3.) Das Protokoll ist ein IPsec-Protokoll (leider war ist in der Anleitung von IPCop nur die Reden von IPSec und keine genauere Spezifikation). Die Verbindung soll letztendlich zwischen den XP-Clients und dem IPCop hergestellt werden.
4.) Die Interne Karte des KEN-Rechners liegt im gleichen Segment wie die ganze Domäne, nur die zweite(externe) Karte hat ein anderes Segment passend zum Modem.
Vielleicht noch kurz zur Aufgabenstellung. Ich soll einen Web-Server für GIS-Daten einrichten. Aus Sicherheitsgründen habe ich dazu einen zweiten DSL-Anschluss um mein Hausnetz nicht öffnen zu müssen. Der Web-Server funktioniert soweit. Habe mittels einen anderen ISDN-Verbindung und einem Rechner mit VPN-Clientsoftware (z.B. TauVPN) schon eine Verbindung herstellen können. Um das ganze aber zu administrieren und feintunen zu können, möchte ich auch aus unserem Hausnetzwerk über die Haus-DSL raus und die 2. DSL zum Webserver rein.
Ich halte es für Sinnvoll, erst einmal Schritt für Schritt vorzugehen. d.H. Mein erstes Problem ist, dass ich die feste IP des Web-Server-Anschlusses von meinem Client nicht anpingen kann. Vom DC aus ist der Ping erfolgreich. Daher habe ich wohl erst einmal ein Netzinternes Problem, bevor ich dann tatsächlich "fliegen lerne".
Hoffe das hilft weiter und danke für die schnelle Reaktion.
Bitte um Nachsicht, bin zum ersten mal hier aktiv.
Gruss Ralf
sorry wenn ich mich unklar ausgedrückt habe.
1.) Es handelt sich um einen Zyxel-Router, der nur als Modem benutzt wird. Diesen kann man als Bridge-Modus konfigurieren, damit er reine Modemfunktionen übernimmt. Die Interneteinwahl erfolgt durch den Ken-Service über PPPoE.
2 und 3.) Das Protokoll ist ein IPsec-Protokoll (leider war ist in der Anleitung von IPCop nur die Reden von IPSec und keine genauere Spezifikation). Die Verbindung soll letztendlich zwischen den XP-Clients und dem IPCop hergestellt werden.
4.) Die Interne Karte des KEN-Rechners liegt im gleichen Segment wie die ganze Domäne, nur die zweite(externe) Karte hat ein anderes Segment passend zum Modem.
Vielleicht noch kurz zur Aufgabenstellung. Ich soll einen Web-Server für GIS-Daten einrichten. Aus Sicherheitsgründen habe ich dazu einen zweiten DSL-Anschluss um mein Hausnetz nicht öffnen zu müssen. Der Web-Server funktioniert soweit. Habe mittels einen anderen ISDN-Verbindung und einem Rechner mit VPN-Clientsoftware (z.B. TauVPN) schon eine Verbindung herstellen können. Um das ganze aber zu administrieren und feintunen zu können, möchte ich auch aus unserem Hausnetzwerk über die Haus-DSL raus und die 2. DSL zum Webserver rein.
Ich halte es für Sinnvoll, erst einmal Schritt für Schritt vorzugehen. d.H. Mein erstes Problem ist, dass ich die feste IP des Web-Server-Anschlusses von meinem Client nicht anpingen kann. Vom DC aus ist der Ping erfolgreich. Daher habe ich wohl erst einmal ein Netzinternes Problem, bevor ich dann tatsächlich "fliegen lerne".
Hoffe das hilft weiter und danke für die schnelle Reaktion.
Bitte um Nachsicht, bin zum ersten mal hier aktiv.
Gruss Ralf
OK, die Aufgabe ist dann das du IPsec über den Windows KEN Server (der ja dann quasi dein Internet NAT Router ist) in das Client Segment bekommst. Warum du das nicht mit dem Zyxel Router im Router Modus regelst ist mehr als unverständlich denn damit hast du erheblich bessere Möglichkeiten.
Ferner einen MS Server so offen im Internet zu exponieren auch wenn es über KEN SW ist immer eine sehr bedenkliche Sache und nicht gerade professionell aber nundenn... du hast dafür sicher Gründe !
Du musst prüfen welche IPsec Protokollversion IPcop nutzt, d.h. ob es IPsec im AH (Authentication Header) Modus ist oder IPsec im ESP Mode (Encapsulation Security Payload).
Das wie hat sich aber wahrscheinlich schnell erledigt, denn KEN ist ja nichts anderes als ein NAT PPPoE Router in Software, den du eigentlich besser mit dem Zyxel realisieren kannst, aber egal...
AH lässt sich technisch nicht über NAT übertragen da der NAT Prozess den IP Header umschreibt und AH sofort eine Attacke vermutet und die Session nicht aufbaut. Die Möglichkeit fällt also gleich komplett weg !!!
Bleibt dir also einzig und allein IPsec ESP was auch das Gros der Clients und Router am Markt benutzt.
Die Prozedur ist eigentlich genau die gleiche wie du das vom Einrichten generell von VPN Verbindungen über NAT Router kennst ! Um IPsec zu übertragen musst du die Ports
UDP 500 (IKE, Internet Key Exchange Protocol) öffnen und auch das ESP Protokoll, das die Protokoll Nummer 50 besitzt (Achtung: nicht TCP oder UDP Port 50, ESP ist ein eigenes Protokoll !)
Das trägst du in die Port Forwarding Liste des KEN Routers ein und dann sollte das Protokoll problemlos passieren auf die Client Seite. Das löst dein richtig erkanntes netzinternes Problem
Nachteil ist das sich viele VPN Passthrough Router diese Funktion bei ESP immer nur auf einer per Session Basis merken können ! D.h. es kann immer nur EIN Client zur Zeit eine aktive VPN Session mit IPsec ESP über deinen KEN Server haben. Ob sich dein KEN entsprechend auch so verhält musst du prüfen oder im Handbuch nachlesen !
Ferner einen MS Server so offen im Internet zu exponieren auch wenn es über KEN SW ist immer eine sehr bedenkliche Sache und nicht gerade professionell aber nundenn... du hast dafür sicher Gründe !
Du musst prüfen welche IPsec Protokollversion IPcop nutzt, d.h. ob es IPsec im AH (Authentication Header) Modus ist oder IPsec im ESP Mode (Encapsulation Security Payload).
Das wie hat sich aber wahrscheinlich schnell erledigt, denn KEN ist ja nichts anderes als ein NAT PPPoE Router in Software, den du eigentlich besser mit dem Zyxel realisieren kannst, aber egal...
AH lässt sich technisch nicht über NAT übertragen da der NAT Prozess den IP Header umschreibt und AH sofort eine Attacke vermutet und die Session nicht aufbaut. Die Möglichkeit fällt also gleich komplett weg !!!
Bleibt dir also einzig und allein IPsec ESP was auch das Gros der Clients und Router am Markt benutzt.
Die Prozedur ist eigentlich genau die gleiche wie du das vom Einrichten generell von VPN Verbindungen über NAT Router kennst ! Um IPsec zu übertragen musst du die Ports
UDP 500 (IKE, Internet Key Exchange Protocol) öffnen und auch das ESP Protokoll, das die Protokoll Nummer 50 besitzt (Achtung: nicht TCP oder UDP Port 50, ESP ist ein eigenes Protokoll !)
Das trägst du in die Port Forwarding Liste des KEN Routers ein und dann sollte das Protokoll problemlos passieren auf die Client Seite. Das löst dein richtig erkanntes netzinternes Problem
Nachteil ist das sich viele VPN Passthrough Router diese Funktion bei ESP immer nur auf einer per Session Basis merken können ! D.h. es kann immer nur EIN Client zur Zeit eine aktive VPN Session mit IPsec ESP über deinen KEN Server haben. Ob sich dein KEN entsprechend auch so verhält musst du prüfen oder im Handbuch nachlesen !
