Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VPN hinter AVM KEN und Domaincontroller

Frage Internet

Mitglied: F-lar1

F-lar1 (Level 1) - Jetzt verbinden

24.04.2007, aktualisiert 17:46 Uhr, 9945 Aufrufe, 3 Kommentare

Hallo Leute

Erst mal grosses Lob an dieses Forum. Habe hier schon viel gelernt.

Folgendes Problem:

Client XP -> Server 2003 (AD und DC) -> Win2000 mit Ken3 -> Router(Bridgemodus) -> Internet -> Rechner mit IPCop (feste IP)-> Server2003

Diese Verbindung soll nun mitttels VPN hergestellt werden.
Der IPCop funktioniert. Leider komme ich nicht aus unserem Netzwerk heraus.
Der KEN-Rechner hat 2 Netzwerkkarten mit unterschiedliche Netzen - Internet und eMail funktionieren tatellos.
Leider kann ich den KEN-Rechner nur von Server aus anpingen, nicht aber vom Client. Analog dazu die feste IP der anderen Seite.

TCP/IP DC: 192.168.0.121
Gateway: 192.168.0.110
DNS ist auch auf 192.168.0.110 weitergeleitet

TCP/IP Client: 192.168.0.34
Gateway: 192.168.0.121
DNS: 192.168.0.121

Interne Karte KEN 192.168.0.110
Gateway 192.168.0.121
DNS 192.168.0.121

Externe Karte KEN (zur Bridge) 192.168.1.110
Gateway 192.168.1.100 (Router bzw Bridge)
dns keine

Die beiden KEN-Karten sind im Rechner über Route add geroutet.

Auf dem KEN-Rechner läuft noch ein Norten NIS. Aber auch im abgeschalteten Zustand komme ich nicht raus.
Denke mal, dass ich erst einmal mein Routing und DNS Problem in den Griff kriegen muss, bevor ich überhaupt an VPN gehen kann.

Bein leider noch kein Netzwerkprofi - deshalb;

Habe ich da noch einen Denkfehler?

Gruss Ralf
Mitglied: aqui
24.04.2007 um 13:17 Uhr
Mehrere Fragen hast du nicht geklärt !

1.) Was meinst du genau mit dem Router im Bridge Modus ??? Was soll das sein ??? Macht du mit dem Router PPPoE Passthrough, nutzt ihn also nur als dummes Modem und terminierst die PPPoE Session auf dem KEN Server selber ???

2.) Diese Verbindung soll nun mitttels VPN hergestellt werden....
Welche Verbindung deiner zahllosen meinst du ??? Sehr wahrscheinlich die zwischen Router und IPCop oder KEN Server und IPCop übers Internet oder ???
Oder soll der 2k3 Server oder einer der XP Clients das VPN aufbauen ???
Das ist ziemlich unklar !

3.) Welches VPN Protokoll willst du für dein VPN nutzen ??? ( IPsec(AH), IPsec(ESP), PPTP, SSL, L2TP etc. ?? )

4.) Die interne Karte vom KEN Server ist die im gleichen IP Segment wie der 2003er Server und die XP Clients oder hat der 2003er Server auch noch 2 Netzwerkkarten und routet ???
Wenn ersteres der Fall ist ist der Gateway Eintrag auf dem internen Interface am KEN Server überflüssig und falsch !

Der Knackpunkt ist der Router bzw. sein Modus und die beiden VPN Endpunkte bzw. wo die liegen ! Das musst du erstmal sicher klären hier !
Bitte warten ..
Mitglied: F-lar1
24.04.2007 um 14:08 Uhr
Hi aqui,

sorry wenn ich mich unklar ausgedrückt habe.

1.) Es handelt sich um einen Zyxel-Router, der nur als Modem benutzt wird. Diesen kann man als Bridge-Modus konfigurieren, damit er reine Modemfunktionen übernimmt. Die Interneteinwahl erfolgt durch den Ken-Service über PPPoE.

2 und 3.) Das Protokoll ist ein IPsec-Protokoll (leider war ist in der Anleitung von IPCop nur die Reden von IPSec und keine genauere Spezifikation). Die Verbindung soll letztendlich zwischen den XP-Clients und dem IPCop hergestellt werden.

4.) Die Interne Karte des KEN-Rechners liegt im gleichen Segment wie die ganze Domäne, nur die zweite(externe) Karte hat ein anderes Segment passend zum Modem.

Vielleicht noch kurz zur Aufgabenstellung. Ich soll einen Web-Server für GIS-Daten einrichten. Aus Sicherheitsgründen habe ich dazu einen zweiten DSL-Anschluss um mein Hausnetz nicht öffnen zu müssen. Der Web-Server funktioniert soweit. Habe mittels einen anderen ISDN-Verbindung und einem Rechner mit VPN-Clientsoftware (z.B. TauVPN) schon eine Verbindung herstellen können. Um das ganze aber zu administrieren und feintunen zu können, möchte ich auch aus unserem Hausnetzwerk über die Haus-DSL raus und die 2. DSL zum Webserver rein.

Ich halte es für Sinnvoll, erst einmal Schritt für Schritt vorzugehen. d.H. Mein erstes Problem ist, dass ich die feste IP des Web-Server-Anschlusses von meinem Client nicht anpingen kann. Vom DC aus ist der Ping erfolgreich. Daher habe ich wohl erst einmal ein Netzinternes Problem, bevor ich dann tatsächlich "fliegen lerne".

Hoffe das hilft weiter und danke für die schnelle Reaktion.

Bitte um Nachsicht, bin zum ersten mal hier aktiv.

Gruss Ralf
Bitte warten ..
Mitglied: aqui
24.04.2007 um 17:46 Uhr
OK, die Aufgabe ist dann das du IPsec über den Windows KEN Server (der ja dann quasi dein Internet NAT Router ist) in das Client Segment bekommst. Warum du das nicht mit dem Zyxel Router im Router Modus regelst ist mehr als unverständlich denn damit hast du erheblich bessere Möglichkeiten.
Ferner einen MS Server so offen im Internet zu exponieren auch wenn es über KEN SW ist immer eine sehr bedenkliche Sache und nicht gerade professionell aber nundenn... du hast dafür sicher Gründe !

Du musst prüfen welche IPsec Protokollversion IPcop nutzt, d.h. ob es IPsec im AH (Authentication Header) Modus ist oder IPsec im ESP Mode (Encapsulation Security Payload).
Das wie hat sich aber wahrscheinlich schnell erledigt, denn KEN ist ja nichts anderes als ein NAT PPPoE Router in Software, den du eigentlich besser mit dem Zyxel realisieren kannst, aber egal...
AH lässt sich technisch nicht über NAT übertragen da der NAT Prozess den IP Header umschreibt und AH sofort eine Attacke vermutet und die Session nicht aufbaut. Die Möglichkeit fällt also gleich komplett weg !!!
Bleibt dir also einzig und allein IPsec ESP was auch das Gros der Clients und Router am Markt benutzt.

Die Prozedur ist eigentlich genau die gleiche wie du das vom Einrichten generell von VPN Verbindungen über NAT Router kennst ! Um IPsec zu übertragen musst du die Ports
UDP 500 (IKE, Internet Key Exchange Protocol) öffnen und auch das ESP Protokoll, das die Protokoll Nummer 50 besitzt (Achtung: nicht TCP oder UDP Port 50, ESP ist ein eigenes Protokoll !)
Das trägst du in die Port Forwarding Liste des KEN Routers ein und dann sollte das Protokoll problemlos passieren auf die Client Seite. Das löst dein richtig erkanntes netzinternes Problem

Nachteil ist das sich viele VPN Passthrough Router diese Funktion bei ESP immer nur auf einer per Session Basis merken können ! D.h. es kann immer nur EIN Client zur Zeit eine aktive VPN Session mit IPsec ESP über deinen KEN Server haben. Ob sich dein KEN entsprechend auch so verhält musst du prüfen oder im Handbuch nachlesen !
Bitte warten ..
Ähnliche Inhalte
Router & Routing
gelöst Drucken aus RDT-Session via (AVM-) VPN-Client (5)

Frage von Nichtsnutz zum Thema Router & Routing ...

Netzwerke
VPN mit Pulse Secure MAG2600 (1)

Frage von nuzer2017 zum Thema Netzwerke ...

Router & Routing
über Vmware auf eine FritzBox mit IPv6 per VPN (17)

Frage von Zockervogel zum Thema Router & Routing ...

Batch & Shell
gelöst VPN per Batch o.ä. einrichten (3)

Frage von peterpa zum Thema Batch & Shell ...

Neue Wissensbeiträge
RedHat, CentOS, Fedora

Fedora, RedHat, Centos: DNS-Search Domain setzen

(12)

Tipp von Frank zum Thema RedHat, CentOS, Fedora ...

Drucker und Scanner

Samsung SL-M4025ND, firmware update und (kompatible) Tonerkassetten

(1)

Erfahrungsbericht von markus-1969 zum Thema Drucker und Scanner ...

Heiß diskutierte Inhalte
Windows 10
Windows für Privatanwender "nicht mehr handhabbar" (26)

Frage von FA-jka zum Thema Windows 10 ...

LAN, WAN, Wireless
Brauche Hilfe: Mit (schnellem) WLAN Strecke überbrücken (23)

Frage von pierrehansen zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
Komplett neues Netzwerk, Ubiquiti WLAN, Router, Switch (15)

Frage von Freak-On-Silicon zum Thema LAN, WAN, Wireless ...