Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VPN hinter AVM KEN und Domaincontroller

Frage Internet

Mitglied: F-lar1

F-lar1 (Level 1) - Jetzt verbinden

24.04.2007, aktualisiert 17:46 Uhr, 9933 Aufrufe, 3 Kommentare

Hallo Leute

Erst mal grosses Lob an dieses Forum. Habe hier schon viel gelernt.

Folgendes Problem:

Client XP -> Server 2003 (AD und DC) -> Win2000 mit Ken3 -> Router(Bridgemodus) -> Internet -> Rechner mit IPCop (feste IP)-> Server2003

Diese Verbindung soll nun mitttels VPN hergestellt werden.
Der IPCop funktioniert. Leider komme ich nicht aus unserem Netzwerk heraus.
Der KEN-Rechner hat 2 Netzwerkkarten mit unterschiedliche Netzen - Internet und eMail funktionieren tatellos.
Leider kann ich den KEN-Rechner nur von Server aus anpingen, nicht aber vom Client. Analog dazu die feste IP der anderen Seite.

TCP/IP DC: 192.168.0.121
Gateway: 192.168.0.110
DNS ist auch auf 192.168.0.110 weitergeleitet

TCP/IP Client: 192.168.0.34
Gateway: 192.168.0.121
DNS: 192.168.0.121

Interne Karte KEN 192.168.0.110
Gateway 192.168.0.121
DNS 192.168.0.121

Externe Karte KEN (zur Bridge) 192.168.1.110
Gateway 192.168.1.100 (Router bzw Bridge)
dns keine

Die beiden KEN-Karten sind im Rechner über Route add geroutet.

Auf dem KEN-Rechner läuft noch ein Norten NIS. Aber auch im abgeschalteten Zustand komme ich nicht raus.
Denke mal, dass ich erst einmal mein Routing und DNS Problem in den Griff kriegen muss, bevor ich überhaupt an VPN gehen kann.

Bein leider noch kein Netzwerkprofi - deshalb;

Habe ich da noch einen Denkfehler?

Gruss Ralf
Mitglied: aqui
24.04.2007 um 13:17 Uhr
Mehrere Fragen hast du nicht geklärt !

1.) Was meinst du genau mit dem Router im Bridge Modus ??? Was soll das sein ??? Macht du mit dem Router PPPoE Passthrough, nutzt ihn also nur als dummes Modem und terminierst die PPPoE Session auf dem KEN Server selber ???

2.) Diese Verbindung soll nun mitttels VPN hergestellt werden....
Welche Verbindung deiner zahllosen meinst du ??? Sehr wahrscheinlich die zwischen Router und IPCop oder KEN Server und IPCop übers Internet oder ???
Oder soll der 2k3 Server oder einer der XP Clients das VPN aufbauen ???
Das ist ziemlich unklar !

3.) Welches VPN Protokoll willst du für dein VPN nutzen ??? ( IPsec(AH), IPsec(ESP), PPTP, SSL, L2TP etc. ?? )

4.) Die interne Karte vom KEN Server ist die im gleichen IP Segment wie der 2003er Server und die XP Clients oder hat der 2003er Server auch noch 2 Netzwerkkarten und routet ???
Wenn ersteres der Fall ist ist der Gateway Eintrag auf dem internen Interface am KEN Server überflüssig und falsch !

Der Knackpunkt ist der Router bzw. sein Modus und die beiden VPN Endpunkte bzw. wo die liegen ! Das musst du erstmal sicher klären hier !
Bitte warten ..
Mitglied: F-lar1
24.04.2007 um 14:08 Uhr
Hi aqui,

sorry wenn ich mich unklar ausgedrückt habe.

1.) Es handelt sich um einen Zyxel-Router, der nur als Modem benutzt wird. Diesen kann man als Bridge-Modus konfigurieren, damit er reine Modemfunktionen übernimmt. Die Interneteinwahl erfolgt durch den Ken-Service über PPPoE.

2 und 3.) Das Protokoll ist ein IPsec-Protokoll (leider war ist in der Anleitung von IPCop nur die Reden von IPSec und keine genauere Spezifikation). Die Verbindung soll letztendlich zwischen den XP-Clients und dem IPCop hergestellt werden.

4.) Die Interne Karte des KEN-Rechners liegt im gleichen Segment wie die ganze Domäne, nur die zweite(externe) Karte hat ein anderes Segment passend zum Modem.

Vielleicht noch kurz zur Aufgabenstellung. Ich soll einen Web-Server für GIS-Daten einrichten. Aus Sicherheitsgründen habe ich dazu einen zweiten DSL-Anschluss um mein Hausnetz nicht öffnen zu müssen. Der Web-Server funktioniert soweit. Habe mittels einen anderen ISDN-Verbindung und einem Rechner mit VPN-Clientsoftware (z.B. TauVPN) schon eine Verbindung herstellen können. Um das ganze aber zu administrieren und feintunen zu können, möchte ich auch aus unserem Hausnetzwerk über die Haus-DSL raus und die 2. DSL zum Webserver rein.

Ich halte es für Sinnvoll, erst einmal Schritt für Schritt vorzugehen. d.H. Mein erstes Problem ist, dass ich die feste IP des Web-Server-Anschlusses von meinem Client nicht anpingen kann. Vom DC aus ist der Ping erfolgreich. Daher habe ich wohl erst einmal ein Netzinternes Problem, bevor ich dann tatsächlich "fliegen lerne".

Hoffe das hilft weiter und danke für die schnelle Reaktion.

Bitte um Nachsicht, bin zum ersten mal hier aktiv.

Gruss Ralf
Bitte warten ..
Mitglied: aqui
24.04.2007 um 17:46 Uhr
OK, die Aufgabe ist dann das du IPsec über den Windows KEN Server (der ja dann quasi dein Internet NAT Router ist) in das Client Segment bekommst. Warum du das nicht mit dem Zyxel Router im Router Modus regelst ist mehr als unverständlich denn damit hast du erheblich bessere Möglichkeiten.
Ferner einen MS Server so offen im Internet zu exponieren auch wenn es über KEN SW ist immer eine sehr bedenkliche Sache und nicht gerade professionell aber nundenn... du hast dafür sicher Gründe !

Du musst prüfen welche IPsec Protokollversion IPcop nutzt, d.h. ob es IPsec im AH (Authentication Header) Modus ist oder IPsec im ESP Mode (Encapsulation Security Payload).
Das wie hat sich aber wahrscheinlich schnell erledigt, denn KEN ist ja nichts anderes als ein NAT PPPoE Router in Software, den du eigentlich besser mit dem Zyxel realisieren kannst, aber egal...
AH lässt sich technisch nicht über NAT übertragen da der NAT Prozess den IP Header umschreibt und AH sofort eine Attacke vermutet und die Session nicht aufbaut. Die Möglichkeit fällt also gleich komplett weg !!!
Bleibt dir also einzig und allein IPsec ESP was auch das Gros der Clients und Router am Markt benutzt.

Die Prozedur ist eigentlich genau die gleiche wie du das vom Einrichten generell von VPN Verbindungen über NAT Router kennst ! Um IPsec zu übertragen musst du die Ports
UDP 500 (IKE, Internet Key Exchange Protocol) öffnen und auch das ESP Protokoll, das die Protokoll Nummer 50 besitzt (Achtung: nicht TCP oder UDP Port 50, ESP ist ein eigenes Protokoll !)
Das trägst du in die Port Forwarding Liste des KEN Routers ein und dann sollte das Protokoll problemlos passieren auf die Client Seite. Das löst dein richtig erkanntes netzinternes Problem

Nachteil ist das sich viele VPN Passthrough Router diese Funktion bei ESP immer nur auf einer per Session Basis merken können ! D.h. es kann immer nur EIN Client zur Zeit eine aktive VPN Session mit IPsec ESP über deinen KEN Server haben. Ob sich dein KEN entsprechend auch so verhält musst du prüfen oder im Handbuch nachlesen !
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(2)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Router & Routing
InterVlan Routing mit Linksys LRT224 Dual WAN Gigabit VPN Router (1)

Frage von darkliving zum Thema Router & Routing ...

Firewall
gelöst Site-to-Site-VPN und Cisco VPN-Client von gleicher IP (2)

Frage von TripleDouble zum Thema Firewall ...

Sicherheitsgrundlagen
Reicht die Firewall des AVM 7390? (8)

Frage von Biriel zum Thema Sicherheitsgrundlagen ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...