7
VPN (für Fernwartung) durch 2 Router einrichten?
Hi,
(vorab: alle IP-Adressen sind nur Beispiele)
in unserem Netzwerk habe ich im wesentlichen alles mit fester öffentlicher IP laufen, da einige Geräte dies
ohnehin voraussetzen:
192.168.107.xxx
Auf den Router für den Inet-Zugang (Netgear DG834B) wird bei den Windows-Clients als Gateway und DNS
bei den Netzwerkeinstellungen IPv4 verwiesen:
192.168.107.220
Jetzt kommt, erstmals testweise, ein neues Analysegerät dazu, bei dem der Hersteller einen eigenen Router
(Netgear ProSave50 FVS338) mitliefert, um remote (UltraVNC, Ports 5800 + 5900)) auf die Konfiguration seiner
Geräte zuzugreifen. Dieser ist LAN-seitig als DHCP-Server (für mich unwichtig!) auf einen öffentlichen IP-Range
eingerichtet und die einzelnen Teilkomponenten des Analysegerätes sind direkt daran angeschlossen:
192.168.178.1
DHCP: .100 - .200
Im Normalfall ersetzt wohl dieser Router einen vorhandenen Router!
Es soll also ein VPN-Tunnel über Inet von der Fernwartungsseite auf den DG834B, weiter zum ProSafe50 und
abschließend zum Endgerät aufgebaut werden. Da die Gegenseite nicht sehr kooperativ ist, muss ich alles
gedanklich durchspielen, respektive auf meiner Seite testen was einseitig möglich ist.
Bin für jede(n) hilfreiche Info/Tipp dankbar.
(vorab: alle IP-Adressen sind nur Beispiele)
in unserem Netzwerk habe ich im wesentlichen alles mit fester öffentlicher IP laufen, da einige Geräte dies
ohnehin voraussetzen:
192.168.107.xxx
Auf den Router für den Inet-Zugang (Netgear DG834B) wird bei den Windows-Clients als Gateway und DNS
bei den Netzwerkeinstellungen IPv4 verwiesen:
192.168.107.220
Jetzt kommt, erstmals testweise, ein neues Analysegerät dazu, bei dem der Hersteller einen eigenen Router
(Netgear ProSave50 FVS338) mitliefert, um remote (UltraVNC, Ports 5800 + 5900)) auf die Konfiguration seiner
Geräte zuzugreifen. Dieser ist LAN-seitig als DHCP-Server (für mich unwichtig!) auf einen öffentlichen IP-Range
eingerichtet und die einzelnen Teilkomponenten des Analysegerätes sind direkt daran angeschlossen:
192.168.178.1
DHCP: .100 - .200
Im Normalfall ersetzt wohl dieser Router einen vorhandenen Router!
Es soll also ein VPN-Tunnel über Inet von der Fernwartungsseite auf den DG834B, weiter zum ProSafe50 und
abschließend zum Endgerät aufgebaut werden. Da die Gegenseite nicht sehr kooperativ ist, muss ich alles
gedanklich durchspielen, respektive auf meiner Seite testen was einseitig möglich ist.
Bin für jede(n) hilfreiche Info/Tipp dankbar.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 166541
Url: https://administrator.de/contentid/166541
Printed on: April 23, 2024 at 21:04 o'clock
7 Comments
Latest comment
Morgen,
also ich steh auf dem Schlauch was dein Problem betrifft.
Der Hersteller stellt die Geräte und macht die Wartung. Alles ist voreingestellt. Was sollst du nun tun und wieso ist die "Gegenseite" unkooperativ?
Klaus
also ich steh auf dem Schlauch was dein Problem betrifft.
Der Hersteller stellt die Geräte und macht die Wartung. Alles ist voreingestellt. Was sollst du nun tun und wieso ist die "Gegenseite" unkooperativ?
Klaus
Hallo,
Wat denn nuß
Öffentliche oder Private IP Adressen?
192.168.x.x ist nach RFC 1918 eine private IP Adresse.
wieder nur private Adressen.
Du richtest den Tunnel, zwischen deinem Router und deren Internet Router, und per ACL oder Route baust du Verbindung von deinem Router zum internen Netgear auf.
Wo ist das Problem und wieso ist die Gegenseite unkooperativ?
brammer
in unserem Netzwerk habe ich im wesentlichen alles mit fester öffentlicher IP laufen, da einige Geräte dies
ohnehin voraussetzen:
192.168.107.xxx
ohnehin voraussetzen:
192.168.107.xxx
Wat denn nuß
Öffentliche oder Private IP Adressen?
192.168.x.x ist nach RFC 1918 eine private IP Adresse.
Dieser ist LAN-seitig als DHCP-Server (für mich unwichtig!) auf einen öffentlichen IP-Range
eingerichtet und die einzelnen Teilkomponenten des Analysegerätes sind direkt daran angeschlossen:
192.168.178.1
DHCP: .100 - .200
Auch hier: Wat denn nu?eingerichtet und die einzelnen Teilkomponenten des Analysegerätes sind direkt daran angeschlossen:
192.168.178.1
DHCP: .100 - .200
wieder nur private Adressen.
Du richtest den Tunnel, zwischen deinem Router und deren Internet Router, und per ACL oder Route baust du Verbindung von deinem Router zum internen Netgear auf.
Wo ist das Problem und wieso ist die Gegenseite unkooperativ?
brammer
Eigentlich ganz einfach. Eine Kaskadierung der Router ist möglich wie in diesem Tutorial beschrieben:
Kopplung von 2 Routern am DSL Port
Du kaskadierst ganz einfach den neuen Router hinter den vorhandenen. Allerdings musst du dem neuen dann am WAN Port auf eine feste IP oder DHCP einstellen (besser ist feste IP außerhalb der DHCP Range des vorhandenen Routers).
Die NetGear Gurke kann nur IPsec als VPN Protokoll also musst du am davorstehenden Bestandsrouter ein Port Forwarding für die IPsec Protokolle einrichten als da sind:
UDP 500
UDP 4500
ESP Protokoll (IP Protokoll Nummer 50)
Fertig ist der Lack ! Ist ein simples Standardszenario.
Sinnvoller, da für Laien einfacher zu bedienen wäre sonst das du den vorhandenen Router austauschst gegen den VPN Router. Das erfordert allerdings zwingend einen Konfigurationszugriff auf die Box, da du die IP Adressen anpassen musst.
Erfordert die obige Möglichkeit aber auch da du den Ethernet Envap Modus am WAN/DSL Port des Routers ja von PPPoE auf Static IP bzw. DHCP umschalten musst !
Andere Optionen hast du nicht sofern es wirklich VPN ist !
Denkbar ist natürlich noch simples Port Forwarding der VNC Ports über den bestehenden Router. Dann arbeitest du allerdings ohne VPN und gehst direkt über das Internet per VNC auf die Systeme im lokalen LAN. Auch das ist denkbar.
Kopplung von 2 Routern am DSL Port
Du kaskadierst ganz einfach den neuen Router hinter den vorhandenen. Allerdings musst du dem neuen dann am WAN Port auf eine feste IP oder DHCP einstellen (besser ist feste IP außerhalb der DHCP Range des vorhandenen Routers).
Die NetGear Gurke kann nur IPsec als VPN Protokoll also musst du am davorstehenden Bestandsrouter ein Port Forwarding für die IPsec Protokolle einrichten als da sind:
UDP 500
UDP 4500
ESP Protokoll (IP Protokoll Nummer 50)
Fertig ist der Lack ! Ist ein simples Standardszenario.
Sinnvoller, da für Laien einfacher zu bedienen wäre sonst das du den vorhandenen Router austauschst gegen den VPN Router. Das erfordert allerdings zwingend einen Konfigurationszugriff auf die Box, da du die IP Adressen anpassen musst.
Erfordert die obige Möglichkeit aber auch da du den Ethernet Envap Modus am WAN/DSL Port des Routers ja von PPPoE auf Static IP bzw. DHCP umschalten musst !
Andere Optionen hast du nicht sofern es wirklich VPN ist !
Denkbar ist natürlich noch simples Port Forwarding der VNC Ports über den bestehenden Router. Dann arbeitest du allerdings ohne VPN und gehst direkt über das Internet per VNC auf die Systeme im lokalen LAN. Auch das ist denkbar.
Wie sieht es bei IPSec sonst noch aus? Braucht es da nicht noch eine Nat-Traversal Fähigkeit des zweiten Routers? Müßte da eventuell noch eine feste Route vom vom Router ins Interne Netz führen?
Gruß
dimugi
Gruß
dimugi
Nein, NAT-T muss er nicht können ! NAT-T ist nur relevant auf dem VPN Endpunkten also Client und Server niemals aber auf den Devices dazwischen.
Statische Routen sind auch Unsinn, denn alle Netze sind an den Geräten direkt angeschlossen, sie kennen also alle IP Netze und die Wege dahin.
Statische Routen sind auch Unsinn, denn alle Netze sind an den Geräten direkt angeschlossen, sie kennen also alle IP Netze und die Wege dahin.
Ne, ganz so is es nicht.
Habe eine Routerkaskade von zwei Routern und einen SBS 2008 der für die Clients nochmals Router spielt, da mußte ich auf dem zweiten Router eine Route 192.168.x.0 zum Intranet setzen, erst dann waren diverse Dienste möglich.
Bei einem Leergang wurde uns mal gesagt, das zumindest bei L2TP Nat-T benötigt würde, probiert habe ich L2TP über eine Kaskade allerdings noch nicht.
Gruß
Dimugi
Habe eine Routerkaskade von zwei Routern und einen SBS 2008 der für die Clients nochmals Router spielt, da mußte ich auf dem zweiten Router eine Route 192.168.x.0 zum Intranet setzen, erst dann waren diverse Dienste möglich.
Bei einem Leergang wurde uns mal gesagt, das zumindest bei L2TP Nat-T benötigt würde, probiert habe ich L2TP über eine Kaskade allerdings noch nicht.
Gruß
Dimugi
OK, das war nicht ganz klar mit dem Server. Ja, absolut richtig, dann benötigst du natürlich eine statische Route wenn der Server wirklich transparent routet und kein ICS/NAT macht.
Die Unterschiede beschreibt dir dieses Tutorial:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
NAT Traversal benötigst du immer wenn im VPN Tunnelpfad ein NAT Device ist um dieses überwinden zu können. Das NAT Device selber muss NICHT NAT-T können sondern lediglich nur die Tunnel Enddevices (Client/Server). Logisch, denn die müssen ja NAT Hindernisse zwischendrin überwinden können.
Die Unterschiede beschreibt dir dieses Tutorial:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
NAT Traversal benötigst du immer wenn im VPN Tunnelpfad ein NAT Device ist um dieses überwinden zu können. Das NAT Device selber muss NICHT NAT-T können sondern lediglich nur die Tunnel Enddevices (Client/Server). Logisch, denn die müssen ja NAT Hindernisse zwischendrin überwinden können.
