Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VPN (für Fernwartung) durch 2 Router einrichten?

Frage Netzwerke Router & Routing

Mitglied: ToBy72

ToBy72 (Level 1) - Jetzt verbinden

19.05.2011, aktualisiert 18.10.2012, 6080 Aufrufe, 7 Kommentare

Hi,
(vorab: alle IP-Adressen sind nur Beispiele)

in unserem Netzwerk habe ich im wesentlichen alles mit fester öffentlicher IP laufen, da einige Geräte dies
ohnehin voraussetzen:

192.168.107.xxx

Auf den Router für den Inet-Zugang (Netgear DG834B) wird bei den Windows-Clients als Gateway und DNS
bei den Netzwerkeinstellungen IPv4 verwiesen:

192.168.107.220

Jetzt kommt, erstmals testweise, ein neues Analysegerät dazu, bei dem der Hersteller einen eigenen Router
(Netgear ProSave50 FVS338) mitliefert, um remote (UltraVNC, Ports 5800 + 5900)) auf die Konfiguration seiner
Geräte zuzugreifen. Dieser ist LAN-seitig als DHCP-Server (für mich unwichtig!) auf einen öffentlichen IP-Range
eingerichtet und die einzelnen Teilkomponenten des Analysegerätes sind direkt daran angeschlossen:

192.168.178.1

DHCP: .100 - .200

Im Normalfall ersetzt wohl dieser Router einen vorhandenen Router!

Es soll also ein VPN-Tunnel über Inet von der Fernwartungsseite auf den DG834B, weiter zum ProSafe50 und
abschließend zum Endgerät aufgebaut werden. Da die Gegenseite nicht sehr kooperativ ist, muss ich alles
gedanklich durchspielen, respektive auf meiner Seite testen was einseitig möglich ist.

Bin für jede(n) hilfreiche Info/Tipp dankbar.
Mitglied: 71939
19.05.2011 um 08:40 Uhr
Morgen,

also ich steh auf dem Schlauch was dein Problem betrifft.

Der Hersteller stellt die Geräte und macht die Wartung. Alles ist voreingestellt. Was sollst du nun tun und wieso ist die "Gegenseite" unkooperativ?

Klaus
Bitte warten ..
Mitglied: brammer
19.05.2011 um 08:49 Uhr
Hallo,

in unserem Netzwerk habe ich im wesentlichen alles mit fester öffentlicher IP laufen, da einige Geräte dies
ohnehin voraussetzen:

192.168.107.xxx

Wat denn nuß
Öffentliche oder Private IP Adressen?

192.168.x.x ist nach RFC 1918 eine private IP Adresse.

Dieser ist LAN-seitig als DHCP-Server (für mich unwichtig!) auf einen öffentlichen IP-Range
eingerichtet und die einzelnen Teilkomponenten des Analysegerätes sind direkt daran angeschlossen:

192.168.178.1

DHCP: .100 - .200

Auch hier: Wat denn nu?
wieder nur private Adressen.

Du richtest den Tunnel, zwischen deinem Router und deren Internet Router, und per ACL oder Route baust du Verbindung von deinem Router zum internen Netgear auf.
Wo ist das Problem und wieso ist die Gegenseite unkooperativ?

brammer
Bitte warten ..
Mitglied: aqui
19.05.2011, aktualisiert 18.10.2012
Eigentlich ganz einfach. Eine Kaskadierung der Router ist möglich wie in diesem Tutorial beschrieben:
http://www.administrator.de/wissen/kopplung-von-2-routern-am-dsl-port-4 ...
Du kaskadierst ganz einfach den neuen Router hinter den vorhandenen. Allerdings musst du dem neuen dann am WAN Port auf eine feste IP oder DHCP einstellen (besser ist feste IP außerhalb der DHCP Range des vorhandenen Routers).
Die NetGear Gurke kann nur IPsec als VPN Protokoll also musst du am davorstehenden Bestandsrouter ein Port Forwarding für die IPsec Protokolle einrichten als da sind:
UDP 500
UDP 4500
ESP Protokoll (IP Protokoll Nummer 50)
Fertig ist der Lack ! Ist ein simples Standardszenario.

Sinnvoller, da für Laien einfacher zu bedienen wäre sonst das du den vorhandenen Router austauschst gegen den VPN Router. Das erfordert allerdings zwingend einen Konfigurationszugriff auf die Box, da du die IP Adressen anpassen musst.
Erfordert die obige Möglichkeit aber auch da du den Ethernet Envap Modus am WAN/DSL Port des Routers ja von PPPoE auf Static IP bzw. DHCP umschalten musst !
Andere Optionen hast du nicht sofern es wirklich VPN ist !
Denkbar ist natürlich noch simples Port Forwarding der VNC Ports über den bestehenden Router. Dann arbeitest du allerdings ohne VPN und gehst direkt über das Internet per VNC auf die Systeme im lokalen LAN. Auch das ist denkbar.
Bitte warten ..
Mitglied: dimugi
19.05.2011 um 09:27 Uhr
Wie sieht es bei IPSec sonst noch aus? Braucht es da nicht noch eine Nat-Traversal Fähigkeit des zweiten Routers? Müßte da eventuell noch eine feste Route vom vom Router ins Interne Netz führen?

Gruß
dimugi
Bitte warten ..
Mitglied: aqui
19.05.2011 um 09:41 Uhr
Nein, NAT-T muss er nicht können ! NAT-T ist nur relevant auf dem VPN Endpunkten also Client und Server niemals aber auf den Devices dazwischen.
Statische Routen sind auch Unsinn, denn alle Netze sind an den Geräten direkt angeschlossen, sie kennen also alle IP Netze und die Wege dahin.
Bitte warten ..
Mitglied: dimugi
19.05.2011 um 09:48 Uhr
Ne, ganz so is es nicht.

Habe eine Routerkaskade von zwei Routern und einen SBS 2008 der für die Clients nochmals Router spielt, da mußte ich auf dem zweiten Router eine Route 192.168.x.0 zum Intranet setzen, erst dann waren diverse Dienste möglich.

Bei einem Leergang wurde uns mal gesagt, das zumindest bei L2TP Nat-T benötigt würde, probiert habe ich L2TP über eine Kaskade allerdings noch nicht.

Gruß
Dimugi
Bitte warten ..
Mitglied: aqui
19.05.2011, aktualisiert 18.10.2012
OK, das war nicht ganz klar mit dem Server. Ja, absolut richtig, dann benötigst du natürlich eine statische Route wenn der Server wirklich transparent routet und kein ICS/NAT macht.
Die Unterschiede beschreibt dir dieses Tutorial:
http://www.administrator.de/wissen/routing-mit-2-netzwerkkarten-unter-w ...

NAT Traversal benötigst du immer wenn im VPN Tunnelpfad ein NAT Device ist um dieses überwinden zu können. Das NAT Device selber muss NICHT NAT-T können sondern lediglich nur die Tunnel Enddevices (Client/Server). Logisch, denn die müssen ja NAT Hindernisse zwischendrin überwinden können.
Bitte warten ..
Neuester Wissensbeitrag
Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...