Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VPN (für Fernwartung) durch 2 Router einrichten?

Frage Netzwerke Router & Routing

Mitglied: ToBy72

ToBy72 (Level 1) - Jetzt verbinden

19.05.2011, aktualisiert 18.10.2012, 6644 Aufrufe, 7 Kommentare

Hi,
(vorab: alle IP-Adressen sind nur Beispiele)

in unserem Netzwerk habe ich im wesentlichen alles mit fester öffentlicher IP laufen, da einige Geräte dies
ohnehin voraussetzen:

192.168.107.xxx

Auf den Router für den Inet-Zugang (Netgear DG834B) wird bei den Windows-Clients als Gateway und DNS
bei den Netzwerkeinstellungen IPv4 verwiesen:

192.168.107.220

Jetzt kommt, erstmals testweise, ein neues Analysegerät dazu, bei dem der Hersteller einen eigenen Router
(Netgear ProSave50 FVS338) mitliefert, um remote (UltraVNC, Ports 5800 + 5900)) auf die Konfiguration seiner
Geräte zuzugreifen. Dieser ist LAN-seitig als DHCP-Server (für mich unwichtig!) auf einen öffentlichen IP-Range
eingerichtet und die einzelnen Teilkomponenten des Analysegerätes sind direkt daran angeschlossen:

192.168.178.1

DHCP: .100 - .200

Im Normalfall ersetzt wohl dieser Router einen vorhandenen Router!

Es soll also ein VPN-Tunnel über Inet von der Fernwartungsseite auf den DG834B, weiter zum ProSafe50 und
abschließend zum Endgerät aufgebaut werden. Da die Gegenseite nicht sehr kooperativ ist, muss ich alles
gedanklich durchspielen, respektive auf meiner Seite testen was einseitig möglich ist.

Bin für jede(n) hilfreiche Info/Tipp dankbar.
Mitglied: 71939
19.05.2011 um 08:40 Uhr
Morgen,

also ich steh auf dem Schlauch was dein Problem betrifft.

Der Hersteller stellt die Geräte und macht die Wartung. Alles ist voreingestellt. Was sollst du nun tun und wieso ist die "Gegenseite" unkooperativ?

Klaus
Bitte warten ..
Mitglied: brammer
19.05.2011 um 08:49 Uhr
Hallo,

in unserem Netzwerk habe ich im wesentlichen alles mit fester öffentlicher IP laufen, da einige Geräte dies
ohnehin voraussetzen:

192.168.107.xxx

Wat denn nuß
Öffentliche oder Private IP Adressen?

192.168.x.x ist nach RFC 1918 eine private IP Adresse.

Dieser ist LAN-seitig als DHCP-Server (für mich unwichtig!) auf einen öffentlichen IP-Range
eingerichtet und die einzelnen Teilkomponenten des Analysegerätes sind direkt daran angeschlossen:

192.168.178.1

DHCP: .100 - .200

Auch hier: Wat denn nu?
wieder nur private Adressen.

Du richtest den Tunnel, zwischen deinem Router und deren Internet Router, und per ACL oder Route baust du Verbindung von deinem Router zum internen Netgear auf.
Wo ist das Problem und wieso ist die Gegenseite unkooperativ?

brammer
Bitte warten ..
Mitglied: aqui
19.05.2011, aktualisiert 18.10.2012
Eigentlich ganz einfach. Eine Kaskadierung der Router ist möglich wie in diesem Tutorial beschrieben:
http://www.administrator.de/wissen/kopplung-von-2-routern-am-dsl-port-4 ...
Du kaskadierst ganz einfach den neuen Router hinter den vorhandenen. Allerdings musst du dem neuen dann am WAN Port auf eine feste IP oder DHCP einstellen (besser ist feste IP außerhalb der DHCP Range des vorhandenen Routers).
Die NetGear Gurke kann nur IPsec als VPN Protokoll also musst du am davorstehenden Bestandsrouter ein Port Forwarding für die IPsec Protokolle einrichten als da sind:
UDP 500
UDP 4500
ESP Protokoll (IP Protokoll Nummer 50)
Fertig ist der Lack ! Ist ein simples Standardszenario.

Sinnvoller, da für Laien einfacher zu bedienen wäre sonst das du den vorhandenen Router austauschst gegen den VPN Router. Das erfordert allerdings zwingend einen Konfigurationszugriff auf die Box, da du die IP Adressen anpassen musst.
Erfordert die obige Möglichkeit aber auch da du den Ethernet Envap Modus am WAN/DSL Port des Routers ja von PPPoE auf Static IP bzw. DHCP umschalten musst !
Andere Optionen hast du nicht sofern es wirklich VPN ist !
Denkbar ist natürlich noch simples Port Forwarding der VNC Ports über den bestehenden Router. Dann arbeitest du allerdings ohne VPN und gehst direkt über das Internet per VNC auf die Systeme im lokalen LAN. Auch das ist denkbar.
Bitte warten ..
Mitglied: dimugi
19.05.2011 um 09:27 Uhr
Wie sieht es bei IPSec sonst noch aus? Braucht es da nicht noch eine Nat-Traversal Fähigkeit des zweiten Routers? Müßte da eventuell noch eine feste Route vom vom Router ins Interne Netz führen?

Gruß
dimugi
Bitte warten ..
Mitglied: aqui
19.05.2011 um 09:41 Uhr
Nein, NAT-T muss er nicht können ! NAT-T ist nur relevant auf dem VPN Endpunkten also Client und Server niemals aber auf den Devices dazwischen.
Statische Routen sind auch Unsinn, denn alle Netze sind an den Geräten direkt angeschlossen, sie kennen also alle IP Netze und die Wege dahin.
Bitte warten ..
Mitglied: dimugi
19.05.2011 um 09:48 Uhr
Ne, ganz so is es nicht.

Habe eine Routerkaskade von zwei Routern und einen SBS 2008 der für die Clients nochmals Router spielt, da mußte ich auf dem zweiten Router eine Route 192.168.x.0 zum Intranet setzen, erst dann waren diverse Dienste möglich.

Bei einem Leergang wurde uns mal gesagt, das zumindest bei L2TP Nat-T benötigt würde, probiert habe ich L2TP über eine Kaskade allerdings noch nicht.

Gruß
Dimugi
Bitte warten ..
Mitglied: aqui
19.05.2011, aktualisiert 18.10.2012
OK, das war nicht ganz klar mit dem Server. Ja, absolut richtig, dann benötigst du natürlich eine statische Route wenn der Server wirklich transparent routet und kein ICS/NAT macht.
Die Unterschiede beschreibt dir dieses Tutorial:
http://www.administrator.de/wissen/routing-mit-2-netzwerkkarten-unter-w ...

NAT Traversal benötigst du immer wenn im VPN Tunnelpfad ein NAT Device ist um dieses überwinden zu können. Das NAT Device selber muss NICHT NAT-T können sondern lediglich nur die Tunnel Enddevices (Client/Server). Logisch, denn die müssen ja NAT Hindernisse zwischendrin überwinden können.
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Zyxel DSL-Router - VPN einrichten (9)

Frage von adm999 zum Thema Router & Routing ...

Netzwerke
gelöst DD-WRT Router hinter Speedlink, 2 IP-Bereiche da VPN , Einrichtung Router 1+2 (10)

Frage von Grunderfree zum Thema Netzwerke ...

Router & Routing
VPN Verbindung einrichten mit Cisco RV320

Frage von Niklass zum Thema Router & Routing ...

Router & Routing
gelöst VPN Verbindung bei kaskadierten Routern (9)

Frage von MrNight zum Thema Router & Routing ...

Neue Wissensbeiträge
Ubuntu

Ubuntu 17.10 steht zum Download bereit

(3)

Information von Frank zum Thema Ubuntu ...

Datenschutz

Autofahrer-Pranger - Bewertungsportal illegal

(8)

Information von BassFishFox zum Thema Datenschutz ...

Windows 10

Neues Win10 Funktionsupdate verbuggt RemoteApp

(8)

Information von thomasreischer zum Thema Windows 10 ...

Microsoft

Die neuen RSAT-Tools für Win10 1709 sind da

(2)

Information von DerWoWusste zum Thema Microsoft ...

Heiß diskutierte Inhalte
Router & Routing
Allnet - VDSL2 Modem - SFP (mini-GBIC) (20)

Frage von Dobby zum Thema Router & Routing ...

Monitoring
Netzwerk-Monitoring Software (18)

Frage von Ghost108 zum Thema Monitoring ...

Windows 10
Seekrank bei Windows 10 (17)

Frage von zauberer123 zum Thema Windows 10 ...

Windows Server
gelöst Kopiervorgang schlägt fehl, weil Datei- und Ordnername zu lang sind (14)

Frage von Schroedi zum Thema Windows Server ...