Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VPN faehiger Router soll hinter Endian Firewall laufen

Mitglied: x-ray-3

x-ray-3 (Level 1) - Jetzt verbinden

21.06.2008, aktualisiert 27.06.2008, 13046 Aufrufe, 5 Kommentare

Schönen guten Tag,

wir sind hier in der Firma seit heute Vormittag 11:00 Uhr am werkeln und kommen leider nicht zur Lösung. Wir haben uns eine Endian Firewall Mini zugelegt. Der Draytek Vigor 2900 hat somit als Gateway ausgedient und soll eigentlich nur noch die VPN-Funktionalität zur Verfügung stellen. Und genau dabei klemmt es.
Wir haben also die Endian Firewall vorgeschaltet, den Port für PPTP(1721) auf den Router geforwarded und GRE(IP-Protokoll 47) ebenfalls. Zunächst reagierte der Router gar nicht bei einer VPN-Einwahl von außen. Dann haben wir SNAT bei den Forward-Regeln aktiviert und jetzt reagiert er schonmal insofern, daß der VPN-Einwahldialog bis zur Passwort-Autentifizierung kommt. Und genau dabei bleibt er hängen. Wir haben an den VPN-Einstellungen am Router und an den Client keine Veränderungen vorgenommen. Als er direkt dranhing ging ja auch alles. Kann es sein, daß der Router Probleme eben genau mit der Route hat?
Wir hoffen stark, da draußen hatte schonmal jemand so ein Problem.
Mitglied: harald21
21.06.2008 um 22:04 Uhr
Hallo,

hast du dich evtl. vertippt? Soweit ich mich erinnern kann benutzt PPTP den Port UDP/1723.

Ansonsten macht das meiner Meinung nach wenig Sinn, das VPN-Gateway hinter die Firewall zu setzen. Kann eure neue Endian Firewall diese Aufgabe nicht übernehmen?

Hilfreich wäre es auch, wenn ihr hier ein Netzwerkdiagramm einfügen könntet, damit das etwas deutlicher wird.

mfg
Harald
Bitte warten ..
Mitglied: x-ray-3
22.06.2008 um 09:08 Uhr
Moin Harald,

ja, ich meine die 1723, sorry!
Wir können leider die OpenVPN-Funktion der Endian Firewall nicht nutzen, da sie nicht kompatibel zu VPN ist. Es bestehen side-to-side-Verbindungen zu Zweigstellen unserer Firma. Darum wollen wir den Router weiterhin nutzen. Irgendwann soll das mal unser WIN 2003 Server übernehmen. Aber da sind wir noch nicht. Montag soll ja erstmal wieder alles wie gewohnt laufen. Irgendwie haben wir es jetzt auch schon zum Teil hinbekommen. Wir wissen aber gar nicht so richtig wieso es auf einmal läuft. Ich versuche mal so gut wie es geht, von zu Hause aus zu erklären. Sämtliche Rechner und die Firewall sind im 192.168.1.0-Netz. Irgendwann kamen wir auf die Idee, beim Vigor den WAN-Eingang ins 192.168.10.0-Netz zu verlegen und den LAN-Bereich im 1er Netz zu lassen. Die Portweiterleitung für VPN an der Firewall verweist nun auf das 10er Netz. Zunächst lief nichts. Dann haben wir noch eine statische Route an der Firewall hinzugefügt. Alles was von 0.0.0.0 kommt und als Ziel 192.168.10.0 hat dafür ist das Gateway 192.168.1.17(Router LAN). Ist doch richtig oder? Das kuriose ist nur, jetzt können wir die Route deaktivieren und es geht immer noch. Außerdem bekommen die Clients seltsame DNS-IPs zugewiesen und trotzdem funktioniert die Namensauflösung.
Hast Du ein Beispiel wie das Netzwerkdiagramm aussehen soll?

Gruß Heiko
Bitte warten ..
Mitglied: aqui
22.06.2008 um 16:25 Uhr
Z.B. so sollte ein sauberes Netzwerkdiagramm von einem funktionierenden Szenario wie dem deinen aussehen:

e4436e053a9c469a67104d81616b6767-vpn3 - Klicke auf das Bild, um es zu vergrößern

Nur so ist der vorhandene Router IP technisch sauber integriert !
Es ist nebenbei gesagt Blödsinn die VPN Verbindungen mit einem schwerfälligen Server zu machen wenn VPN Router vorhanden sind ! Von so einer Lösung kann man dir nur dringend abraten.
Bitte warten ..
Mitglied: x-ray-3
26.06.2008 um 20:51 Uhr
Moin,

ein Netzwerkdiagramm muß ich nachreichen. Gibt es da etwas für Linux, damit ich das erstellen kann?
Es läuft jetzt auf jeden Fall FAST alles prima. Versuche mal zu erklären: Den VPN-Router haben wir im WAN-Bereich die 192.168.40.100 gegeben. Die Firewall hat jetzt auf einer Karte die 192.168.40.1 und auf einer anderen 192.168.1.1. Kabel von Firewall 40.1 auf Router 40.100. Portweiterleitung für VPN von Uplink auf die 40.100. Logisch! Der LAN-Bereich des VPN-Routers hat jetzt die 1.15. So bekommen alle VPN-Clients Adressen aus dem 1er-Netz. Soll ja auch, weil unsere Rechner auch im 1er sind.
Aber nun wird es wieder komisch. Eine VPN-Verbindung die manuell hergestellt wird, läuft tadellos. Die Clients können auf alles zugreifen, DNS läuft... usw.
Aber:
Die Site-to-Site-Verbindung zu unserer Zweigstelle hat auch eine Verbindung. Die Zweigstelle hat ihre Rechner im 192.168.4.0-Netz. Als die Router noch Gateway waren konnte man problemlos vom 1er auf das 4er pingen und umgekehrt. Freigaben und so liefen. Seit der Firewall geht nur dies nicht mehr. Die Verbindung der beiden Router ist zwar da, aber die Ressourcen eben nicht. Ich vermute, daß ich irgendwo ein statisches Routing eintragen muß, vom 4er aufs 1er oder umgekehrt. Nur wo? An der Firewall?

Wie gesagt, ein Diagramm reiche ich gerne nach...

Danke und Grüße

Heiko
Bitte warten ..
Mitglied: x-ray-3
27.06.2008 um 15:19 Uhr
Hallo Aqui,

vielen Dank übrigens für Dein tolles Beispieldiagramm. Eigentlich ist es kein Beispiel sondern trifft beinahe genau unseren Fall. Nur das Du alles richtig gemacht hast und wir nicht. Wir haben bei allen LAN-Rechnern hinter dem Vigor als Gateway die 1.1 eingetragen. Die Firewall eben! Und haben sogar ein Kabel von der Firewall in den Switch fürs 1er Netz gelegt. Gateway für alle Rechner muß natürlich der Vigor sein. Und das Gateway für den Vigor dann eben die Firewall. Und das Kabel muß weg. Danke nochmal für das Diagramm. Nun müssen wir das nochmal ummodeln. Ich bin gespannt ...

Gruß Heiko
Bitte warten ..
Ähnliche Inhalte
Switche und Hubs
VLAN fähiger VPN Router gesucht
gelöst Frage von Leo-leSwitche und Hubs33 Kommentare

Hallo Leute, ich suche einen voll managebaren Switch bzw. Router, womit ich per vpn erreichbar sein kann und der ...

Router & Routing
Endian Firewall mit 2x WAN und NAT
Frage von n0cturneRouter & Routing10 Kommentare

Hallo zusammen, ich habe eine endian Community Firewall 3.0, welche über zwei Interfaces im Internet ist: 1x DHCP über ...

Firewall
Endian Firewall Aktivierung UTM Mini
Frage von horstvogelFirewall3 Kommentare

Hallo, ich habe hier eine Endian Firewall, unser "Star Admin" hat das Passwort vergessen oder angeblich nie gehabt. Der ...

TK-Netze & Geräte
VPN-fähige IP-Telefone
Frage von the-buccaneerTK-Netze & Geräte16 Kommentare

Hi! Weiss noch jemand ein VPN-fähiges IP-Telefon mit dem man z.B. einen Heimarbeitsplatz gesichert anbinden könnte? Habe nur einen ...

Neue Wissensbeiträge
Vmware
VMware Update für den ESXi 5.5 verfügbar
Information von sabines vor 4 StundenVmware

Nach dem ganzen Hickhack um Update mit Microcode Anpassungen und Rückzug, gibt es nun für den ESXi 5.5 ein ...

CPU, RAM, Mainboards

Meltdown und Spectre: Intel zieht Microcode-Updates für Prozessoren zurück

Information von keine-ahnung vor 7 StundenCPU, RAM, Mainboards4 Kommentare

Moin, extrem lutztig. Nur gut, dass ich noch nicht beim Probanden-Bingo mitgemacht habe :-) LG, Thomas

Router & Routing
PfSense als Addon auf QNAP
Information von magicteddy vor 21 StundenRouter & Routing3 Kommentare

Moin, für Spielereien eine ganz nette Idee aber ich fürchte das soetwas auch als echte Firewall genutzt wird: In ...

Datenschutz

Teamviewer kommt für IoT-Geräte wie den Raspberry Pi

Information von magicteddy vor 1 TagDatenschutz1 Kommentar

Moin, jetzt werden IoT Geräte endgültig zur Wanze? Anscheinend kann man auf einem Dashboard seine Geräte visualisieren Ich stelle ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Preis für Wartungsvertrag ok?
gelöst Frage von a-za-zNetzwerkmanagement26 Kommentare

Hallo! Mal ne Frage, weil ich mich mit dem akzeptablen Preis für einen Reaktionszeitvertrag nicht auskenne. Meine Firma hat ...

Windows Server
TEMP-Profile
gelöst Frage von Forseti2003Windows Server21 Kommentare

Guten Morgen, wer kennt sie nicht, die lieben Temporären Benutzerprofile, vorallem immer dann, wenn man sie am wenigsten braucht. ...

Multimedia & Zubehör
Welches Tablet für die Verkäufer?
Frage von Hendrik2586Multimedia & Zubehör15 Kommentare

Guten Morgen meine Lieben, vielleicht könnt ihr mir ja helfen. Es geht um unsere Außendienstmitarbeiter /Verkäufer. Sie sollen demnächst ...

Windows Netzwerk
Ist ein Portforwarding auf einen PC ohne lauschendes Programm ein (großes) Sicherheitsproblem?
Frage von PluwimWindows Netzwerk13 Kommentare

Hallo zusammen, zur Fernwartung eines Rechners an einem anderen Ort nutze ich VNC. Da dieser Rechner einfach nur eine ...