Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VPN Gateway einrichten. Welche Hardware etc.

Frage Netzwerke Router & Routing

Mitglied: Jimbow

Jimbow (Level 1) - Jetzt verbinden

06.11.2010, aktualisiert 18.10.2012, 12727 Aufrufe, 44 Kommentare

Hallo zusammen,

ich würde gerne ein VPN Gateway einrichten. Es soll ein Tunnel zwischen zu Hause und Firma aufgebaut werden.

In der Firma steht momentan ein Router von Linksys BEFSR81. Ich möchte so wenig Softwarelösungen wie möglich einsetzen. Damit meine ich, dass ein Hardware-Gateway die Verbindungen managen soll und man nur per Software sich darauf einwählen kann.

Ich kenne die Firma Draytek, die Router mit VPN-Gateways anbietet. Welche Lösungen sollte ich am Besten nehmen?


Ziel ist es, ich habe ein Gateway, auf dem ich mich von zu Hause einloggen kann und dann mich mit dem Server binden kann, dass sich Outlook immer synchronisiert und ich auf Office-Dateien zugreifen kann.

Vielen Dank im Voraus.
44 Antworten
Mitglied: master3477
06.11.2010 um 15:31 Uhr
Moin,

ich habe das mit 2 Fritz Boxen 7390 gelöst. Ist einfach und funktioniert super.

Grüße
Sven
Bitte warten ..
Mitglied: aqui
06.11.2010, aktualisiert 18.10.2012
Das einfachste ist in der Tat du tauscht deinen BEFS gegen einen Draytek Router ! Von einer Fritzbox kann man eher abraten wenn du VPN Laie bist außerdem supportet sie ausschlieslich nur das für Laien nicht einfache IPsec. Draytek hingegen supportet alle 3 relevanten VPN Protokolle wovon Windows, Apple Mac usw. 2 schon per Default an Bord haben und wofür du KEINE externe VPN Software auf dem Client benötigst !!
Für VPN Anfänger ist so eine Einrichtung mit VPN Bordmitteln einfacher !
http://www.administrator.de/wissen/vpns-einrichten-mit-pptp-117700.html
Bitte warten ..
Mitglied: Jimbow
06.11.2010 um 20:12 Uhr
Also einfacher hin oder her, ich möchte die VPN Verbindung über IPSec + AH und ESP Verschlüsselung im Tunnel Modus betreiben. Das ist meiner Meinung nach, eine sehr sehr gute Verschlüsselung. Gibt es auch eine Mischung aus Tunnel Modus + Transport Modus? Sprich, ich wollte von zu Hause mit dem Client mich auf dem, in der Firma beispielweise Draytek Router, einwählen und somit mich mit dem Firmennetzwerk verbinden. Oder wäre das dann doch eher ein Transport Modus?

Oder doch eher L2TP?

Ist doch bestimmt mit Draystek Router auch zu realisieren oder? Welchen Draytek Router müsste ich dann nehmen?
Bitte warten ..
Mitglied: aqui
08.11.2010, aktualisiert 18.10.2012
L2TP nutzt denselben Mechanismus mit IPsec ESP !
OK bei IPsec dann Draytek oder Fritzbox oder... und einen Shrew Client
http://www.shrew.net/
Oder eine Firewall wie die Monowall/PfSense:
http://www.administrator.de/wissen/preiswerte%2c-vpn-f%c3%a4hige-firewa ...
bzw.:
http://www.administrator.de/wissen/ipsec-vpn-auf-m0n0wall-oder-pfsense- ...
http://www.shrew.net/support/wiki/HowtoMonowall
http://www.shrew.net/support/wiki/HowtoPfsense
Ein weiterer und einfacherer Weg ist ein SSL VPN Router
http://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ...
usw. usw.
Es gibt zig Lösungen dafür. Such dir die Schönste aus...alle führen im Handumdrehen zum Erfolg mit dem was du vorhast !
Bitte warten ..
Mitglied: Jimbow
08.11.2010 um 17:49 Uhr
Kann man denn sagen, dass über SSL die Verbindung genau so sicher wäre wie bei IPSec? Ist eine der Verschlüsselungen langsamer? Oder sind die ca. gleich schnell?

Um eine reibungslose Verbindung zwischen Home und Frima zu bekommen, sprich Officedateien austauschen, Outlook synchronisieren usw., reicht da eine 6 MBit Leitung auf der Firmenseite? Momentan ist eine DSL1000 Leitung vorhanden. Oder direkt auf 16 erhöhen?
Bitte warten ..
Mitglied: goscho
08.11.2010 um 18:34 Uhr
Zitat von Jimbow:
Kann man denn sagen, dass über SSL die Verbindung genau so sicher wäre wie bei IPSec?
Ja, kann man sagen.
Dies Sicherheit der Verbindungen hängt aber nicht zuletzt von der Komplexität der verwendeten Kennwörtern ab.

Ist eine der
Verschlüsselungen langsamer? Oder sind die ca. gleich schnell?
Das kann ich dir so pauschal nicht sagen.
Am Ende hängt das auch von der verwendeten Hardware ab.
Es gibt sehr viele unterschiedliche Modi, allein im IPSec VPN-Bereich. Und ja, diese haben idR unterschiedliche Verbindungszeiten zur Aushandlung des VPN.

Meine Empfehlung ist ein SSL-VPN. Damit kannst du dich von beinahe überall aus in der Firma einwählen. Ein PC mit Internetanschluss und Browser genügt, geht im Zweifel sogar in einem Internetcafé (gibt es diese noch?).

Um eine reibungslose Verbindung zwischen Home und Frima zu bekommen, sprich Officedateien austauschen, Outlook synchronisieren
usw., reicht da eine 6 MBit Leitung auf der Firmenseite? Momentan ist eine DSL1000 Leitung vorhanden. Oder direkt auf 16
erhöhen?
Du hast aktuell 1 MBit in der Firma? Das solltest du unbedingt ändern. Nimm soviel Upload, wie du kriegen kannst.
Bei ADSL 6000 hast du zwischen 600 und 800 kBit/sec im Upload. Du kannst ja jetzt mal ausrechnen, wie lange es dauert, bis du deine Daten (Outlook vom Exchange, oder woher sonst) empfangen hast.
Die großen Office-Dateien solltest du lieber auf dein Notebook kopieren und mit nach Hause nehmen.
Bitte warten ..
Mitglied: Jimbow
08.11.2010 um 21:13 Uhr
Mhm, ich bin irgendwie noch ned von SSL so wirklich überzeugt. Ich stell mir das so vor, wenn ich jetzt IPSec verwenden würde, dass ich auf dem Client eine die VPN-Verbindung aktiviere und der sich automatisch dann am Gateway einloggt und dann mit dem Firmennetz verbunden ist. Würde doch so ablaufen oder muss man bei IPSec mehr Sachen beachten? Das Gleiche wäre doch dann auch bei SSL so oder?

Zum Thema Internetleitung, bin bei T-online Business Kunde und werde da mal nachfragen, ob die meinen Upload hochschrauben können. Mal schauen, ob es da interessante Angebote gibt. Sonst nehme ich die 16er und versuche es erst einmal damit.

So, wenn ich mich dann endlich endschieden habe, ob SSL oder IPSec, ich weiß wirklich immer noch ned, welche Hardware ich lieber dafür holen sollte? Ein Bekannter hat einen Router von Draytek und der läuft eigentlich ziemlich gut. Aber ich möchte da nicht sparen und was wirklich anständiges haben. Sicherheit geht bei mir vor!!
Bitte warten ..
Mitglied: goscho
09.11.2010 um 08:41 Uhr
Morgen Jimbow,

du solltest uns auch mitteilen, wie viele User dieses VPN nutzen sollen, etwa nur du allein?

So, wenn ich mich dann endlich endschieden habe, ob SSL oder IPSec, ich weiß wirklich immer noch ned, welche Hardware ich lieber dafür holen sollte?
Warum musst du dich entscheiden?
Die meisten Firwalls/Router, die SSL-VPNs anbieten, beherrschen ebenso IPSec.
Ein Bekannter hat einen Router von Draytek und der läuft eigentlich ziemlich gut. Aber ich möchte da nicht sparen und was wirklich anständiges haben. Sicherheit geht bei mir vor!!
Was meinst du jetzt damit, dass du eventuell mit den Geräten von Draytek zu wenig an Sicherheit hättest?
Nach meinem Kenntnisstand sind die meisten VPN-Router/Firewalls ziemlich sicher einzurichten. Das hängt aber von der Konfiguration der Firewall ab.
Bitte warten ..
Mitglied: aqui
10.11.2010 um 09:06 Uhr
@Jimbow
Du solltest erstmal dich erstmal kundig machen zu grundlegendes zu Schlüsselverfahren und lesen was da bei IPsec und SSL verwendet wird. Dann würdest du auch nicht solche "Bauch gesteuerten" Aussagen wie "...ich bin nicht überzeugt.." ohne fundierte technische Basis treffen wie oben.
Die Schlüsselverfahren und wie Goscho richtig bemerkt vor allen Dingen die Komplexität des verwendeten Passworts, sofern man denn mit Preshared Keys arbeitet... ist relevant und doch wohl niemals das Transportverfahren selber wie IPsec oder SSL.
Dein Internet Banking machst du ja wohl auch über SSL (https) und nicht über IPsec, oder ?? Soviel Banken können sich doch nicht irren zum Thema SSL Sicherheit !! Die sind nämlich schon "überzeugt" !
Bitte warten ..
Mitglied: Jimbow
10.11.2010 um 19:47 Uhr
Also ich hab mich hier an Euch gewendet, da ich grob eine Richtung von euch wissen wollte. Damit ich mich dann genauer danach erkundigen kann.

Ich wollte gerne wissen, welches Verfahren man gerne anwenden sollte und welche Hardware ich da am Besten nehmen könnte.

Bis jetzt ist erst einmal der Gedanke, dass ich nur alleine darauf zu greife. Aber ich sehe es in der Zukunft schon kommen, dass Home Office sich mehr und mehr druchsetzen wird. Deshalb möchte ich, jetzt keine "billig" Hardware verwenden, sondern professionelle und stabile Hardware.


Zum Thema welches Verfahren ich nehmen soll, ich kann also davon ausgehen, dass SSL komplett ausreichen würde und auch ausreichend sicher wäre?
Bitte warten ..
Mitglied: goscho
10.11.2010 um 23:05 Uhr
Zitat von Jimbow:
Also ich hab mich hier an Euch gewendet, da ich grob eine Richtung von euch wissen wollte. Damit ich mich dann genauer danach
erkundigen kann.
Deshalb bekommst du ja auch Hilfe von uns.
Ich wollte gerne wissen, welches Verfahren man gerne anwenden sollte und welche Hardware ich da am Besten nehmen könnte.
Ich habe in den letzten Jahren sehr viele Netgear-Geräte verbaut und die VPNs laufen sehr stabil.
Mein bevorzugtes Gerät in KMUs ist der FVS336G.
Der hat 2 GBit WAN, 4 GBit LAN Anschlüsse und kann 10 SSL-VPN und max. 50 gleichzeitige IPSec-Verbindungen.
Kostet ungefähr 300,- € -> Preis -Leistung ist voll o.k.

Bis jetzt ist erst einmal der Gedanke, dass ich nur alleine darauf zu greife. Aber ich sehe es in der Zukunft schon kommen, dass
Home Office sich mehr und mehr druchsetzen wird. Deshalb möchte ich, jetzt keine "billig" Hardware verwenden,
sondern professionelle und stabile Hardware.
Was verstehst du unter "professionell"?
Wieviel bist du bereit auszugeben?
Zum Thema welches Verfahren ich nehmen soll, ich kann also davon ausgehen, dass SSL komplett ausreichen würde und auch
ausreichend sicher wäre?

SSL-VPN-Gateways/Router sind aber idR wesentlich teurer als vergleichbare ohne SSL-Möglichkeiten.
Bitte warten ..
Mitglied: Jimbow
11.11.2010 um 16:40 Uhr
Also, ich habe ein Budget von 1000€ angesetzt.

Unter professionell versteh ich, dass ich nicht eine 0 8 15 Hardware haben möchte, sondern eine, mit der ich auch noch Jahre mit auskomme und wenn ich vlt etwas Erweitern möchte, nicht direkt wieder etwas Neues brauche
Deshalb kann sie ruhig was kosten.

Das Gateway, was du mir vorgeschlagen hast, kann ich mich dort auch per SSH einloggen vlt? Aber so von den Daten ist das ja schon ein sehr nettes Gerät
Bitte warten ..
Mitglied: Jimbow
22.11.2010 um 10:39 Uhr
Ich werde jetzt in den nächsten Wochen damit beginnen, das VPN einzurichten. Das Gerät von Netgear FVS336G scheint meinen Anforderungen genüge zu tun.

Jetzt noch eine Frage zum Aufbau. Bis jetzt habe ich einen Linksys Router BEFSR81. Wenn ich nun IPSec verwenden würde, müsste ich wahrscheinlich dann die Option IPSec Passthrough aktivieren oder? Da das Netgear Gateway hinter dem Router säße.

Andere Frage noch, sollte ich ggf. noch einen anderen Router mit einer besseren Firewall nehmen? Oder würde dieser Router reichen? Gibt ja auch Geräte, die Modem und Gateway in einem haben, beispielsweise Draytek. Was würdet ihr lieber nehmen, Router und dahinter das VPN Gateway oder direkt eine All-in-one Lösung?
Bitte warten ..
Mitglied: goscho
22.11.2010 um 13:07 Uhr
Zitat von Jimbow:
Ich werde jetzt in den nächsten Wochen damit beginnen, das VPN einzurichten. Das Gerät von Netgear FVS336G scheint
meinen Anforderungen genüge zu tun.
Das musst du selbst beurteilen.
Ich habe mehrere dieser Geräte im Einsatz.
Bei mir sind 10 IPSec-VPNs (davon 5 ständige aktive LAN-LAN) und 3 SSL-VPNs eingerichtet.
Damit kommt das Gerät gut klar.
Jetzt noch eine Frage zum Aufbau. Bis jetzt habe ich einen Linksys Router BEFSR81. Wenn ich nun IPSec verwenden würde,
müsste ich wahrscheinlich dann die Option IPSec Passthrough aktivieren oder? Da das Netgear Gateway hinter dem Router
säße.
Ich würde dies so nicht machen.
Der Netgear-Router bringt eine gut konfigurierbare Firewall mit. Davor wird ein normales Modem eingesetzt.

BTW: Es ist ratsam, dieses Gerät mit 2 WAN-Anschlüssen zu nutzen. Dann kann man bswp. das VPN über WAN2 und Surfen über WAN1 einrichten.
Bitte warten ..
Mitglied: Jimbow
22.11.2010 um 13:22 Uhr
Der Netgear-Router bringt eine gut konfigurierbare Firewall mit. Davor wird ein normales Modem eingesetzt.

Gut, jetzt habe ich schon einmal den Router, also könnte ich den doch einfach vor dem VPN Gateway lassen und der Router soll einfach nur IPSec weiterleiten? Oder gibt das eventuelle Probleme bei der Weiterleitung, sprich Ports etc.?

Mit stink normalen Modem meinst du das standard Modem vom Provider?

BTW: Es ist ratsam, dieses Gerät mit 2 WAN-Anschlüssen zu nutzen. Dann kann man bswp. das VPN über WAN2 und Surfen
über WAN1 einrichten.

Ist das denn einfach so einzurichten, dass VPN über WAN1 und der Rest über WAN2 läuft? Wenn ich beide WAN Schnittstellen verwenden würde, hieße das für mich, dass ich auch 2 Leitungen von meinem Provider benötige oder? Sprich, wären auch 2 Verträge oder verstehe ich das falsch?
Bitte warten ..
Mitglied: goscho
22.11.2010 um 15:46 Uhr
Zitat von Jimbow:
> Der Netgear-Router bringt eine gut konfigurierbare Firewall mit. Davor wird ein normales Modem eingesetzt.

Gut, jetzt habe ich schon einmal den Router, also könnte ich den doch einfach vor dem VPN Gateway lassen und der Router soll
einfach nur IPSec weiterleiten? Oder gibt das eventuelle Probleme bei der Weiterleitung, sprich Ports etc.?

Mit stink normalen Modem meinst du das standard Modem vom Provider?
Genau das könnte man nehmen.

Es ist in fast jedem Fall besser, als einen billigen Router mit eventuell schlecht implementiertem IPSEC-Passthrough einzusetzen.
> BTW: Es ist ratsam, dieses Gerät mit 2 WAN-Anschlüssen zu nutzen. Dann kann man bswp. das VPN über WAN2 und
Surfen
> über WAN1 einrichten.

Ist das denn einfach so einzurichten, dass VPN über WAN1 und der Rest über WAN2 läuft?
JA, ist es.
Wenn ich beide WAN Schnittstellen verwenden würde, hieße das für mich, dass ich auch 2 Leitungen von meinem Provider benötige
oder? Sprich, wären auch 2 Verträge oder verstehe ich das falsch?
Natürlich braucht man dann auch 2 Leitungen ins Internet ( 2 x DSL, oder andere Techniken, die per LAN auf den Router gebracht werden können).

Wo ist das Problem? Wer heutzutage mehr als 2 ISDN-Leitungen benötigt, hat schnell 2 ISDN-Basisanschlüsse und kann zu beiden den passenden DSL-Tarif dazu nehmen, möglichst Business-Versionen mit der Option zur festen öffentlichen IP-Adresse.
Bitte warten ..
Mitglied: Jimbow
22.11.2010 um 18:41 Uhr
Alles klar, dann muss ich mal schauen, wo ich das alte Modem denn so rumfliegen habe :D

Na gut, an den 2 Tarifen soll es ned scheitern. Habe momentan schon 4 ISDN Leitungen angeschlossen aber mal schauen, was es da so bei Tcom an Business Verträgen so gibt.

Ja dann wäre alles geritzt :P

Noch eine Frage hätte ich mal wieder. Und zwar kann ich das auch so einstellen, dass über WAN1, wo dann VPN drüber gefahren wird, dass dort auch vlt der Server seine Updates ziehen könnte? Da diese auf jeden Fall schneller wäre, als die an WAN2 mit DSL 1000. Könnte man das einstellen?
Bitte warten ..
Mitglied: goscho
22.11.2010 um 19:07 Uhr
Zitat von Jimbow:
Noch eine Frage hätte ich mal wieder. Und zwar kann ich das auch so einstellen, dass über WAN1, wo dann VPN drüber
gefahren wird, dass dort auch vlt der Server seine Updates ziehen könnte? Da diese auf jeden Fall schneller wäre, als
die an WAN2 mit DSL 1000. Könnte man das einstellen?
Man richtet für beide WAN-Leitungen ein Load-Balancing ein. Damit geht der Traffic über beide Leitungen (Leitung 1 ausgelastet -> Leitung 2 wird genutzt).
Für bestimmte Protokolle kann jetzt eine Bindung an eine der beiden WAN-Leitungen erfolgen.
Dies ist z.B. für https sehr wichtig. Dies ist auch für bestimmte IP-Adressen machbar (Quell-/Ziel-Adressen).

Schau mal hier rein, ist ein Simulator für die Konfiguration des FVS-336G:
http://tools.netgear.com/landing/gui/security/fvs336g/simulators/v_2.2. ...
Bitte warten ..
Mitglied: Jimbow
23.11.2010 um 11:26 Uhr
Gibt es zufälligerweise auch eine schöne Doku dabei?

Wie sieht das eigentlich mit den VPN Lizenzen aus? Ist eine kostenlose Software dabei und braucht man pro VPN User noch eine Lizenz?
Bitte warten ..
Mitglied: goscho
23.11.2010 um 14:33 Uhr
Zitat von Jimbow:
Gibt es zufälligerweise auch eine schöne Doku dabei?
Handbuch?
VPN-Anleitung?
http://kb.netgear.com/app/products/model/a_id/2425
http://kb.netgear.com/app/products/model/a_id/2425
Schau mal in das Netgear Forum (englisch)
Wie sieht das eigentlich mit den VPN Lizenzen aus? Ist eine kostenlose Software dabei und braucht man pro VPN User noch eine
Lizenz?
Eine IPSEC-Client-Lizenz ist dabei, SSL-Lizenzen sind alle dabei.
Zusätzliche IPSEC-Client VPN-Lizenzen kann man erwerben (1er oder 5er Packs).
http://www.netgear.com/products/business/VPN-firewalls-appliances/wired ...
Für LAN-LAN VPN brauchst du keine Lizenzen.
Bitte warten ..
Mitglied: Jimbow
23.11.2010 um 18:52 Uhr
Alles klar, es gibt aber schon die FVS336Gv2 Version. Ist wahrscheinlich eine verbesserte oder? Die V2 gibt es schon für 200€.

So nun, sollte eigentlich alles geklärt sein. Werde das Gateway am Freitag bestellen mit einer 5er Lizenz dabei.

Dann kann es ja endlich los gehen. Bei Tcom werde ich am Donnerstag mal anrufen und nachfragen, welches Paket die mir anbieten könnten.

Werde dann später mal berichten, wie so alles gelaufen ist. Vielleicht habe ich ja noch ein paar Fragen ;)

Auf jeden Fall tausend Dank @ goscho. Warst sehr hilfsbereit ;)
Bitte warten ..
Mitglied: goscho
24.11.2010 um 09:57 Uhr
Zitat von Jimbow:
Alles klar, es gibt aber schon die FVS336Gv2 Version. Ist wahrscheinlich eine verbesserte oder? Die V2 gibt es schon für
200€.
Ist der jetzt billig geworden, UVP war mal 399,- € (2008) und ist jetzt auf 233,- € gesunken.
Was an der V2 jetzt besser ist, weiß ich nicht, eventuell anderer Prozessor.
So nun, sollte eigentlich alles geklärt sein. Werde das Gateway am Freitag bestellen mit einer 5er Lizenz dabei.
Wenn du dich mit dem SSL-VPN anfreunden kannst, brauchst du keine Lizenzen bestellen.

Eine einzelne IPSec-Client-Lizenz müsste dem Gerät noch beiliegen (war zumindest früher so).
Dann kann es ja endlich los gehen. Bei Tcom werde ich am Donnerstag mal anrufen und nachfragen, welches Paket die mir anbieten
könnten.
BTW: Wenn du zu schnelles WAN bekommst ( > 50 MBit/s) solltest du wieder umdenken.
Der FVS336 kann LAN-WAN nur 60 MBit/S
Die max 16 MBit/s VPN-Durchsatz (10 MBit/s bei SSL) wirst du wohl mit einem normalen DSL-Anschluss von T-Blöd nicht erreichen. Der Upload liegt ja selbst bei den schnellsten VDSL-Varianten bei derzeit höchstens 10 MBit/s.
Aber vielleicht gibt es ja Business-Lösungen, die mehr anbieten.
Werde dann später mal berichten, wie so alles gelaufen ist. Vielleicht habe ich ja noch ein paar Fragen ;)
Denke ich auch.
Auf jeden Fall tausend Dank @ goscho. Warst sehr hilfsbereit ;)
Bitte, gern geschehen.
Bitte warten ..
Mitglied: Jimbow
02.01.2011 um 19:52 Uhr
So, es hat dann doch etwas länger gedauert

SSL VPN funktioniert einwandfrei, nur möchte ich gerne IP Sec ausprobieren und bekomme leider keine Verbindung hin.

Konfiguriert ist folgendes:

IKE Policy

VPN Policy

Beim Netgear VPN Tool kommt die ganze Zeit die Fehlermeldung: 2011 Jan 2 20:16:40 [FVS336GV2] [IKE] Could not find configuration for xx.xx.xx.xx[500]_

Könnt ihr an den Einstellungen schon irgendwelche Fehler sehen?


Ich habe den Port 1723 tcp und 500 udp freigeschaltet.
Bitte warten ..
Mitglied: aqui
02.01.2011 um 21:18 Uhr
Verwunderlich... NetGear ist beim Thema VPN hardwaretechnisch so ziemlich das Übelste was man sich antun kann...siehe die zahllosen Threads hier...
Hersteller wie Draytek, Lancom etc. können sowas erheblich besser abgesehen von Lösungen wie Monowall und pfSense etc...aber nundenn.
TCP 1723 freizuschalten ist Blödsinn, denn das nutzt nur lediglich PPTP.
Für IPsec ist das UDP 500 (IKE) und das ESP Protokoll was ein eigenständiges IP protokoll mit der Nummer 50 ist im Port Forwarding relevant. (Kein TCP oder UDP 50)

Da du aber mit dem Router eh direkt am Internet mit einer öffentlichen IP hängst ist Port Forwarding aber generell Blödsinn, denn du terminierst ja dein VPN auf dem Router...
Brauchst logischerweise also überhaupt gar bein PFW !!
Bitte warten ..
Mitglied: Jimbow
03.01.2011 um 00:21 Uhr
Das mit Portforwarding war mir schon klar aber überhaupt mit dem Router in Kontakt zu treten, müsste doch eigentlich ein Port geöffnet werden oder sehe ich das falsch?

Könnte denn einer, der sich mit Netgear auskennt, mal die Einstellungen checken, ob ich nicht da schon einen Fehler gemacht habe?
Bitte warten ..
Mitglied: goscho
03.01.2011 um 10:23 Uhr
Morgen und alles Gute im Jahr 2011

@aqui,
dein Eingangssatz ist absoluter Unsinn und du weißt das auch.
Deine persönliche Abneigung gegenüber Netgear bringt hier niemandem etwas.
Warum soll ein Router (FVS336G), welcher IPSec und SSL-VPN beherrscht, schlecht sein?
Weil es kein PPTP/L2TP unterstützt oder weil du, der dieses Gerät wahrscheinlich überhaupt nicht kennt, Netgear nicht leiden kann?

@Jimbow,
ich versuche mal dir zu helfen und nicht nur oberlehrerhafte Sprüche zu bringen.

Du willst ein IPSec-VPN zwischen dem FVS336G (über ein DSL-Modem im INET) und einem Client (welches Win mit welche ProSafe Version) haben.
Dein Client baut die Internetverbindung über einen Router auf oder direkt?

Ich habe mir die Bilder angeschaut.
IPSec-Policy:
Du hast in der Firma eine feste öffentliche IP, dann ist die Einstellung WAN-IP bei 'Local identifier-type' korrekt.
Da dein Client keine feste öffentliche IP haben wird, solltest du dort einen 'User FQDN' als remote identifier eintragen.
VPN-Policy:
Client (remote-IP) nicht auf Any stellen, sondern bspw. 10.10.10.10 und dies im ProSafe Client auch so vergeben.

Deine Konfiguration des Prosafe Clients wäre noch wichtig, bitte auch bereitstellen.
Bitte warten ..
Mitglied: aqui
05.01.2011 um 11:26 Uhr
@goscho
Sieh dir die zahllosen Kommentare und Probleme dazu an hier und auch in anderen Foren...da erübrigt sich jeder weitere Kommentar zu dem Thema ! Das solltest auch DU erkennen...

@Jimbow
Nein das siehst du falsch, Port Forwarding benötigst du nur wenn sich dein VPN Server hinter der NAT Firewall des Routers befindet. Das ist bei dir ja nicht der Fall da der Router selber der VPN Server ist und du hier eine öffentliche IP hast. Port Forwarding einzutragen ist also in diesem Falle Blödsinn und auch kontraproduktiv !
Und....bitte nicht immer Zwangswerbung behaftete externe Bilderlinks nutzen. Es gibt hier eine schöne Bilder upload Funktion die du vermutlich schlicht und einfach übersehen hast !!
Einfach beim Originalthread auf "Bearbeiten" klicken, dann "Bilder hochladen" und den dir dann erscheinenden Bilder URL hier im Text pasten...
Eigentlich doch ganz einfach, oder ??? Also nächstes mal bitte KEIN überflüssigen Imageshack mehr !!
Bitte warten ..
Mitglied: goscho
05.01.2011 um 19:40 Uhr
Zitat von aqui:
@goscho
Sieh dir die zahllosen Kommentare und Probleme dazu an hier und auch in anderen Foren...da erübrigt sich jeder weitere
Kommentar zu dem Thema ! Das solltest auch DU erkennen...
Hallo aqui und auch dir alles Gute im neuen Jahr.

Es gibt hier und in anderen Foren zahllose Beiträge zu Problemen mit bspw. MS Exchange oder Active Directory.
Deswegen assoziierst du aber nicht gleich, dass diese Produkte schrottig sind.
Bitte warten ..
Mitglied: Jimbow
11.01.2011 um 15:13 Uhr
Sorry, der Termin hat sich wieder was nach hinten verschoben.

Haben gerade auch noch Probleme mit der Telekom. Die hat unsere ganzen Verträge total durcheinander geworfen.
Bitte warten ..
Mitglied: Jimbow
11.02.2011 um 08:38 Uhr
Kurzes Feedback, die Telekom schafft es bis jetzt anscheinend immer noch nicht, uns den VDSL Anschluss zuzuschalten.

Warte schon seit einem Monat auf den Anschalttermin. Wäre anscheinend von einem Mitarbeiter in Bearbeitung und die könnten leider nichts dazu sagen.

Die Mitarbeiter haben den schon ein paar Emails geschrieben aber irgendwie bekomme ich keine Meldung von dem zurück.

Naja, ich warte mal
Bitte warten ..
Mitglied: Jimbow
22.03.2011 um 18:01 Uhr
Es ist endlich vollbracht. Die Telekom hat endlich nach 3 Monaten unseren VDSL 50 Anschluss aktiviert.

Es ist soweit alles eingerichtet und die Clients gehen momentan per SSL VPN ins Firmennetzwerk rein.

Werde vlt dieses Wochenende mal schauen, ob ich nicht doch IPSec verwende, da es ein bisschen lästig ist, dass die Clients sich erst über eine Homepage einloggen müssen. Gibt es da noch eventuell eine Software, die das für einen übernehmen könnte und der User müsste nur noch ein Passwort eintippen?

Eventuell würde es über SSL auch eine Variante geben, dass sich der User vor dem Systemlogin am Laptop im Firmennetzwerk per SSL VPN einloggen könnte?
Bitte warten ..
Mitglied: goscho
22.03.2011 um 18:25 Uhr
Zitat von Jimbow:
Es ist endlich vollbracht. Die Telekom hat endlich nach 3 Monaten unseren VDSL 50 Anschluss aktiviert.
Das freut mich für dich, vor allem, da ich gerade mal 6 MBit über Vodafone (TCOM 3 MBit) bekommen kann (habe aber 2 Anschlüsse).

Es ist soweit alles eingerichtet und die Clients gehen momentan per SSL VPN ins Firmennetzwerk rein.
Das ist toll, wo brennt's denn?
Werde vlt dieses Wochenende mal schauen, ob ich nicht doch IPSec verwende, da es ein bisschen lästig ist, dass die Clients
sich erst über eine Homepage einloggen müssen. Gibt es da noch eventuell eine Software, die das für einen
übernehmen könnte und der User müsste nur noch ein Passwort eintippen?
Wenn es ein Problem ist, einen Browser zu starten und dort seine Anmeldedaten einzugeben, dann kann man fast nicht mehr helfen.
SSL ist die fortschrittlichste der VPN-Techniken, auch weil du fast unabhängig vom verwendeten Client bist. Es gibt für fast jedes BS eine Möglichkeit, sich per SSL-VPN einzuloggen.

Es ist z.B. echt geil, sich bei einem Kunden von dessen PC per SSL in sein eigenes Netz einzuloggen und per OWA zu prüfen, ob die gerade mit dem Kunden versendete Mail angekommen ist.
Eventuell würde es über SSL auch eine Variante geben, dass sich der User vor dem Systemlogin am Laptop im Firmennetzwerk
per SSL VPN einloggen könnte?
Ist mir keine bekannt, aber vielleicht kennt sich jemand anderes damit noch besser aus.
Warst du schon mal hier?

Du könntest dein Vorhaben aber mit einem IPSec-VPN (Shrew, ProSafe) realisieren. allerdings gibt es dort die allseits bekannten Nachteile.
Bitte warten ..
Mitglied: Jimbow
22.03.2011 um 22:11 Uhr
Das Thema bei SSL war, dass er administrative Rechte brauchte und die wollte ich ihm eigentlich nicht lokal geben

Es war so, er hat seine Logindaten eingegeben über den IE (Leider funktioniert das auch nur mit dem IE) und musste dann noch auf den runden Button klicken. Danach wurde er aufgefordert den Treiber zu installieren und da braucht er nun immer adminrechte. Das ist ein bisschen blöd aber sehr wahrscheinlich gibts da keine andere Lösung oder?
Bitte warten ..
Mitglied: Jimbow
24.03.2011 um 17:17 Uhr
Wie bekomme ich es denn hin, dass ich beim Aufrufen der Loginseite von dem Netgear Router keinen Zertifikatsfehler bekomme? Kann ich irgendwo entweder das Zertifikat runterladen und als vertrauenswürdig abspeichern oder kann ich ein eigenes einstellen? Immer wenn ich auf https://IP gehe, kommt die Fehermeldung, dass das Zertifikat nicht vertrauenswürdig wäre. Momentan ist das standard Netgear Zertifikat drin.

Zum Thema IPSec habe ich noch ein paar Einstellungsfragen.

IKE Policies
Local und Remote, kann ich dort einfach Local und Remote WAN IP einstellen? Oder was muss da genau eingestellt werden?

VPN Policies
Remote Endpoint, kann ich dort die WAN IP eintragen? Und unter Traffic Selection-> Local gebe ich das interne subnet an und unter Remote ANY oder?

Wenn ich diese Einstellungen gemacht habe, bekomme ich leider keine Verbindung hin. Hoffe ihr könnt mir da weiterhelfen.
Bitte warten ..
Mitglied: goscho
24.03.2011 um 19:04 Uhr
Hi Jimbow (scheint ja ein Dialog zwischen uns beiden zu werden)

Du musst dafür ein richtiges Zertifikat erwerben und auf dem Netgear einrichten.
Hier ist eine ältere Anleitung dazu.
Bitte warten ..
Mitglied: Jimbow
24.03.2011 um 19:23 Uhr
Bitte warten ..
Mitglied: goscho
24.03.2011 um 20:49 Uhr
Zitat von Jimbow:
Zum Thema IPSec habe ich noch ein paar Einstellungsfragen.

IKE Policies
Local und Remote, kann ich dort einfach Local und Remote WAN IP einstellen? Oder was muss da genau eingestellt werden?

VPN Policies
Remote Endpoint, kann ich dort die WAN IP eintragen? Und unter Traffic Selection-> Local gebe ich das interne subnet an und
unter Remote ANY oder?

Wenn ich diese Einstellungen gemacht habe, bekomme ich leider keine Verbindung hin. Hoffe ihr könnt mir da weiterhelfen.
Hast du eigentlich schon mal die VPN-Anleitungen auf der Netgear Homepage oder von den Usern aus dem Netgear-Forum gelesen.
Dort wird deine Voegrehensweise step-by-step beschrieben.

Wenn du Interesse hast, kannst du mich aber auch direkt per PN ansprechen. Ich kann dir die Verbindungen remote einrichten.
Bitte warten ..
Mitglied: Jimbow
24.03.2011 um 21:22 Uhr
Bei deinem Link ist man ja gezwungen sein NETGEAR Produkt zu registrieren, um sich den Beitrag anzuschauen.

Jetzt brauch ich erst einmal die Seriennummer von meinem Teil ^^
Bitte warten ..
Mitglied: goscho
24.03.2011 um 21:38 Uhr
Zitat von Jimbow:
Bei deinem Link ist man ja gezwungen sein NETGEAR Produkt zu registrieren, um sich den Beitrag anzuschauen.
Sorry, habe ich vergessen und merkt man dann auch nicht mehr.
Jetzt brauch ich erst einmal die Seriennummer von meinem Teil ^^
Wenn du das Teil nach dem KAuf bei Netgear registriert hast (eventuell Hardware-Supportverlängerung), dann könnte die Seriennummer in einer gesendeten Mail stehen.
Ansonsten steht die SN unter dem Router.

Schau dich auch mal hier um:
http://www.vpncasestudy.com/
Bitte warten ..
Mitglied: Jimbow
24.03.2011 um 22:04 Uhr
Die Seite ist sehr gut. Werde mich da mal umschauen.

Achja, hatte mich schon bei netgear registriert mit der Seriennummer und konnte die dadurch noch schnell herausfinden
Bitte warten ..
Mitglied: Jimbow
26.03.2011 um 12:23 Uhr
Ich würde gerne wöchentlich die Logs an eine bestimmte emailadresse schicken.

Soweit habe ich alles eingestellt und zum versenden der emails verwende ich ein Googlemail Account. Leider braucht er ewig zum Versenden und am Ende wurde keine email verschickt.

Ich habe folgende Daten eingetragen unter Monitoring -> Firewall Logs...

Do you want logs to be emailed to you? Yes
E-Mail Server Address: smtp.googlemail.com
Return E-Mail Address: Emailabsender- Adresse
Send to E-Mail Address: Empfänger- Adresse
Login Plain YES (oder lieber CRAM-MD5?)
User Name: Googleemail
Password: GooglePW
Respond to Identd from SMTP Server: YES

Gibt es dort irgendeinen Konfigurationsfehler? Oder ist einfach die Log zu groß? Habe zu Testzwecken einfach nur die Logs vom WAN-Status versenden wollen. Aber es erscheint nur ein Ladebalken beim Browser und mehr nicht.
Bitte warten ..
Mitglied: Jimbow
15.04.2011 um 15:26 Uhr
Hey,

VPN über IPSec funktioniert einwandfrei. Gab nen kleinen Logikfehler aber jetzt ist alles zur vollsten Zufriedenheit.

Eins stört mich immer noch, dass der Router keine Logs über mein Googlemail account verschicken kann. Da werde ich wohl mal ein bisschen überlegen müssen. Danke euch allen für die tatkräftige Unterstützung.
Bitte warten ..
Mitglied: goscho
15.04.2011 um 18:17 Uhr
Zitat von Jimbow:
Hey,

VPN über IPSec funktioniert einwandfrei. Gab nen kleinen Logikfehler aber jetzt ist alles zur vollsten Zufriedenheit.
Jetzt sind wir doch ein kleines bisschen erfreut, dass es geklappt hat.
Eins stört mich immer noch, dass der Router keine Logs über mein Googlemail account verschicken kann. Da werde ich wohl
mal ein bisschen überlegen müssen.
So, habe gerade mal für dich getestet, was passiert, wenn ich über einen entfernten SMTP-Server (smtp.1und1.de) sende.
Das Log wird anstandslos versendet.
Es muss also mit deinem Mailserver zu tun haben (anderer Port als 25, anderes Login, etc.). Wenn du noch weitere Mailadressen hast, nutze doch mal eine andere.

Hast du einen internen Mailserver. Mit dem klappts bestimmt sehr easy.
Ich habe einen ÖO (Adresse: netgearrouterlogs_at_meine_firma.de] im Exchange eingerichtet und erhalte dort täglich das Log des FVS zugesandt.
Danke euch allen für die tatkräftige Unterstützung.
Gerne doch, dafür sind wir ein Forum.
Bitte warten ..
Mitglied: Jimbow
27.04.2011 um 22:38 Uhr
Hallo, gibt es eine Möglichkeit, dass ich einfach das Netgear Zertifikat, welches schon standardmäßig vorinstalliert ist zu vertrauen?

Kann ich mir irgendwo den Publik Key von der CA dem diesem Zertifikat runterladen. Somit würde das Problem mit dem Zertifikatsfehler nicht mehr auftreten.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
LAN, WAN, Wireless
gelöst VPN Client in Hardware Form (2)

Frage von PharIT zum Thema LAN, WAN, Wireless ...

Router & Routing
gelöst VPN, Feste IP-Adr. Verständnisfrage bzgl. GateWay (Einstufung: Sehr einfach) (14)

Frage von uuppss zum Thema Router & Routing ...

Netzwerkmanagement
gelöst VPN Verbindung wird automatisch zum Gateway (1)

Frage von fugu zum Thema Netzwerkmanagement ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...