Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VPN IPSec mit Bintec Routern

Frage Netzwerke Router & Routing

Mitglied: Gladmin

Gladmin (Level 1) - Jetzt verbinden

03.01.2007, aktualisiert 29.10.2007, 12584 Aufrufe, 3 Kommentare

Hallo,

ich habe zwei Bintec Router per VPN IPSec miteinander vernetzt ein X1300II, der in der Zentrale steht und ein r232bw (Filiale1).
Jetzt habe ich folgendes Problem, ich kann eine VPN verbindung aufbauen, kann aber nicht auf die Netztwerkresourcen hinter dem Router in der zentrale (X1300) zugreifen. Darunter Netzlaufwerke auf einem Server und dem Remotedesktop auf demselben Server.

IP Struktur:

Zentrale: 192.168.0.xxx IP Router x1300II : 192.168.0.9 Server (Netzlaufwerke, Terminaldienstserver): 192.168.0.10
Filiale1: 192.168.10.xxx IP Router Filiale r232bw: 192.168.10.1
Subnetzmasken bei beiden 255.255.255.0

Wie kann ich diese Netze am besten verbinden. Hat jemand ne gute Doku für diese Bintec Router?

Bin dankbar für jede Hilfe

Grüße

Gladmin
Mitglied: Gladmin
03.01.2007 um 20:55 Uhr
Habe jetzt NAT im r232bw aktiviert. Kann jetzt auf den Remotedesktop zugreifen. Habe aber noch kein Zugriff auf die Netzlaufwerke.
Bitte warten ..
Mitglied: Torben
05.01.2007 um 10:20 Uhr
Hallo Gladmin,
Ich kenne zwar das x1300II Modell nicht aber wahrscheinlich ist hier der X1200II gemeint ?
OK das soll ja aber nicht das Problem sein.

1. Also NAT brauchst du hier eigentlich überhaupt nicht > ausschalten (außer natürlich am WAN Interface aktiviert lassen)
2. Ich weis nicht wie groß das komplette Netzwerk ist aber ich hätte keine 24Bit Subnet gewählt sondern 25 oder 26 Bit. Da wären wir bei 25Bit bei einem nutzbaren Hostanteil von 126 und bei 26Bit bei 62. Nur ein Tipp denn man muss hier sonst event. schnell je nach Größe ein Class A Netz anstreben und solch eine Umstellung sollte man vorne weg beachten.
3. Du sagst du hast beide Subnetze ja schon über VPN IPSec verbunden, sollte der Ping in das Zielnetz schon funktionieren dann ist der Rest doch gar nicht schwer.

Unter diesen Vorraussetzung ist der Ablauf wie folgt.

Ich habe schon einige Bintec Router über VPN eingerichtet und erkläre es dir mal an einem kleinen Bsp. unserer Zentrale und einer Filiale.
Du hast ja ein neues VPN Peer nämlich das der Filiale im Router der Zentrale und umgekehrt eingerichtet. Bei uns ist es so das ich natürlich aus der Zentrale Zugriff auf die Shares der Filiale haben möchte so wie du auch nur umgekehrt darf das nicht sein.
In diesem Fall machst du am Router der Zentrale unter IP, NAT die NAT des Peers zur Filiale auf an. Das gleiche machst du auf dem Router der Filiale auch, aber bedenke sobald du die NAT aktivierst ist erst einmal jeglicher Zugang über SSH oder Telnet hinfällig.
Nur kurz erwähnt das du dich halt nicht aussperrst. Das bezieht sich aber nur auf das VPN Peer (Interface) über WAN kannst du ja trotzdem connecten sofern du hier ja auch durch die akive NAT entsprechende Regel für Incomming Verkehr zulassen musst. Ok du hast die NAT auf beiden Routern nun aktiviert und musst jetzt in diesem Punkt die entprechenden Ports für die Dienste die du nutzen willst freigeben. In deinem Bsp. wäre das da ja ein Netzwerk Browsing von der Zentrale zur Filiale erlaubt sein soll wie folgt:
In den NAT Einstellungen der Zentrale für das VPN Peer zur Filiale erstellt du eine neu "from incomming Regel" die besagt das du erst mal alles aus der Zentrale in Richtung Filiale darfst.
Eintrag wie folgt:

Service: user definiert
Protocol: any
Remote Port: any
External Mask: 255.255.255.255
External Port: any
Internal Port: any

Abspeichern und fertig für die Zentrale.

In der Filiale machst du es wie folgt für das VPN Peer zur Zentrale:

Regeln für "from outside"

Service: user definiert
Protocol: tcp
External Port: specify Port 137
Internal Mask: 255.255.255.255
Internal Port: specify Port 137

und save.


Regeln für "from outside"

Service: user definiert
Protocol: udp
External Port: specify Port 138
Internal Mask: 255.255.255.255
Internal Port: specify Port 138

und save.


Regeln für "from outside"

Service: user definiert
Protocol: tcp
External Port: specify Port 139
Internal Mask: 255.255.255.255
Internal Port: specify Port 139

und save.


Regeln für "from outside"

Service: user definiert
Protocol: tcp
External Port: specify Port 445
Internal Mask: 255.255.255.255
Internal Port: specify Port 445

und save.


Zum Netzwerkbrowsen benötigst du "NetBIOS over TCP/IP" und/oder das SMB Protokoll. Ist also dein Ziel PC ein Windows NT Rechner benötigst du "NetBIOS over TCP/IP" also Port 135/137 bis 139. Ab 2000/XP/2003 kann SMB direkt über TCP/IP ohne einen extra Layer über NetBIOS browsen also benötigt man nur Port 445/TCP. Es ist ja erst mal für das Grobtuning nicht so schlimm wenn du ein paar Port mehr offen hast als benötigt werden, da die Kopplung der Router ja eine Trusted Zone ist . Jedoch gibt es immer wieder Angestellte die meinen das sie zu Freaky sind und versuchen über offene Port irgend etwas zu tunneln. Darum ist es schon ratsam den restlichen Kram zu schließen wenn es läuft.
Das ganze war nur ein kleines Bsp. man könnte das auch alles über die intergrierte SPI (Firewall) lösen, aber ich kenne deinen Wissensstand nicht und die vorliegende Infrastruktur und es würde so ausarten das man es kaum in eine verstöändliche Schreibform bekommen würde.

Mfg
Bitte warten ..
Mitglied: AsciWhite
29.10.2007 um 15:40 Uhr
hallo, auch wenn ich gestehn muss, dass ich bei den bintec routern nicht ganz so durchgugge, aber mit erscheint es doch seeeehr gefählich eine Portweiterleitung von außen über alle (any) Ports an einen Server oder ähnliches zu machen ... da kannst ja gleich den PC ins Inet stelln :-O außerdem hat dieser Eintrag noch einen weiteren Nachteil. Bei mir wars jedenfalls so, dass eine Portforward für den FTP (21) dann einfach vom Bintec inoriert wurde!
okay, das dazu und nun hab ich dann auch mal noch ein Problem mit dem VPN ... ich hab einen BinGoDSLII hier und hab bereits ein Weiterleitung der Ports 1701 (L2TP) und 1723 (PPTP) auf die IP eines PC'S in meinem LAN eingerichtet. RAS Benutzerrechte hab ich auch für einen AD Benutzer vergeben. Wenn ich nun von einer Remotestation den VPN aufmachen will, kommt nur die Meldung: "Benutzername und Kennwort wird überprüft" und dabei bleibts dann bis zu einem Timeout. Im Log des Routers taucht mehrfach eine Zeile mit "NAT: refused incoming session on ifc 10002 prot 47 [meine IP] [Remote IP]" auf, was für mich bedeutet, dass er mit dem Port 47 noch nichts anzufangen weiß. Daher hab ich auch diesen noch an den PC weitergeleitet, aber auch das bringt keine Veränderung.
Nun hab ich allerdings auch mal den Test mit einer [any] Port Weiterleitung gemacht und da klappts auf anhieb mit der Einwahl :-O ! .... Also welchen Port oder welche Ecke hab ich noch vergessen einzustellen?

Mfg @ all
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Router & Routing
gelöst Bekomme keine Verbindung zwischen zwei Bintec Routern hin (7)

Frage von DJBreezer zum Thema Router & Routing ...

Netzwerke
VPN DHCP IPSec im Vergleich zu L2TP over IPSec (1)

Frage von TomJones zum Thema Netzwerke ...

Router & Routing
gelöst 18 Standorte via IPSEC VPN verbinden (26)

Frage von Nichtsnutz zum Thema Router & Routing ...

LAN, WAN, Wireless
gelöst L2TP-IPsec VPN pfSense 2.3 (6)

Frage von maddig zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...