7
VPN zu Netzwerk hinter Juniper SSG5
Hallo,
ich versuche mich im Moment daran mein Heimatnetz neu zu gestalten. Seit kurzem bin ich glücklicher User eines Unitymedia - Businessanschlusses mit statischer IP und entsprechender Fritzbox Cable 6360. Dahinter habe ich als Router eine Juniper SSG5. Die grundlegende Konfiguration habe ich relativ entspannt hinbekommen, ich komme problemlos ins Internet.
Nun aber zu meinem Problem: Ich möchte per VPN mit iPhone und iPad auf mein Heimatnetz zugreifen. Das bekomme ich nicht hin. Zur Fritzbox kann ich zwar ein VPN aufbauen (das sagt mit jedenfalls mein iPad) aber dann ist Feierabend, ich komme kein Stück mehr weiter. Die SSG5 als VPN-Server zu nehmen soll angeblich nicht gehen, da dem nativen Apple-VPN Client ein Teil des Protokolls fehlt das die SSG5 zur Initialisierung der Verbindung benötigt. Im Heimnetz habe ich noch ein QNAP-NAS. Das kann auch einen VPN-Server zur Verfügung stellen, dazu müsste ich aber einige Ports in der SSG5 weiterleiten, was diese mir bei Port 500 (IKE) verweigert. So, und nun hoffe ich das es hier Menschen gibt denen dazu was einfällt. Ich Danke Euch schon jetzt für eure Hilfe.
Viele Grüße
Wolfgang
PS: Ja, ich habe schon gegoogelt! Stundenlang. Hat alles nichts geholfen...
ich versuche mich im Moment daran mein Heimatnetz neu zu gestalten. Seit kurzem bin ich glücklicher User eines Unitymedia - Businessanschlusses mit statischer IP und entsprechender Fritzbox Cable 6360. Dahinter habe ich als Router eine Juniper SSG5. Die grundlegende Konfiguration habe ich relativ entspannt hinbekommen, ich komme problemlos ins Internet.
Nun aber zu meinem Problem: Ich möchte per VPN mit iPhone und iPad auf mein Heimatnetz zugreifen. Das bekomme ich nicht hin. Zur Fritzbox kann ich zwar ein VPN aufbauen (das sagt mit jedenfalls mein iPad) aber dann ist Feierabend, ich komme kein Stück mehr weiter. Die SSG5 als VPN-Server zu nehmen soll angeblich nicht gehen, da dem nativen Apple-VPN Client ein Teil des Protokolls fehlt das die SSG5 zur Initialisierung der Verbindung benötigt. Im Heimnetz habe ich noch ein QNAP-NAS. Das kann auch einen VPN-Server zur Verfügung stellen, dazu müsste ich aber einige Ports in der SSG5 weiterleiten, was diese mir bei Port 500 (IKE) verweigert. So, und nun hoffe ich das es hier Menschen gibt denen dazu was einfällt. Ich Danke Euch schon jetzt für eure Hilfe.
Viele Grüße
Wolfgang
PS: Ja, ich habe schon gegoogelt! Stundenlang. Hat alles nichts geholfen...
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 299159
Url: https://administrator.de/contentid/299159
Printed on: April 25, 2024 at 23:04 o'clock
7 Comments
Latest comment
Hallo,
bei einer Router Kaskade stellt man in der Regel alles was via VPN erreicht werden soll
hinter den ersten Router und dort kann es dann via VPN und aus dem Netzwerk hinter
dem zweiten Router oder wie hier in diesem Fall der Firewall erreicht werden. Sonst macht
das mit dem dual homed bastion host keine Sinn. Dann nimm lieber nur einen Router oder
eine Firewall und gut ist es. So wie es jetzt aussieht muss man dann am Router vorne das
VPN terminieren und dann an der USG auch noch Ports öffnen was man ja eigentlich vermeiden
möchte um das dahinter liegende Netzwerk zu schützen.
Mein Tipp an Dich, kauf Dir ein Modem oder mach wenn möglich deine AVM FB zum Modem
und lass sie im Bridged mode laufen und dann benutze nur die USG Firewall und stell Dein NAS
in eine DMZ rein. Das NAS als VPN Server laufen zu lassen ist auch schon wieder so eine Sache
denn die AVM FB kann ja IPSec VPN bereitstellen und von daher würde ich immer versuchen so
wenig wie möglich Ports vorne am WAN Port zu öffnen wie möglich am besten jedoch gar keine.
Ports öffnen ist einfach nur wenn dann dort eine Virenschleuder oder eine Spamschleuder entsteht
ist das eigentlich genau das was die Admins die hier auch im Forum sind unterbinden wollen, da sie
hauptberuflich damit beschäftigt sind Ihre Netzwerke gegen so etwas abzusichern.
Gruß
Dobby
bei einer Router Kaskade stellt man in der Regel alles was via VPN erreicht werden soll
hinter den ersten Router und dort kann es dann via VPN und aus dem Netzwerk hinter
dem zweiten Router oder wie hier in diesem Fall der Firewall erreicht werden. Sonst macht
das mit dem dual homed bastion host keine Sinn. Dann nimm lieber nur einen Router oder
eine Firewall und gut ist es. So wie es jetzt aussieht muss man dann am Router vorne das
VPN terminieren und dann an der USG auch noch Ports öffnen was man ja eigentlich vermeiden
möchte um das dahinter liegende Netzwerk zu schützen.
Mein Tipp an Dich, kauf Dir ein Modem oder mach wenn möglich deine AVM FB zum Modem
und lass sie im Bridged mode laufen und dann benutze nur die USG Firewall und stell Dein NAS
in eine DMZ rein. Das NAS als VPN Server laufen zu lassen ist auch schon wieder so eine Sache
denn die AVM FB kann ja IPSec VPN bereitstellen und von daher würde ich immer versuchen so
wenig wie möglich Ports vorne am WAN Port zu öffnen wie möglich am besten jedoch gar keine.
Ports öffnen ist einfach nur wenn dann dort eine Virenschleuder oder eine Spamschleuder entsteht
ist das eigentlich genau das was die Admins die hier auch im Forum sind unterbinden wollen, da sie
hauptberuflich damit beschäftigt sind Ihre Netzwerke gegen so etwas abzusichern.
Gruß
Dobby
Moin,
handelt es sich um einen IPV6 Anschluss?
Gruß
Uwe
handelt es sich um einen IPV6 Anschluss?
Gruß
Uwe
Nein. dann bräuchte ich mir ja über VPN keine Gedanken zu machen 
Du kannst die FB (meines Wissens nach) nicht als VPN Endpunkt nehmen.
Es sei denn du schaffst es der FB und der SGS5 beizubringen sowohl dein öffentliches Netz (die 4 Adressen) und dein hinter der SGS5 liegendes Netz vernünftig durch den Tunnel zu bekommen und zu routen.
Ich habe selber Unitymedia Business und verwende eine pfSense. die pfSense ist der VPN Endunkt: kein Problem
CH
Es sei denn du schaffst es der FB und der SGS5 beizubringen sowohl dein öffentliches Netz (die 4 Adressen) und dein hinter der SGS5 liegendes Netz vernünftig durch den Tunnel zu bekommen und zu routen.
Ich habe selber Unitymedia Business und verwende eine pfSense. die pfSense ist der VPN Endunkt: kein Problem
CH
Jo,
deshalb ja auch die Frage.
Normalerweise ist die FB 6360 kein Router sondern fungiert lediglich als Modem.
Funktionen wie WLAN, DHCP und FW sind deaktiviert. Das bedeutet, dass Du sämtliche Konfiguration eigentlich an der
nachgeschalteten FW erledigst.
Gruß
Uwe
deshalb ja auch die Frage.
Normalerweise ist die FB 6360 kein Router sondern fungiert lediglich als Modem.
Funktionen wie WLAN, DHCP und FW sind deaktiviert. Das bedeutet, dass Du sämtliche Konfiguration eigentlich an der
nachgeschalteten FW erledigst.
Gruß
Uwe
Moin,
Ich habe selber Unitymedia Business und verwende eine pfSense. die pfSense ist der VPN Endunkt: kein Problem
Habe hier mit ähnlicher Konstellation auch keine Sorgen.
Gruß
Uwe
Ich habe selber Unitymedia Business und verwende eine pfSense. die pfSense ist der VPN Endunkt: kein Problem
Habe hier mit ähnlicher Konstellation auch keine Sorgen.
Gruß
Uwe
Grundlagen zur IPSec VPN Einrichtung findest du auch hier:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
