VPN Server und Netgear Router

Das geht aus deinem ersten Satz leider nicht eindeutig hervor. Du musst deinen Sachverhalt schon so beschreiben, dass er für Andere eindeutig verständlich ist...
Meine Glaskugel ist nämlich gerade defekt...

Moin,

uff - ich glaub das willst du nicht wirklich. Denn du wirst dir damit mehr Probleme als alles andere einhandeln.

a) Dein VPN muss passend konfiguriert sein - damit dein lokales Netz überhaupt weiss das es die IP 192.168.x.y durch den Router jagen muss während 192.168.x.z nur über den Switch geht. Das ganze musst du entweder mit nem DHCP-Helper-Statement machen ODER versuchen dein Netz so transparent zu machen das du vom VPN nichts siehst (sofern möglich). Im Normalfall hat ja dein lokaler PC mit z.B. 192.168.1.1/24 gar keinen Grund die 192.168.1.2/24 hinter der 192.168.1.254/24(deinem Router) zu vermuten, der sendet das an den lokalen Switch und selbst der lokale router erwartet die 1.2/24 auf seinem INTERNEN interface... Wenn da nix antwortet - tja, schade, paket verwerfen und gut.

b) Du musst dafür sorgen das deine Verbindung dauerhaft besteht und schnell ist - sonst fliegen dir deine DHCP-Requests um die Ohren!

c) Wenn dein VPN nicht besteht (z.B. Provider hat einen Ausfall) dann hast du plötzlich dein ganzes Netz zerlegt.

Von daher würde ich empfehlen mach dir nen ganz normales VPN. Dein lokaler Router vergibt die IPs an die Clients und du kannst dann ganz in ruhe via IP und VPN auf deinen Server zugreifen.

Möchtest du denn wirklich die öffentlichen IPs lokal verteilen oder möchtest du ein VPN aufbauen und dann aus deinem RZ ein Portforwarding über den VPN-Tunnel in dein heimisches Netz betreiben?
Ersteres ist - wie @maretz schon geschrieben hat - keine gute Idee.

Letzteres ist prinzipiell nicht so schwierig.

Dein Problem besteht ja nun im Aufbau der VPN-Verbindung.

Hier ist auch nochmal eine Anleitung die die Einrichtung von IPSec unter Server 2008 beschreibt, vielleicht hilft dir das etwas weiter...

Moin,

ich muss jetzt mal nachfragen: Du hast meinetwegen die öffentlichen IPs 123.123.123.120-125 (ich überlege jetzt nicht wg. passendem Subnet!), jetzt hat dein Server in Frankfurt die 123.123.123.121 und du möchtest deinen Geräten zuhause die .122-124 geben? Das wird - egal ob per VPN oder nicht - nicht funktionieren. Du kannst deinem Server natürlich einfach alle x IPs geben und dann per Port-Forwarding durchs VPN auf deine VPN-IPs zeigen lassen. Willst du aber ehrlich gesagt auch nicht tun da du dann gleich mehrere Probleme hast:
a) Du hängst natürlich bei jedem Angriff direkt drin (ohne gute Firewall am lokalen Gerät geht da nix)
b) Die Latenz ist eher ... überschaubar
c) Deine lokalen Endgeräte möchten natürlich wissen wie die auf eine Anfrage antworten sollen - d.h. ggf. musst du dein Gateway so setzen das ALLER traffic über deinen Webserver rausgeht. Willst du nicht!

Und das dein ISP keine festen IPs verteilt ist durchaus bewusst so gemacht und auch korrekt!

Schönen Gruß,

Mike

Moin,

die MBit sind egal dabei - du kannst auch 10 GBit haben und das bringt dich nicht weiter (und dein RZ sollte heute locker im Bereich mehrere GBit liegen, dein Server hat idR. 1 GBit als uplink)

DAS ist aber auch alles egal. Du kannst nicht einfach irgendwie irgendwo IPs eintragen und dann läuft das schon. Nehmen wir die o.g. IPs an (123.123.123.120-125) - dann enden die ALLE bei deinem Server. Diese kannst du nicht einfach "umleiten" nur weil du nen VPN aufbaust. Du kannst dir natürlich nen VPN aufbauen und bei dir zuhause (oder wo auch immer) die IPs 192.168.x.y geben (z.B. 1.1 - 1.254). Jetzt kannst du deinem Server im RZ sagen "leite alles was auf 123.123.123.121 kommt an 192.168.1.1 weiter" -> DAS geht, ist Sicherheitstechnisch blödsinn und bringt dich aus o.g. Punkten nicht wirklich weiter. Aber es geht.

Was nicht geht: Du hast deinen Server im RZ mit 123.123.123.120, vergibst via VPN 123.123.123.121-124 bei dir zuhause und der Server leitet das dann weiter. Dein Server wird auf diese IPs nicht reagieren - fertig. Damit KOMMEN die Anfragen nicht mal zu deinem VPN - entsprechend werden die nicht weitergeleitet. Selbst würden die dahin kommen hättest du auf der Netzwerkkarte 1 (eth0 z.B.) die 123.123.123.120. Wenn diese Netzwerkkarte eine Anfrage für 123.123.123.121 - aus welchem Grund auch immer, sagen wir höhere Magie - sieht dann wird diese Netzwerkkarte denken "ok, ich habe 123.123.123.x hier - also hau ich das paket direkt wieder raus". Die Netzwerkkarte hat gar keinen Grund davon auszugehen das du dasselbe Netz auch hinter deinem VPN (z.B. Tun0) hast. Stell dir vor ich rufe bei dir an (Annahme: Du heisst z.B. Max Meier). Frage ich nach Max Meier wirst du antworten. Frage ich nach Melanie Meier überlegst du ob die bei dir wohnt - falls ja machst du nen Broadcast (also einmal durchs Haus brüllen) und leitest das Gespräch weiter. Du wirst aber vermutlich _nicht_ dein Telefon nehmen, gucken wo sonst noch eine Familie Meier wohnt und das Gespräch dann weiterleiten (und du WEISST sogar das es noch mehr als eine Familie Meier geben wird, deine Netzwerkkarte eth0 weiss davon erst mal nix).

Also - so hart es klingt -> dein Vorhaben scheitert. Du kannst natürlich bei deinem Server nen DHCP einschalten und von dort aus irgendwelche IPs vergeben. Mit passender Hardware und ggf. Helper-Statements sogar über ein VPN. Das sind dann aber keine öffentlich erreichbaren IPs (egal ob du welche aus dem öffentlichen Bereich nimmst oder nicht). Oder du vergibst in deinem lokalen Netzwerk einfach vom router aus IPs (und für gewisse Geräte dann eben statische Zuweisungen), machst irgendwelche Port-Forwards und hast eben entsprechende Weiterleitungen am Server. Du kannst weder mehr IPs vergeben als dein ISP dir gibt noch kannst du irgendwie dafür sorgen das du mit einer öffentlichen RZ-IP direkt ohne weiterleitung zu deinem PC hinterm VPN kommst. DAFÜR musst du dann schon ein wirkliches Kabel an den Switch im RZ hängen (also praktisch deine Geräte ins rz stellen).

Dann arbeite doch einfach mit NAT. Im Endeffekt erreichst du das gleiche Ziel, nämlich das unter der öffentlichen IP im Rechenzentrum eine Maschine bei dir zuhause/im Büro erreichbar ist...

Hi,

eine schlüsselfertige Anleitung habe ich gerade nicht parat, aber ich versuche dir mal kurz das Vorgehen aufzuzeigen. Die nötigen Schritte solltest du passend zu deiner Hardware/Software-Konstellation über eine Suchmaschine deiner Wahl relativ schnell finden können.

Prinzipiell ist es ja heutzutage so, dass die meisten Internetanschlüsse eine (dynamische) öffentliche IP erhalten und der Router dahinter ein NAT/Masquerading macht. Das bedeutet, dass sich alle Rechner hinter dem Router nach aussen so zeigen, als wären sie der Router. Der Router selbst kümmert sich dann darum, dass die Pakete die zurückkommen wieder an die richtigen Rechner verteilt werden. (Stichwort: Masquerading)
Ausserdem vergibt der Router normalerweise private/interne IP-Adressen an die Rechner im lokalen Netzwerk (Stichwort: DHCP)
Das funktioniert allerdings nur, solange der Rechner hinter dem Router die Verbindung aufgebaut hat, da der Router bei Verbindungen von ausserhalb ja nicht weiß, wo die Pakete denn hin sollen.
Dafür gibt es das Portforwarding. Du sagst dem Router also: Alle Pakete die auf Port X ankommen sollen an den internen Rechner Y an Port Z zugestellt werden. So macht man Dienste im lokalen Netzwerk von ausserhalb erreichbar. (Stichwort: Portforwarding)
Das Portforwarding kann man natürlich auch "aufbohren" und allen Traffic, der von aussen auf einer IP eingeht an eine andere interne IP weiterleiten. Manche (Billig-)Router bezeichnen das auch als DMZ-Funktion.

Soviel zum Einstieg ins Thema. Kommen wir zu deinem Vorhaben:

Du möchtest also gerne die öffentlichen IPs, die dir in einem Rechenzentrum zur Verfügung stehen an einen Rechner in deinem lokalen Netz umleiten. Also müssen wir dein internes Netz im Rechenzentrum(Netz X) und dein lokales internes Netz(Netz Y) verbinden. Dazu gibt es VPN. Genauergesagt ein Site-to-Site-VPN. Hierzu gibt es verschiedene Protokolle. Ich persönlich favorisiere OpenVPN oder IPSec. (OpenVPN nutze ich privat, IPSec in der Firma). Ich empfehle für das RZ hier eine (virtuelle) pfSense o.Ä.
Wenn wir den Tunnel aufgebaut und konfiguriert haben, weiß der Router im RZ, dass er alle Anfragen an dein lokales Netz über den VPN-Tunnel senden soll. Ebenso weiß dein lokaler Router, dass er alle Anfragen an das interne Netz im RZ auch über den VPN-Tunnel senden soll.
Hast du diese Funktionalität erreicht, ist erstmal das Gröbste geschafft. Zu der Konfiguration sei dir die Anleitung von @aqui sehr ans Herz gelegt.

Idealerweise hast du dann auf deinem Router im Rechenzentrum deine öffentlichen IPs bereits konfiguriert und kannst deinem dortigen Router sagen, was er mit denen anfangen soll. So kannst du z.B. ein Portforwarding auf deine lokale IP XY einrichten (Stichwort: Portforwarding) oder du leitest die komplette IP um, AFAIK geht das mit dem Loadbalancer-Dienst.
Achtung: letzteres würde ich aus Sicherheitsgründen nicht empfehlen! Ich würde nur die Ports umleiten, die wirklich benötigt werden.

Wenn du möchtest, dass ausgehender Verkehr von deinem lokalen Rechner hinter einer öffentlichen IP aus dem RZ versteckt wird, müsstest du deinem lokalen Router noch eine entsprechende Routing-Regel mitgeben, dass aller Traffic von der internen IP XY über den Router im RZ verschickt wird und du müsstest im RZ ggf. noch die passende Masquerading-Regel erstellen.

Das war jetzt im Groben die Vorgehensweise für die Realisierung deines Vorhabens.

Beste Grüße und guten Rutsch!


Berthold

@BirdyB
Besser hätte man es wahrlich nicht erklären können Birdy ! Respekt, sollte man eigentlich mal ein Tutorial draus machen, da diese simplen NAT und Port Forwarding Basiscs hier gefühlte 10mal pro Tag als Frage reinkommen....