dimugi
Goto Top

Windows 2003 SBS mit 2 NICs hinter VigorPro 5500 und AVM Fritz!Box 7170

Hallo allerseits!

Habe volgendes Szenario:

Internet -> AVM Fritz!Box 7170 (LAN-IP 192.168.5.x mit Einwahldaten, DHCP) -> Draytek VigorPro 5500 (WAN 195.168.105.x von AVM zugeteilt, LAN 192.168.104.x fest) -> Windows 2003 SBS (NIC zum Draytek 192.168.104.x fest, NIC für internes LAN 192.168.101.x, DHCP für 101-Netz)

Der W2K3 fungiert also vor das 101-Netz als Router und natet.

Ich möchte letztlich eine VPN-Verbindung aus dem Internet aufbauen.
Hängt ein PC im 104-Netz, also zwischen Draytek und W2K3 kann ich zum
W2K3 eine VPN aufbeuen in dem ich dessen IP in der VPN-Verbindung angebe.

Nun bewege ich mich ein Stück vor und hänge den selben PC zwischen AVM und Draytek ins 105-Netz. Es klapt gar nichts mehr.

Ich habe im Draytek den internen VPN-Server ausgeschaltet und es mit open-Ports, DMZ und Port-redirection schon versucht und es will nicht funzen.

Auch aus dem Internet durch die AVM geht nichts. In der AVM-Box habe ich aber ebenfalls die Ports geöffnet.

Aus dem Internet oder zwischen den beiden Geräten (AVM u. Draytek) klappt es allerdings wenn ich den im Draytek internen VPN-Server nutze.
Dann bin ich zwar im 104-Netz, jedoch muß ich mich dann noch in den Server hinein bringen. Da gab es mal einen Tipp über Adresspools im NAT des RAS und damit auch einzurichtenen Portreservierungen, nur hab ich das wahrscheinlich falsch umgesetzt oder nicht verstanden.

Scheinbar gibt der Draytek das VPN nicht richtig weiter. Was ist eigentlich mit dem GRE-Protokol? Das sollte bei deaktivierten internen VPN doch durchgereicht werden.

Weis jemand Rat?

Danke!

Dimugi

Content-Key: 65443

Url: https://administrator.de/contentid/65443

Ausgedruckt am: 28.03.2024 um 16:03 Uhr

Mitglied: aqui
aqui 03.08.2007 um 22:10:15 Uhr
Goto Top
Ein paar Fragen vorab bevor man in die Details geht:

  • Was soll der Sinn eines solchen Designs 2er kaskadierter Router sein bzw. was willst du damit erreichen ?? Ein DMZ Szenario ala http://www.heise.de/netze/artikel/78397 ???
  • Anhand deiner sehr vagen Beschreibung nutzt du PPTP als VPN Protokoll, richtig ?
  • Wo soll der Vorteil sein eine PPTP Session auf dem Server hinter 2 NAT Firewalls und unzaehligen Problemen damit zu terminieren, wo der Draytek das erheblich besser kann ohne eine Server gluehen zu lassen ???

Das groesste Problem ist eine PPTP Session revers durch 2 NAT Prozesse zu bringen. Eigentlich Unsinn und es waere besser das Design zu aendern aber dafuer muss man erstmal wissen was du vorhast....
Mitglied: dimugi
dimugi 03.08.2007 um 22:39:45 Uhr
Goto Top
Ich bin PC-Dienstleister und habe neben meinem Firmennetz noch ein privates Netz.

Im privaten Netz surft meine Frau und chattet. Das ist mir im Firmennetz zu unsicher.
Ich habe daher eigentlich zwei Router an der Fritzbox, den Draytek und einen Longshine.
Der Longshine hat ebenfalls Einwahldaten und geht via pppoe durch die Fritzbox.

Hinter dem W2K3 SBS befindet sich nein Firmennetz.

Die AVM Fritzbox 7170 verfügt über 4 LAN-Ports und WLAN, das nutze ich um Kundenrechner zu testen und ins Internet zu bringen ohne größere Gefahr für das Firmen und Heimnetz.
So muß ich nur sellten, wenn ein Kunde eine DSL-Karte nutzt, auch die Fritzbox abhängen um zu testen.

Die Fritzbox ist bei mir auch für die VOIP-Telefonie zuständig.

Wie gesagt hatte ich mit dem Internen VPN des Vigor bereits Erfolg ins 104-Netz zu kommen, aber bin letztlich am W2K3 gescheitert, da dieser ebenfalls als Router läuft und Anfragen von außen (140-Netz) nur bedingt durchreicht.

Wenn ich das mit den Adresspools und der Reservierung in der NAT des RAS besser verstehen würde wäre mein Problem sicherlich auch gelößt.

Wie ich auch beschrieben habe komme ich bei abgeschalteten VPN-Server im Vigor auch dann nicht mehr durch, wenn ich die AVM außer acht lasse, d.h. zwischen AVM und Vigor den PC einhänge.

Hat der Vigor eventuell mit GRE ein Problem?

Ich weiß mein Szenario ist etwas verückt, sobald ich eine andere einfachere Lösung habe werde ich auch diese probieren.

Der SBS ist für mich auch deshalb ein empfindiches Theme, da darauf mein Email-Server (Eschange) und meine Warenwirtschaft läuft.

Gruß

Dimugi
Mitglied: aqui
aqui 03.08.2007 um 23:01:35 Uhr
Goto Top
Keine einfachen Voraussetzungen in der Tat.... Am einfachsten ist es du laesst die PPTP Sessions auf dem Draytek enden und arbeitest in einem einfachen DMZ Szenario mit nur 2 Routern wie oben im ct Artikel beschrieben. Dein Chat Segment ist dann das LAN zwischen beiden Systemen. VPN Sessions sind nicht dafuer gemacht ueber 2 oder mehr NAT Ports zu laufen...
Dazu muss auf dem AVM entsprechend ein PFW fuer TCP 1723 und GRE auf die IP des Draytek eingestellt sein. Das sollte eigentlich stabil arbeiten allerdings kannst du dann nur eine Verbindung in die Segmente hinter dem Router herstellen, was ja aber gewollt ist denn ins Chat Segment willst du ja nicht.

Was technisch spannend ist wie du gleichzeitig eine PPPoE Session vom AVM zum Provider und gleichzeitig vom Longshine hinbekommst. Normalerweise sollte das eigentlich voellig unmoeglich sein, da der Provider nur eine einzige Session pro DSL Anschluss zulaesst.
Mitglied: dimugi
dimugi 03.08.2007 um 23:26:12 Uhr
Goto Top
Es wird noch spannender, denn ich habe in der AVM für das VOIP andere Einwahldaten als für den eigentlichen Internet-Zugang.

Fritu!Box enthält T-Online-Daten zum Internet und Schlund-Daten für das VOIP.
Lonshine geht via AOL-Daten durch die AVM.

DSL-Grundgebühr zahle ich an T-Online, für die andren Provider nur noch die DSL-Gebühren.

geht soweit sehr gut.

Die AVM läßt pppoe zu obwohl sie selbst Einwahldaten hat.

Ich kann dadurch meine AOL-Kunden besser Supporten, da ich AOL nicht anrufen muß um Fragen zu klären. Anwort hängt ja oft vom Wissen des Mitarbeiters ab. Ich kann alles selber probieren. VOIP über Schlund lohnt sich für mich, da ich VOIP-Kunden eine eben solche Nummer
für Anfrage und Support anbieten kann.

Gruß

Dimugi
Mitglied: dimugi
dimugi 03.08.2007 um 23:35:57 Uhr
Goto Top
VPN am Draytek enden lassen geht ja, wenn ich wie gesagt den VPN-Server des Draytek's nutze. Wie funktioniert das durchkommen zum 101-Netz durch den SBS?

Es soll angeblich unter anderem im NAT des "Routing und RAS" gehen. Dort soll man
in den Eigenschaften Adresspools anlegen und jedem Rechner im 101-Netz dann eine Reservierung einrichten (inkl. dem Server).

Das habe ich aber leider nicht hinbekommen.

Wäre daher für eine Anleitung sehr dankbar.

Wenn ich die NAT am Server abschalten will bekomme ich eine Meldung das dann ein Zugriff aufs Internet mehrer Clients nicht mehr möglich sei.

Klar für den Server ist das 104-Netz ja seine Webschnittstelle.

Geht am Server auch Routing ohne NAT?

Ich würde ungern das Firmennetz direkt an den DrayTek hängen und auf die zweite NIC verzichhten.

Gruß

Dimugi
Mitglied: aqui
aqui 04.08.2007 um 16:16:44 Uhr
Goto Top
Das ist ganz einfach, denn du musst nur eine statische Route auf dem Draytek via NIC des Servers eintragen, dann wird das ueber den Server in das Segment geroutet.
Auf dem Server muss dafuer nur RAS aktiviert sein.

Wie das genau geht kannst du hier:


genau nachlesen !

P.S.: Das mit deinen multiplen PPPoE Zugaengen ueber einen phzsischen DSL Anschluss ist interessant. Normalerweise sollte sowas technisch gar nicht moeglich sein, den Provider lassen immer nur einen dedizierten Link zu...nundenn man lernt nie aus oder man hat bei dir einen Konfig Fehler an den DSLAMs gemacht face-smile
Mitglied: dimugi
dimugi 04.08.2007 um 17:08:06 Uhr
Goto Top
Mit den Adresspools und der Reservierung im NAT des 2003 Servers hat es nun geklappt.

Eigentlich habe ich nichts anderes eingestellt wie bei den ersten Versuchen, doch nun geht es shon mal.

Ich habe im Adresspool des NAT (RAS) eine weitere Adresse für die Webschnittstelle definiert und dann eine Resevierung für die LAN-Schnittstelle des SBS eingerichtet.

Im Draytek habe ich eine Port-Redirection auf Port 1723 (TCP) eingerichtet und zunächst erst einmal
die Firewall auf "pass" eingestellt. In der Fritz!Box leite ich die Ports 1723 (TCP) und 47 (GRE) an den Draytek. So geht es dann erst einmal.

Klar jetzt muß ich noch eine Firewallregel definieren, damit ich diese per default auf "block" lassen kann.

Später versuch ich mal den Server zu entlasten indem ich den Draytek internen VPN nutze.
Vielleicht klappt dann auch mit einer sicherreren Verbindung als pptp.

Ich werde dann nartürlich darüber berichten.

Das mit dem Provider und der eventuell Fehlerhaften Konfig. werde ich mal anderswo Testen und dan auch darüber berichten.

Gruß

Dimugi
Mitglied: aqui
aqui 04.08.2007 um 21:04:11 Uhr
Goto Top
Spricht fuer die Funktion dieser Komponenten, das dies Konstrukt so funktioniert face-wink

Der Draytek supportet IPsec sowohl im ESP als auch AH Mode. Das ist sehr sicher. Du benoetigst in der Konstellation allerdings ESP, denn AH kann man nicht per PFW Liste forwarden !

Dann kannst du ja erstmal beruhibt den Haken setzen....
Wie kann ich einen Beitrag als gelöst markieren?
Mitglied: dimugi
dimugi 16.10.2007 um 06:21:33 Uhr
Goto Top
Ist wohl ausschließlich ein Problem des Vigor 5500 Pro, denn mit einem älteren Vigor 2200 geht es.

Laut Draytek liegt es Hauptsächlich daran, daß der 5500 Pro auch bei abgeschalteten internen VPN's eingehende VPN-Verbindungen durch die Firewall überprüft. Das ganze trotz open-Ports oder DMZ. Diese Einstellungen nutzen beim 5500 Pro nichts. Eindeutig ein Fehler.

So muß man wohl auf ein Firmware-Update warten oder sich sonst etwas einfallen lassen um die VPN hinzubekommen.

Ich werde sobald ich ein Ergebnis habe, hier darüber berichten.

Gruß

Dimugi