Zum Inhalt wechseln


Foto

suche VPN fähigen Router


  • Bitte melde dich an um zu Antworten
82 Antworten in diesem Thema

#16 IThome

IThome

    Moderator

  • 17.763 Beiträge

 

Geschrieben 09. Dezember 2005 - 10:43

Auf dem Router der gegenüberliegenden Seite musst Du keine Ports forwarden, Du musst die Ports, die benötigt werden von innen nach aussen durchlassen.
Der Client muss nicht unbedingt Mitglied der Domäne sein.
Ich bin S-1-5-XXX-500, ich darf das ...

#17 hoschi2

hoschi2

    Gast

  • 309 Beiträge

 

Geschrieben 10. Dezember 2005 - 09:43

Du musst die Ports, die benötigt werden von innen nach aussen durchlassen.
.


das mein ich ja mit port forwarden. Einfach in die NAT bzw Virtual Server List die ip und ports eintragen.

#18 IThome

IThome

    Moderator

  • 17.763 Beiträge

 

Geschrieben 10. Dezember 2005 - 10:10

das mein ich ja mit port forwarden. Einfach in die NAT bzw Virtual Server List die ip und ports eintragen.


Wenn Du von innen eine VPN-Verbindung initiierst, musst Du auf dieser Seite nichts in irgendeine Virtual Server Einstellung eintragen. Dort trägt man Ports und Adressen ein, wenn die Verbindung von aussen nach innen aufgebaut wird und der Router NAT durchführt. Du musst in der Filterliste des Routers definieren, dass er die Verbindungen durchlässt, die Du möchtest (die meisten SOHO-Router haben keine Einschränkungen von innen nach aussen). Da jedes NAT-Gerät auch eine Stateful Inspection durchführt, lässt es die Antworten auf die von innen initiierten Verbindungen wieder zurück (ich rede jetzt von der Seite der Clients)
Ich bin S-1-5-XXX-500, ich darf das ...

#19 hoschi2

hoschi2

    Gast

  • 309 Beiträge

 

Geschrieben 10. Dezember 2005 - 10:26

in der Regel lassen Router doch automatisch alle Ports von innen nach außen durch. Also muss ich da nichts einstellen.
wenn ein client sich mit einem VPN server verbindet benutzt er zb Port 1732 nach außen und der Server (NAT) nach innen. Aber auf welchem Port läuft dann die Verbindung vom Server zum Clienten ?

#20 IThome

IThome

    Moderator

  • 17.763 Beiträge

 

Geschrieben 10. Dezember 2005 - 10:32

in der Regel lassen Router doch automatisch alle Ports von innen nach außen durch. Also muss ich da nichts einstellen.
wenn ein client sich mit einem VPN server verbindet benutzt er zb Port 1732 nach außen und der Server (NAT) nach innen. Aber auf welchem Port läuft dann die Verbindung vom Server zum Clienten ?


Ja genau, meistens musst Du nichts einstellen. Der Client generiert einen Port > 1024 und verbindet sich mit diesem Port als Quelle mit dem Serverport. Der Server antwortet mit dem Port, den der Client als Ziel angegeben hat (Quelle) und das Ziel ist der vom Client generierte Port. Dein NAT-Router sieht das als Antwort auf eine von innen initiierte Verbindung und lässt durch ...
Ich bin S-1-5-XXX-500, ich darf das ...

#21 hoschi2

hoschi2

    Gast

  • 309 Beiträge

 

Geschrieben 10. Dezember 2005 - 10:50

ok jetzt hab ichs kapiert. demzufolge muss also ein Router der vor einem Clienten steht im Normalfall nicht eingestellt werden.

Bei mir läuft der Zugriff von außerhalb auf den Server aber trotzdem nicht. Innerhalb des Lan ist das kein Problem aber wenn ich versuche von zuhause mich auf dem Server einzuloggen klappt der Verbindungsaufbau einfach nicht.
beim router auf der serverseite hab ich zu testzwecken die Firewall abgeschaltet und sämtlichen relevanten Ports für VPN auf den Server weitergeleitet.
Wenn ich mich vom Clienten über PPPoE ohne Router ins Netz einwähle klappt VPN auch nicht.

Client ist XP, server W2k3, Router vor Server D-Link 804HV

#22 IThome

IThome

    Moderator

  • 17.763 Beiträge

 

Geschrieben 10. Dezember 2005 - 11:05

Die Clientseite schliesse ich jetzt mal aus, da es auch mit einer Verbindung ohne Router nicht klappt. Wenn Du mit PPTP auf den RRAS des Servers willst und dieser hinter dem Router steht, muss der Router erstmal DYNDNS oder sowas unterstützen und er muss in der Lage sein, PPTP-Passthrough (TCP 1723 und IP-Protokoll 47) nach innen zu Deinem Server durchzuführen (auf dieser Seite wird das Portforwarding durchgeführt). Du sprichst von der Clientseite entweder die momentane öffentliche IP-Adresse des Routers oder den DYNDNS-namen an und der Router leitet die Anfrage zur privaten, externen Adresse des RRAS weiter.
Hast Du schon mal probiert, den RRAS mit seiner externen Karte direkt an das Modem zu klemmen und direkt eine Verbindung aufzubauen ?
Ich bin S-1-5-XXX-500, ich darf das ...

#23 hoschi2

hoschi2

    Gast

  • 309 Beiträge

 

Geschrieben 10. Dezember 2005 - 17:58

Router ünterstütz VPN Passthrough, ist sogar VPN Server. Dyndns und Rest ist alles korrekt eingestellt. Wenn ich ohne Router ins Netz gehe funzts auch nicht.
Lokale Anmeldung von den Clienten im Netz per VPN geht. von außen nicht.

Wenn ich den Router als VPN Server nehme hab ich das Problem dass W2k3 nicht mit dem Rechner daheim zurecht kommt. Wenn ich auf das Netzwerk des Servers will muss ich mich ja am Server anmelden.eine Anmeldung davor am Router bringt mir ja nix.
Frage: Ist es darum möglich sich zuerst am VPNRouter anzumelden (-> man bekommt eine lokale IP ) und dann an der Windows 2003 Server Domäne anzumelden ?

#24 Data1701

Data1701

    Board Veteran

  • 1.679 Beiträge

 

Geschrieben 10. Dezember 2005 - 18:42

Sorry,

das ich Eure Zweisamkeit störe ;) , aber warum willst Du (hoschi2) denn unbedingt, dass der Client sich zwingend an der Domäne, bzw. Server anmeldet ? Reicht es nicht sich gegenüber dem Router zu authetifizieren und man ist drin (Wie Boris zu sagen pflegt) ?

W2k3 nicht mit dem Rechner daheim zurecht kommt.

Was soll das bedeuten, nicht zurecht kommen ??

Was willst Du genau machen und was geht nicht ?

Gruß Data
MCSA 2000 - MCSE 2000 - MCSA 2003 - MCSE 2003 - CCNA pending

Die Ursache für 90% der Fehlermeldungen befindet sich 60cm vor dem Bildschirm - ISO/OSI Level 8 Error

#25 hoschi2

hoschi2

    Gast

  • 309 Beiträge

 

Geschrieben 10. Dezember 2005 - 19:14

naja dann bin ich vielleicht im Netz , aber nicht am Server authorisiert. der Server muss ja irgendwie mit meinem Rechner daheim kommuniziern und mir augrund des Benutzerkontos gewisse Freigaben Rechte usw erlauben.
außerdem hängt der Router an einer anderen Netzwerkkarte wie die der Switch mit den lokalen Clients.

#26 Data1701

Data1701

    Board Veteran

  • 1.679 Beiträge

 

Geschrieben 10. Dezember 2005 - 19:31

Benutzerinforationen werden zwischengespeichert, somit ist es egal. Zugriff auf die Freigaben wird über die Anmeldeinfos des momentan angemeldeten Users gesteuert. Wenn Dir ein auto. Mapping der Freigaben fehlt, dann schreib dir nen Batchfile welches die Shares mounted.

Was im Detail funktioniert denn nicht ??

Gruß Data
MCSA 2000 - MCSE 2000 - MCSA 2003 - MCSE 2003 - CCNA pending

Die Ursache für 90% der Fehlermeldungen befindet sich 60cm vor dem Bildschirm - ISO/OSI Level 8 Error

#27 IThome

IThome

    Moderator

  • 17.763 Beiträge

 

Geschrieben 10. Dezember 2005 - 19:34

Wenn das Benutzerkonto samt Passwort auf dem Client so ist wie eins auf dem Server, brauchst Du Dich nicht am Server anmelden, um auf Ressourcen zuzugreifen (eine Netzwerkanmeldung findet natürlich trotzdem statt). Ich würde mich, wie auch schon geschrieben und ebenso von Data vorgeschlagen , am Router authentifizieren lassen.
Unter Umständen ist es auch ein Problem Deines Routers, dass er PPTP-Passthrough durchführen soll, aber gleichzeitig ein PPTP-Server ist. Mit meinem Draytek Router muss ich beispielsweise die IPSec-Endpunktfunktionalität abschalten, wenn ich mich mit einem VPN-Server via IPSec im internen Netz verbinden möchte.
Betreibst Du eigentlich eine Domäne ?
edit: ich sehe gerade, dass dieser Router auch IPSec unterstützt
http://support.dlink...DS-601 / DS-605
aber leider kein NAT-Traversal
http://support.dlink...8HV / DI-824VUP
und hier für PPTP
http://support.dlink...04HV / DI-808HV

Zitat aus dem Handbuch:

"VPN-Passthrough: The Device supports VPN (Virtual Private Network) pass-through for both PPTP (Point-to-Point Tunneling Protocol) and IPSec (IP Security). Once VPN pass-through is enabled, there is no need to open up Virtual Services. Multiple VPN connections can be made through the Device. This is useful when you have many VPN Clients on the LAN."

Terminiere am Router ... ;)
Ich bin S-1-5-XXX-500, ich darf das ...

#28 hoschi2

hoschi2

    Gast

  • 309 Beiträge

 

Geschrieben 11. Dezember 2005 - 09:22

ja ich betreibe eine domäne. Aber ich kapiere immer noch nicht wie das funktionieren soll. Der W2k3 dhcp Server hat die IP 192.168.115.1 ,die anderen Benutzer 192.168.115.2-100 und der Router die IP 192.168.2.1 .

Welche Virtual IP für den PPTP Server soll ich nun einstellen und welche für den Client ? Als Client der Zugriff aufs Netz haben muss braucht er doch eine im bereich 192.168.115.2-100 .und darf ein Router einfach jemanden eine IP aus einem Bereich zuteilen die eigentlich schon jemand anders ,nämlich der Server verwaltet. solange der Server nicht selber dem Clienten die IP gegeben hat, hat er doch sicher etwas dagegen.

Muss ich dann noch eine Kabel- Verbindung (grün eingezeichnet) vom Router zum Switch legen ,weil alle anderen lokalen Benutzer auch nur vom Switch aus auf den server zugreifen können. die netzwerkkarte zum Router ist ja wieder eine andere. da passt ja irgendwie nicht zusammen .ich hab mal schnell ein diagramm gezeichnet um das ganze zu verdeutlichen . VPN läuft dann über 2 und Internet über 1
.

Eingefügtes Bild

was heisst er unterstützt leider kein NAT-T . Das ist ja nicht zwingend notwendig.

#29 Data1701

Data1701

    Board Veteran

  • 1.679 Beiträge

 

Geschrieben 11. Dezember 2005 - 12:21

Hi,

Du hast aber wenig Vertrauen zu Deinem Router mit FW, da Du den Server, welcher wahrscheinlich auch ein Proxy ist, mit zwei Netzwerkkarten ausgestattet hast. Aber egal.

Einfacher wäre es wenn alles in einem Netz wäre, so brauchst du wirklich entweder eine Verbindung vom Router zum Switch oder einen Server der die Tunnel terminiert.

Bleiben wir mal bei der von uns favorisierten Lösung: Router = VPN-Server.

Manche-Router können als DHCP-Relay fungieren, Sie geben dann die DHCP-Anfragen zum Server weiter, welcher dann einen passende IP herausgibt. Die DLinks können das prinzipiell, allerdings bin ich mir nicht sicher, ob das auch für die Tunnel gilt. Sonst konfigurierst Du den IP-Bereich den der Router vergibt einfach so, dass dieser außerhalb des DHCP-Bereichs Deines Servers liegt, z.B. 101-110.

Virtual-IP für PPTP gilt nur wenn Du die Tunnel auf dem Server(W2k3) ternmieren willst. Dann wäre das die 192.168.2.101. Alle PPTP-Anfragen werden dann auf die IP-Adresse geschmissen.

Gruß Data
MCSA 2000 - MCSE 2000 - MCSA 2003 - MCSE 2003 - CCNA pending

Die Ursache für 90% der Fehlermeldungen befindet sich 60cm vor dem Bildschirm - ISO/OSI Level 8 Error

#30 hoschi2

hoschi2

    Gast

  • 309 Beiträge

 

Geschrieben 11. Dezember 2005 - 12:48

mit Virtual IP meine ich jetzt nicht Virtual server oder NAT sondern die IP des VPN ROuters wie hier unter Step 3 angegeben.

ein dhcp bereich von 101-110 ist aber außerhalb von 2-100 und somit nimmt der Server das doch gar nicht an.

Mir will es einfach nicht einleuchten wie der Client ,nehmen wir mal an die VPN Verbindung steht und der Router teilt eine passende IP mit , einfach so auf die Freigaben des Servers zugreifen kann. Ich hab ja eine Domäne! und die verlangt nach einer Anmeldung. ich hab das ganze zwar noch nicht ausprobiert aber es kann doch schon aus sicherheitsgründen nicht sein,dass einfach ein Router eine IP Addresse verteilt die zum IP Pool des dhcp Servers passt und dann irgendein Client schön auf den Server zugreifen kann ohne überhaupt sich an diesem zu authorisieren. und was für ein Benutzerkonto soll dann überhaupt zählen. Das mit dem ich mich am VPN Server angemeldet habe? wohl kaum . Das Konto mit dem sich der Client zuhause lokal angemeldet hat ? wohl auch nicht.
Es wäre nett wenn mir diese Thematik mal jemand genau erklären könnte.


andere Frage : wie kann ich am besten eine VPN verbindung testen. kann man sich zb vom Server oder einem Client im Netz übers Internet einfach wieder auf den Server mit VPN verbinden. dann sind ja quell- und ziel-ip gleich. wie mach ich das am besten? ich kann ja schlecht immer nach hause fahren und gucken obs geht.