Jump to content

VPN durch Router


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

ich hab eine Frage bzgl. Router und VPN. Ich hab mir zwar schon die meisten Beiträge zum Thema VPN hier durchgelesen, aber so richtig klar ist es doch noch nicht:

 

Ich habe eine Netzwerk in welchem ein w2k Server als DC agiert. Das Netzwerk ist durch eine Telekom DSL Router mit dem Internet verbunden. Es soll nun ein VPN eingerichtet werden mit Hilfe eines Dienstes von DynDns oder No-Ip und dem w2k Server als VPN-Server?

 

Frage: geht das?

 

Das was mir an der Sache noch unklar ist: wie komm ich durch den Router durch (Die IP von dem DynDNS Dienst soll ja schließlich der DC der als VNP-Server agiert bekommen und der sitzt hinter dem Router) und läßt der Router überhaupt die VPN Packete durch wenn er kein VPN Router ist?

 

Oder müssen wir uns eine VPN fähigen Router kaufen? Wobei ich gesehen habe das es die ja wirklich schon recht billig gibt: (z.B. http://www.nrg-systems.de/produkte/netgearfvs318.html) Ich dachte immer da lägen die günstigsten so um die 1000€.

 

danke das Ihr euch die Zeit nehmt...

 

ReAR.

Link zu diesem Kommentar

Hallo,

 

also, prinzipiell geht das. Hab ich bei mir zu Hause auch so.

 

Zwei Punkte sind dabei wichtig:

 

1. Der Router muss das VPN Passthrought unterstützen. In der Regel sollten dass die gängigen Dinger können. Das ist kein Feature das man einschalten muss, dass kann das Ding von selbst. Ausser der Bintec X1200 (Wenn ich da an gestern denke, wird mich noch ganz schlecht) da muss man nämlich eine Lizenz erwerben. Als ob das Ding nicht so schon rel. teuer ist.

 

2. Du musst dem Router sagen, wo Pakete des Ports 1723 (PPTP) hingeleitet werden sollen. Das nennt man Portforwarding

 

Bspl. Dein W2k Server (VPN) hat die 192.168.0.1, dann sagst Du zum Router Portforwarding Port 1723 an 192.168.0.1. Somit leitet der Router alle Pakete von draussen, die an der Tür mit der Hausnummer 1723 stehen an den VPN Server (UNVERÄNDERT!!!!! daher VPN Passthrouht) weiter.

 

Das wars ... kurz, schmerzlos und billig

 

Tip, wegen Router, die VPN fest eingebaut haben:

 

Pass mit den Billigdingern auf. Manche Hersteller haben da so eigene Lösungen, die mit keinen Standardclients kompatibel sind. Da musst Du Dir dann auch noch ne teure Clientlösung dazuerwerben.

Die Dinger sind dann nicht schlecht, wenn Du Standort zu Standortverbindungen herstellst, wo zwei gleiche Geräte das VPN untereinander aushandeln. Nur mal so am Rande

Link zu diesem Kommentar

Grundsätzlich muß der Router zusätzlich zum Forwarden des Ports 1723 auch das IP-Protokoll 47 weiterleuíten können (GRE-Pakete). Die meisten können das. Ich weiß nicht, was für einen DSL-Router die Telekom jetzt unter die Leute bringt, aber mein knapp zwei Jahre alter Teledat-Router von Telekom (eigentlich ein Zyxel mit T-Label) der kann das von Haus aus. Ich nehme an, dass das mit deinem auch geht.

 

Allerdings würde ich mir Gedanken machen, ob ich direkt dahinter einen DC hänge oder ohne Firewall direkt dahinter hänge.

 

grizzly999

Link zu diesem Kommentar

Nicht Port 47! Protokol-Nummer 47 = GRE-Pakete. Das sind die vom PPTP-Protokoll eingekapselten Pakete, wo oberhalb von IP kein Header (TCP bzw. UDP, und Appliaktionsheader) mehr zu sehen ist, weil encapsualted und verschlüsselt. Einige Router und fast alle Firewalls verwerfen diese Pakete, wenn sie solche Pakete erhalten, es sei den, sie können diese weiterleiten. manche Router muss man dazu einrichten, die meisten, die es können, tun es automatisch.

 

grizzly999

Link zu diesem Kommentar

Achsohohoooooooooooooo, na das ist ja was anderes. Aber sag mal:

 

Wenn ein Router dieses Passthrought unterstützt, dann bedeutet das doch genau Deine beschriebene Sache, oder?

 

Passthrought bedeutet doch, lass die Pakete UNVERÄNDERT durch. Ein nicht-passthrought-Router würde die Pakete etwas manipulieren bzw. gleich verwerfen, was wiederum bedeutet, dass der VPN Server sie nicht mehr akzeptieren würde bzw. erst gar nicht mehr erhält.

 

Du weisst doch, muss alles umfragen. Bin halt neugierig :D

Link zu diesem Kommentar

Hallo und schönen Dank zunächst.

 

...Der Router muss das VPN Passthrought unterstützen....

 

Ich komm erst morgen an die Typenbezeichnung. Denk aber auch das er das wohl wird. Sollte er zumindest für den Preis.

 

...Pass mit den Billigdingern auf....Die Dinger sind dann nicht schlecht, wenn Du Standort zu Standortverbindungen herstellst...

 

Die VPN Verbindung soll von privaten Mitarbeiter PCs von Zuhause aus hergestellt werden. VPN muss also zwischen dem einem Mitarbeiter PC und dem VPN-Server ausgehandelt werden. Ich hätte gedacht ein Gerät unterstützt die VPN Protokolle oder eben nicht....

 

 

Grundsätzlich muß der Router zusätzlich zum Forwarden des Ports 1723 auch das IP-Protokoll 47 weiterleuíten können (GRE-Pakete).

 

...Und dies ist aber gegeben wenn er IP-Forwarding unterstützt?!!?

 

thx, ReAr.

Link zu diesem Kommentar
...Und dies ist aber gegeben wenn er IP-Forwarding unterstützt?!!?

Eben nicht zwingend. Ein ganz normaler Router würde die Pakete einfach weiterreichen, aber die meisten der Internetzugangsrouter machen zusammen mit IP-Forwarding NAT in beide Richtungen und das geht nicht so einfach mit verschlüsselten Paketen. Daher müssen die (NAT-)Router für PPTP das Protokll 47 und für IPSec das Protokoll 50 weiterleiten können, und es nicht verwerfen.

 

grizzly999

Link zu diesem Kommentar

Wegen dem VPN Passthrough:

 

Moderne Internetzugangsrouter lassen das normalerweise heute ohne Probleme durch. Die Hersteller werben damit meist auch auf der Verpackung. Vom Preis ist das nicht abhängig. Hab hier nen alten Netgear RT311. Das war von Netgear der 1. DSL Router. Der kann das. Hat ein Zyxel Firmware drauf und ist baugleich mit dem Telekom 130 Komfort.

 

Und nur, weil der Router vielleicht Forwarding macht, heißt das nicht das er Passthrough kann. Forwarding können sie meines Wissens alle. Ich kenne zumindest keinen, der das nicht könnte.

 

Was ich vorher meinte mit den Billigdingern die VPN eingebaut haben:

 

Es gibt zwei Möglichkeiten, wie VPN eingesetzt wird

 

1. Ein Firmennetz mit einem VPN Server, als Zugang zum Internet ein Router der Passthrough kann und über Port 1723 auf den VPN Server geforwardet ist und Benutzer die beispielsweise auf Ihren Notebooks eine VPN Clientsoftware haben um übers Internet eine Verbindung zum VPN Server aufzubauen respektive dann im Firmennetzwerk sind.

 

2. Ein Firmennetzwerk mit einem VPN Server (VPN Router) und eine Filiale mit VPN Server (VPN Router) hinter dem auch wieder ein ganzes Netzwerk hängt.

 

Bei der 1. Variante braucht jeder, der auf den VPN Server zugreifen will eine VPN Clientsoftware. Bei der 2. Variante braucht keiner eine VPN Clientsoftware, weil die beiden Router übers Internet ein VPN erzeugen und ansonsten die Pakete im Netzwerk normal laufen.

 

Du hast ja vorher gefragt, ob Du Dir nicht gleich einen VPN Router holst. Und da wollte ich Dich nur vor vereinzelten Billigteilen warnen. Einige verwenden dabei andere Algorithmen, die nicht unbedingt dem Standard-VPN konform sind.

 

Würdest Du die 1. Variante mit so einem Router versuchen, kann es Dir durchaus passieren, dass die einzelnen Benutzer ne ganz spezielle VPN-Client Software brauchen.

 

Das ist z.B. beim Netgear FR318 so. Da kannst Du als VPN Clientsoftware nur den von SafeNet verwenden. Einzellizenz lag vor nem Jahr bei 99$. Soviel zu billig :(

Link zu diesem Kommentar

Der Router ist der Teledat DSL Router Komfort,

 

wobei ich finde das die Typenbezeichnung "Komfort" leicht trügerisch ist denn weder zu VPN, IpForwarding noch zu den von Dir genannten Ports steht was im Manuel. Ich gehe davon aus das der Router nicht VPN Fähig ist.

 

Noch eine Frage zu den billigteilen. Leider reichen hier die finanziellen Mittel nicht aus um für > 1000 Euro nen VPN Router zu kaufen.

 

Im INet hab ich aber nen paar recht preisgünstige VNP Router bzw. VPN Fähige Router gesehen. Wie Wilid sagt kann es da ja Probs geben. Welcher von den Routern in der unteren Preiskategorie kommt den in Frage?

 

Oder allgemeiner gefragt: Wie kann man das VPN am günstigsten realisieren?

 

Danke, ReAR.

Link zu diesem Kommentar

Guten Tag zusammen,

 

Dein Router kann das. Unter Komfort versteht die T-Com wahrscheinlich, dass so wenig wie möglich auf der Web Konfig ist. Denn in der Web Konfig kommst Du nicht weit. Da sind nur Möglichkeiten drin, einen Internetzugang zu gewähren.

 

Wenn Du die ganzen Einstellmöglichkeiten Deines Routers haben willst, dann mach das über eine Telnet-Sitzung

 

Telnet [iP des Routers] --> Kennwort --> Menüpunkt 15 - SUA Setup --> Port 1723 auf VPN Server Forwarden --> FERTIG!!!!

 

Ein Ein-/Ausschalten von Passthrough wirst Du nicht finden. Das macht der Router schon automatisch, wie Grizzly schon schrieb.

 

In dem Manual findest Du auch nichts über VPN. Denn der Router ist ja kein VPN Router, sondern lässt halt einfach die Pakete durch. Das eigentliche VPN macht dann Dein Server. Und das halte ich als die kostengünstigste, einfachste und flexibelste Lösung. Alleine beim Konfig des VPN hast Du mit einem VPN Server wesentlich mehr und einfachere Möglichkeiten als bei einem VPN Router selbst.

 

Gruß

Roland

Link zu diesem Kommentar

Hallo,

 

ich habe eben (vor Wildis Beitrag) mit der Telekom Hotline Telefoniert. Der Mitarbeiter sagte mir das der Teledat DSL Komfort kein IPSec unterstützt und es deshalb NICHT möglich sei damit ein VPN aufzubauen.

 

Er meinte das es mit den älteren Modellen nicht funktionieren, mit den neuen Baureihen sei das allerdings kein Problem. Wundert mich, da der Router auch nicht viel älter als grizzly999s Teledat Router ist (so ca. 24 Monate)

 

zusammen mit IP-Forwarding NAT in beide Richtungen und das geht nicht so einfach mit verschlüsselten Paketen. Daher müssen die (NAT-)Router für PPTP das Protokll 47 und für IPSec das Protokoll 50 weiterleiten können, und es nicht verwerfen

 

Würde ja passen zu dem was der Telekom Mitarbeiter sagte. Ich mein auch der müsste doch PPTP, IPSec etc. kennen.

 

Ich habe überlegt den NetGear DG824b zu kaufen. Der unterstützt VPN (kein VPN Server) und kostet 160€ mit integriertem Modem.

 

Vorher fahr ich noch in der Firma vorbei und guck mir die Konfiguration über Telnet an. Wär natürlich schön wenn der Router den wir haben reicht.

 

ReAr.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...