Jump to content
Sign in to follow this  
Gatekeeper

VPN mit 2 Routern durchs I-Net

Recommended Posts

Ich hätte da mal wieder eine 50.000 Euro Frage an die Großmeister der Netzwerke.

Ich stehe vor folgender Aufgabe : Hauptsitz : Stadt X, W2K3 Server, nur als Fileserver konfiguriert, hängt zusammen mit einer XP Kiste an einem Billion DSL-Router. Über DSL-Flat (T-Online) geht es raus. In Stadt Y wird die Zweigstelle eingerichtet. Auch eine XP Maschine, auch ein Billion Router, auch DSL-Flat. Wie bekomme ich denn nun eine VPN-Verbindung inkl. IP-Sec zustande? Ich denke, dafür brauche ich doch Dyn-DNS, oder? Der Client in Stadt Y soll sich immer am Server in Stadt X anmelden und auch darüber arbeiten (Auftragsprogramm) ….. how 2 do ?

 

Ich habe mir schon ein Buch vorbestellt : http://mspress.microsoft.de/mspress/prod...86063%2D962%2D5 jedoch kommt das erst im Januar raus … ich muss aber übernächste Woche installieren!

 

Kennst jemand zufällig ein paar Toolz um das ganze Szenario zu erleichtern oder einen Link wo eine Komplett-Anleitung ist? Ich stehe echt auf dem Schlauch …. Die Technet Datenbank ist lang und breit … jedoch keine „echte“ Anleitung zum how to …..

 

Greetz,

 

Gatekeeper

Share this post


Link to post

Hi gatekeeper !

Sieht so aus, als wenn jetzt Kontonummern und Bankleitzahlen per PN ausgehandelt werden in Zukunft ("50 000€-Frage") :D

 

Im Prinzip hast Du recht, wenn Du es über die derzeit beschriebene Variante realisieren willst, brauchst Du für den Standort X einen DynDNS.

ABER: Damit schaltest Du in die Verbindungskette eine weitere Schwachstelle, auf die Du keinen Einfluß hast. Die kostenlosen DynDNS funktionieren oder auch nicht, das ist denen überlassen und Du stehst daneben und kannst nix machen.

 

Die generelle Vorgehensweise für Deinen Fall:

Für eine IPSec - Verbindung brauchst Du ein IPSec-Zertifikat.

Du müßtest also auf dem Server eine Zertifizierungsstelle einrichten, die Dir ein IPSec-Zertifikat ausstellt.

Dazu hat grizzly999 hier schon sehr viel geschrieben, gib mal in der Suchfunktion "IPSec" ein.

Als zweites müssen beide Router VPN-fähig sein, und zwar so, daß sie auch L2TP - Verbindungen durchreichen.

L2TP-Verbindungen benötigen den TCP-Port 500 und das Protokoll 50 - das hat keinen speziellen Namen.

Das wär das erste, was Du klären müßtest, sind die Router VPN-fähig.

Da Du offensichtlich mit der Materie nicht vertraut bist, schätz ich das so ein, daß die knapp 2 Wochen zu kurz sind dafür, daß Du ein akzeptables Ergebnis abliefern kannst.

Folgender Vorschlag:

Es gibt VPN-Server, die sich über einen ISDN-Kanal synchronisieren - ein DynDNS-Betreiber fällt dadurch weg.

Überzeuge Deinen Auftraggeber davon, daß die DynDNS-Lösung für den Firmengebrauch nicht geeignet ist, sondern als eine Billiglösung für den Privatgebrauch gedacht ist- was auch stimmt !

Eine Alternative wär ein VPN-Server, der den Client permanent mit den Netzwerk im Standort X verbindet.

Eine Alternative wär z.B: http://www.golem.de/0210/22113.html

Share this post


Link to post

Hallo zuschauer,

 

erstmal danke für deine schnelle Antwort. Sicher hast du recht, das DynDNS eine private Billig-Lösung ist .... der Haken versteckt sich allerdings in deinem Link :

"Der Lancom 7011 VPN wird ab November zum Preis von 2.799,- Euro angeboten. Inklusive einer 19"-Rack-Mount-Option kostet das Gerät 2.998,- Euro. "

Ich denke nicht, das ich dem Kunden diesen Vorschlag auch nur annähernd machen sollte .... der würde mich wohl für verrückt erklären. Du kennst das ja sicherlich ... kein Geld .... kein Geld ... und kein Geld .....

Ich schätze ich muss das mit dem DynDNS einfach versuchen und den Kunden auf die Risiken aufmerksam machen.

Mit der Materie VPN als solches bin ich schon vertraut, das ist nicht das Problem .... womit ich mich nur nicht auskenne ist diese DynDNS Geschichte und das Router zusammenspiel über das I-Net. Da suche ich halt immer noch nach einer Anleitung. Die beiden Router sollen laut Datenblatt L2TP Passthrough können ... lasse mich also mal überraschen.

 

Thanx,

 

Gatekeeper

Share this post


Link to post

Ich arbeite seit längerem mit DynDNS (genauer mit no-ip.com), hab damit überhaupt keine Probleme. Musst eben nur die DSL-Flat des Servers so einrichten, dass die Zwangs-24h-Trennung irgendwann mitten in der Nacht passiert, dann stört's auch niemanden.

 

Mit Ausfällen hab ich noch keine Probleme gehabt, und dass der Server mitten in der Nacht mal für 2 Minuten nicht erreichbar ist, stört hier niemanden :D

 

Viel Spaß beim Einrichten ;)

 

greetings

weimer

Share this post


Link to post

Auch ich habe sehr gute Erfahrungen mit DynDNS gemacht, zumal ich einen Router besitze (NETGEAR RP614), den man mit den Zugangsdaten für dyndns.org versehen kann. Bei einem IP-Wechsel dauert es keine 10 Sekunden, bis die DynDNS-Datenbank aktualisiert ist. Außerdem kann man dort sehr gut das Prot Forwarding einstellen.

Share this post


Link to post

Hi gatekeeper !

Es ist also so wie immer, kein Geld, alles soll morgen laufen, aber wehe es passiert mal was !

 

Also doch die angedrohte DynDNS-Variante.

Machen wir das also Schritt für Schritt:

Für eine IPSec-Verbindung brauchst Du ein IPSec-Zertifikat.

Das kannst Du bei externen ziehen (für Geld) oder auf dem w2k3 eine Zertifizierungsstelle einrichten und ein Zert für den Client ausstellen lassen. Dazu geh mal in die Suchfunktion und suche IPSec, grizzly hat da schon Romane zu geschrieben.

 

Das nächste wär dann der VPN-Server auf dem w2k3...

Share this post


Link to post

IPsec mit selbergebastelten Zertifikaten ist kein Grande Problem, aber wie gesagt, der Router musses unterstützen.

 

Aber statt dyndns, was bei mir immer hervorragend funktioniert hat!!: ich habe jatzt den Provider gewechselt. Bin bei tal.de (darf ich die Werbung hier machen, kriege auch kein Geld dafür). Zahle jetzt 5 Euros mehr für meine 5GB Traffic als bei 1und1, aber habe eine feste IP. Was die halt nicht anbieten ist Flat mit fester IP, nur 5 GB und 10 GB. Aber da gibt es noch ein paar andere Provider, die DSL teils mit fester IP und flat anbieten. Klar, teurer als Telekom oder 1und1, aberdafür feste IP. Wenn ich mir dann auch noch beiDynDNS die Domäne miete und für 30$ einen Static DNS, dann kann man sogar für recht wenig Geld seinen eigen Mailserver/Webserver/FTP-Server mit fester IP unter eigenem Domänennamen hosten. Geht aber glaube ich bei Tal.de, gehört aber nicht direkt hier in den Thread.

 

grizzly999

Share this post


Link to post

Hallöle,

 

@zuschauer : Zertifikateserver unter W2k3 einrichten ist kein thema ... schon etliche male gemacht - läuft auch alles wunderbar. Die Frage : warum einen W2k3 VPN Server, wenn ich davor einen Router habe? Der nimmt mir doch fast die ganze Arbeit ab. Wenn ich die Pakete mit NAT-T verschicke sollten die doch locker durch die Router gehen und keinen Ärger machen, oder?

 

@grizzly : oh je ... für eine feste IP werde ich den Kunden aufgrund der Kosten wohl nicht begeistern können. Das ist eigentlichein recht kleiner Betrieb, daher kommt das eher nicht in Frage, ich werde es aber auf jeden Fall notieren, falls mal ein größerer Kunde auf die Idee kommen sollte. Thanx

 

Greetz,

 

Nicki

Share this post


Link to post

Hi gatekeeper !

Für eine IPSec-Verbindung brauchst Du ein Zertifikat, sonst kein Verbindungsaufbau vom Client zum Server. Deshalb die Zertifikatstelle auf dem w2k3.

Warum ein VPN-Server ?

Ich hab das so verstanden, daß Dein Client in Standort B über eine IPSec-Verbindung nach A kommen soll !

Dann muß in A ein VPN-Server laufen - der w2k3-Server !?!

Daß die Router das durchschleifen können, davon bin ich erstmal ausgegangen.

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...