00Snyder 0 Posted February 1, 2017 Report Share Posted February 1, 2017 Hallo Zusammen, ich habe da ein paar Fragen zum Thema VPN-Server in Verbindung mit dem Speedport Entry2. Das Ziel: Von außerhalb auf des Heimnetzwerk zugreifen. Das habe ich schon gemacht: 1. VPN Server auf dem Laptop mit Windows 10 eingerichtet. Nach folgender Anleitung. http://www.computerwoche.de/a/windows-10-als-vpn-client-oder-vpn-server-einrichten,3280163,2 2. Diverse Ports im Speedport freigegeben und an den Laptop weitergeleitet. 3. Versucht mit dem Handy per mobiles Internet eine Verbindung mit dem Laptop aufzubauen. Leider vergebens. Der Laptop ist per W-Lan mit dem Speedport verbunden. Welche Ports muss ich im Speedport freigeben? Kann ich am Laptop selbst testen ob der VPN-Server läuft und funktioniert? Kann die Windows Firewall das Problem sein? Wie kann ich testen an welcher Stelle die Verbindung "hängen bleibt"? Quote Link to comment
Reingucker 3 Posted February 1, 2017 Report Share Posted February 1, 2017 Welche Art von VPN ist es denn? Hier mal zum unterscheiden der VPN https://www.foxplex.com/sites/vpn-arten-in-der-uebersicht/ Quote Link to comment
testperson 1,693 Posted February 1, 2017 Report Share Posted February 1, 2017 Hi, was hast du denn dann vor mit dem VPN? Das gesamte Konstrukt besteht aus vollkommen suboptimalen Rahmenbedingungen (WLAN / Speeport / Handy / mobiles Internet / Windows VPN Server). Je nach Vorhaben dürfte es am einfachsten sein, den Router gegen ein Modell zu tauschen, welches VPN Server sein kann (FritzBox oder eben was aus dem Business Segment). Gruß Jan Quote Link to comment
Reingucker 3 Posted February 1, 2017 Report Share Posted February 1, 2017 Meistens liegt es am NAT-T da ja die Handys auch hinter einem NAT sitzen. Quote Link to comment
magheinz 110 Posted February 1, 2017 Report Share Posted February 1, 2017 wie ist der rdp-Zugriff lizensiert? greift nur der Hauptbenutzer zu oder auch ander oder ist das bei Win10 komplett anders? Quote Link to comment
00Snyder 0 Posted February 1, 2017 Author Report Share Posted February 1, 2017 @Reingucker Es sollte so ein Szenario sein Site-to-End - Vom VPN Gateway zum Host. Ein denkbares Anwendungsszenario wäre der Zugriffe eines Außendienstmitarbeiters auf das Firmennetz und da es die Windows Boardmittel sind vermute ich: PPTP (Point to Point Tunneling Protocol) - Sehr weit verbreitet und in vielen Betriebssystemen ohne Zusatzsoftware direkt verfügbar. Mittlerweile gilt es als sehr unsicher und sollte daher nicht mehr eingesetzt werden Meistens liegt es am NAT-T da ja die Handys auch hinter einem NAT sitzen. Heißt das, das Handy ist Schuld? @testperson Es ist zunächst eine Art Versuchsaufbau. Am Ende soll der Laptop durch ein Alix mit Pfsense ersetzt werden, auf dem der VPN-Server läuft. Die Sache mit dem Handy ist der Tatsache geschuldet, dass ich testen muss/will ob ich von "außen" auf den VPN-Server zugreifen kann. Die nächste Möglichkeit einen DSL-Anschluss zu nutzen ist nämlich 20 km entfernt. Oder gibt es andere Möglichkeiten? Quote Link to comment
Dunkelmann 96 Posted February 1, 2017 Report Share Posted February 1, 2017 (edited) Moin, es ist nicht zwangsläufig das Mobiltelefon. Meistens ist es der Provider oder ein Consumer-Tarif. Eines von beiden blockiert gerne VPN Verbindungen. Einen Speedport würde ich maximal als Modem nutzen. Da leistet es erstaunlich gute Dienste; für mehr ist das Ding mMn jedoch nicht zu gebrauchen. Als VPN Gateway im Budget Segment eine Fritzbox, einen alte D-Link Kiste etc. mit DDWRT oder wenn es um home use geht, bspw. eine Sophos UTM home. Edited February 1, 2017 by Dunkelmann Quote Link to comment
Reingucker 3 Posted February 1, 2017 Report Share Posted February 1, 2017 @Reingucker Es sollte so ein Szenario sein Site-to-End - Vom VPN Gateway zum Host. Ein denkbares Anwendungsszenario wäre der Zugriffe eines Außendienstmitarbeiters auf das Firmennetz und da es die Windows Boardmittel sind vermute ich: PPTP (Point to Point Tunneling Protocol) - Sehr weit verbreitet und in vielen Betriebssystemen ohne Zusatzsoftware direkt verfügbar. Mittlerweile gilt es als sehr unsicher und sollte daher nicht mehr eingesetzt werden Heißt das, das Handy ist Schuld? Nein, da kann das Handy nix für, es hängt vom Provider ab ob das Handy von ihm ne private oder ne öffentliche geleast bekommt. Bei privater muß der Provider ja mit einem NAT übersetzen in eine öffentliche welche im Internet geroutet werden kann. Und da kann es jenach VPN nötig sein NAT-T zu implementieren. Hier mal die Telekom zu VPN mit Speedport (dürfte bei deinem auch so sein) Leider kann das Speedlink 5501 (mit aktueller FW-Version) keine VPN-Verbindungen aufbauen. Der VPN-Verbindungsaufbau muss daher durch ein angeschlossenes Gerät erfolgen. Das Speedlink 5501 unterstützt den VPN-Verbindungsaufbau indem die benötigten TCP/UDP-Ports transparent weitergeleitet werden. Diese Ports müssen im Speedlink unter Port-Freigaben eingetragen werden. Bei einer VPN-Verbindung über IPsec müssen die UDP-Ports 500 und 45 freigegeben werden. Eventuell auch noch das NAT-Traversal Port (UDP/TCP Port 4500). Bei einer VPN-Verbindung über PPT muss das TCP-Port 1723 und das GRE-Protokoll freigegeben werden. Allerdings würde ich dir da eher ein SSL-VPN empfehlen. Das SSTP arbeitet gut mit dem RAS zusammen. Zertifikat müsstest du zwar dann eigene CA und wahrscheinlich händisch ins Smartphone übertragen, aber ist nicht so schwer und NAT stört da nicht. Oder ipsec over https. Wird gern bei Apple benutzt auf port 10000 und kann auch auf jedem Ciscorouter/firewall eingestellt werden. Auf dem Speedport wohl eher nicht. Edit: Ich hab auch ein Alixboard daheim :) Auf dem läuft IPfire und der Router vom Provider macht nur Modem wie Dunkelmann schon sagte. Und im IPfire hab ich Openvpn-Server Und auf meinem Laptop und im Androidhandy läuft der Openvpn-client. Edit2: PPPoE passthrough heißt der Modus in dem der "Router" dann läuft. Quote Link to comment
00Snyder 0 Posted February 1, 2017 Author Report Share Posted February 1, 2017 Jetzt bin ich stark verwirrt. Also VPN Verbindungen mit dem Smartphone über das Mobilfunknetz machen oft Probleme. Richtig? Jetzt habe ich auf meinen Windowsrechner nach folgender Anleitung eine VPN-Server eingerichtet habe: http://www.computerwoche.de/a/windows-10-als-vpn-client-oder-vpn-server-einrichten,3280163,2 Der Windowsrechner ist per W-Lan mit dem Speedport verbunden. Ist es dann sinnvoller das Handy auch per W-Lan mit dem Speedport zu verbinden und versuchen eine VPN-Verbindung mit den Windowsrechner aufzubauen? also über das LAN. Muss ich dafür beim Speedport irgendwelche Einstellungen treffen? Im Handy gebe ich dann als Serveradresse den Namen des Windowsrechners ein. Richtig? Typ ist PTPP? Und Benutzer und Passwort sind die vom Windowsrechner bzw die ich beim einrichten des Servers angelegt und eingestellt habe. Quote Link to comment
Reingucker 3 Posted February 1, 2017 Report Share Posted February 1, 2017 Wenn du mit dem Handy im gleichen WLAN wie der VPN-Server bist dann gibt es ja die NAT-Problematik nicht. Nur wenn du über UMTS oder LTE ect. übers Internet kommst. Wenn die im gleichen LAN sind sollte es ohne Probleme funktionieren. Aber das wird dir für die Endkonfiguration mit dem Alixboard nichts bringen. Denn da willst du ja über Internet mit VPN verbinden. Quote Link to comment
00Snyder 0 Posted February 1, 2017 Author Report Share Posted February 1, 2017 Genau. Aber ich bekomme nicht mal im LAN eine Verbindung her und ich weiß nicht an was es liegt. Quote Link to comment
Reingucker 3 Posted February 1, 2017 Report Share Posted February 1, 2017 Was für ein vpn-server isses denn? Eventuell Windowsfirewall noch Ports öffnen. Quote Link to comment
00Snyder 0 Posted February 1, 2017 Author Report Share Posted February 1, 2017 Es ist der VPN-Server der schon mit Windows mitkommt. Eben diese Anleitung: http://www.computerw...chten,3280163,2 Firewall habe ich schon deaktiviert. Quote Link to comment
testperson 1,693 Posted February 2, 2017 Report Share Posted February 2, 2017 Warum testest du das jetzt so, wenn du später eh ne IPFire nehmen willst? Wenn du jetzt direkt die IPFire nutzt, kannst du praktischerweise auch direkt mit dem Notebook testen. Quote Link to comment
monstermania 53 Posted February 2, 2017 Report Share Posted February 2, 2017 @Reingucker Es sollte so ein Szenario sein Site-to-End - Vom VPN Gateway zum Host. Ein denkbares Anwendungsszenario wäre der Zugriffe eines Außendienstmitarbeiters auf das Firmennetz und da es die Windows Boardmittel sind vermute ich: PPTP (Point to Point Tunneling Protocol) - Sehr weit verbreitet und in vielen Betriebssystemen ohne Zusatzsoftware direkt verfügbar. Mittlerweile gilt es als sehr unsicher und sollte daher nicht mehr eingesetzt werden Heißt das, das Handy ist Schuld? @testperson Es ist zunächst eine Art Versuchsaufbau. Am Ende soll der Laptop durch ein Alix mit Pfsense ersetzt werden, auf dem der VPN-Server läuft. Die Sache mit dem Handy ist der Tatsache geschuldet, dass ich testen muss/will ob ich von "außen" auf den VPN-Server zugreifen kann. Die nächste Möglichkeit einen DSL-Anschluss zu nutzen ist nämlich 20 km entfernt. Oder gibt es andere Möglichkeiten? Menno, dann installiere Dir bitteschön eine pfsense (z.B. als virtuelle Maschine) und konfiguriere das entsprechend. :nene: Ich teste doch nicht einen Dacia, wenn ich mir dann später einen Mercedes kaufen will! Und pptp geht ja gar nicht! Das Protokoll ist seit Jahre unsicher und wir inzwischen von den meisten Firewalls gar nicht mehr im Standard unterstützt! PS: Eine ALIX-Platform würde ich nicht mehr nehmen. Gerade im Zusammenhang mit pfsense eine Sackgasse. Ab der 2.4 werden 32 Bit CPU's nicht mehr unterstützt und auch die NANO-Platform fällt weg! Schau Dir lieber den Nachfolger APU2 an! Warum testest du das jetzt so, wenn du später eh ne IPFire nehmen willst? Wenn du jetzt direkt die IPFire nutzt, kannst du praktischerweise auch direkt mit dem Notebook testen. Er will zwar pfsense nutzen, aber ansonsten kann ich Dir nur 100%ig zustimmen. Kann ich auch nicht verstehen! Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.