Crockett 10 Geschrieben 4. Juli 2005 Melden Teilen Geschrieben 4. Juli 2005 Hallo ! Ich möchte eine VPN ROUTER zu ROUTER Verbindung aufbauen um eine Außenbüro an die Hauptstelle anzubinden. Das Netzwerk in der Hauptstelle sieht so aus : Ethernet -> ISA2000 Server -> DSL Router -> Internet IP Lokales Netz : 192.168.x.x IP ISA 2000 : 192.168.x.x und 10.x.x.x ( 2 NIC´s) IP DSL Router : 10.x.x.x Der vorhandene DSL Router kann keine VPN Router zu Router Verbindungen. Ich habe mich für den AVANIS VRT311S entschieden. (an beiden Stellen). Solllte dann der vorhandene DSL Router ausgetauscht werden ?? Wenn ja was muss man beim ISA beachten damit die VPN Clients in das lokale Netz durch den ISA kommen ? Andere Variante wäre den neuen DSL VPN ROUTER hinter den ISA in das lokale Netz zu hängen. Was müsste außer einer Protokoll Regel dann beim ISA beachtet werden ? Die Außenstelle ist simpler gestaltet. Dort kommt dann halt nur der neue DSL Router hin und die Clients hängen direkt an dem Router. Danke im vorraus. Gruß Christian Zitieren Link zu diesem Kommentar
Operator 10 Geschrieben 4. Juli 2005 Melden Teilen Geschrieben 4. Juli 2005 Hi, auf http://www.msisafaq.de/Anleitungen/2004/VPN/VPN_PPTP.htm findest Du eine Anleitung zur Einrichtung der VPN Einwahl für ISAServer2000 und 2004 (Link führt zu Anleitung für ISA2004). Damit sollte es klappen. Die gezeichnete Konstellation deines Netzwerks stimmt so, Du hast nur nicht erwähnt ob die entsprechenden Ports auch an den ISA Server weitergeleitet werden. Wenn das nicht der Fall ist, kann die Einwahl auch nicht funktionieren. Gruß Andre Zitieren Link zu diesem Kommentar
Crockett 10 Geschrieben 4. Juli 2005 Autor Melden Teilen Geschrieben 4. Juli 2005 @Operator danke für die Antwort. Eine Einwahl wird doch am ISA 2k überhaupt nicht durchgeführt. Wenn der neue VPN ROUTER vor dem ISA ist handelt der doch die VPN Verbindung über das Internet mit der Außenstelle aus. Die Frage war dann wie ich die VPN USER die sich dann vor dem ISA befinden im mein lokales NETZ bekomme. Oder habe ich da jetzt einen Gedankenfehler ? Gruß Christian Zitieren Link zu diesem Kommentar
Operator 10 Geschrieben 4. Juli 2005 Melden Teilen Geschrieben 4. Juli 2005 Hi, ok, dann hatte ich Dich falsch verstanden. Im Prinzip müsstest Du dann alle möglichen Ports zur Authentifizierung (oft auch dynamische Ports) von der DMZ (ich nenn das 10er Netz einfach mal so) in das LAN zulassen. Den ISA brauchst Du dann nur als Router, der kein NAT macht. Die Konfiguration ist dann aber schon ein wenig umfangreich. Wenn Du keine doppelte Firewall brauchst (dein VPN Router ist ja schon eine) und Sicherheit nicht unternehmenskritisch ist , würde ich den VPN-Router einfach ins LAN packen. Dann sollten die Clients in den Außenstellen normal mit der Domain kommunizieren können. Den ISA würde ich dann höchstens noch als Webproxy einsetzen. Für mich wäre das jetzt die einfachste Lösung... es gibt bessere, aber da bin ich gerade nicht so in der Materie. Vielleicht hat ein anderer Leser noch eine schönere Lösung? Gruß Andre Zitieren Link zu diesem Kommentar
Crockett 10 Geschrieben 4. Juli 2005 Autor Melden Teilen Geschrieben 4. Juli 2005 @Operator Also die ISA Firewall soll auf jeden Fall bleiben. Ich hatte mich auch etwas unvollständig ausgedrückt.... Also eine Anmeldung am DC soll nicht erfolgen, daher auch keine Ports für die Auth. notwendig. Wichtig wäre nur das die VPN Clients den Terminal Server im lokalen Netz erreichen. Wenn der VPN ROUTER aber vor der Firewall ist sind die haben die VPN Clients doch eine 10.x.x.x IP. Sie müssen aber den DC im 192.168.x.x Netz erreichen. Gibt es da keine Möglichkeit ? Gruß Christian Zitieren Link zu diesem Kommentar
Operator 10 Geschrieben 4. Juli 2005 Melden Teilen Geschrieben 4. Juli 2005 Hi, dazu müsstest Du deinen VPN Router mit Gateway im 10er Netz konfigurieren und den ISA Server als Router konfigurieren. Dann klappt auch der Zugriff ins 192er Netz. Andre Zitieren Link zu diesem Kommentar
Crockett 10 Geschrieben 6. Juli 2005 Autor Melden Teilen Geschrieben 6. Juli 2005 @operator Hallo kann mich erst leider jetzt zurückmelden :-( hatte viel zu tun. Ich habe die VPN Router bekommen und soweit eingerichtet. Ich finde aber nirgends eine Möglichkeit dem Router ein Gateway zu verpassen. Weder bei den LAN Einstellungen noch bei den VPN Einstellungen. Wo soll das normaler Weise sein ? Gruß Christian Zitieren Link zu diesem Kommentar
Operator 10 Geschrieben 6. Juli 2005 Melden Teilen Geschrieben 6. Juli 2005 Ich kenn den Router jetzt nicht und das passende Manual finde ich auf der Herstellerwebsite auch nicht. Aber normalerweise gibt es irgendwo eine Configseite, wo man statische Routen konfigurieren kann. Schau nochmal nach. Gruß Andre Zitieren Link zu diesem Kommentar
Operator 10 Geschrieben 6. Juli 2005 Melden Teilen Geschrieben 6. Juli 2005 Oder alternativ: Vielleicht unterstützt der Router ja RIP-v2. Wenn du das auf dem ISA Server auch noch konfigurierst tauschen sich die Geräte untereinander aus, was die Subnetze und das Routing angeht. Zu bevorzugen ist bei deiner relativ kleinen Konstellation aber eine statische Konfiguration. Gruß Andre Zitieren Link zu diesem Kommentar
Operator 10 Geschrieben 6. Juli 2005 Melden Teilen Geschrieben 6. Juli 2005 Hi nochmals ;) Beim 811 von Avanis befindet sich der Punkt "Routing" unter "Advanced". Hilft Dir das? Andre Zitieren Link zu diesem Kommentar
Crockett 10 Geschrieben 6. Juli 2005 Autor Melden Teilen Geschrieben 6. Juli 2005 @operator danke für die Antwort. Also ich habe die Option gefunden. Dort kann ich Rip Version RIP_1, RIB_2B, RIP_2M einstellen, oder RIP halt disablen (Standart). Darunter dann die Routing Table bzw. die Möglichkeit statische Routen zu vergeben. Dort kann ich dann Destination Network, Subnet und Gateway eintragen. Also der DSL Router hat z.b. 10.0.0.10 und die ISA NIC 10.0.0.20, das lokale Netz hinter dem ISA 192.168.100.x Muss ich jetzt das 192.168.100.x Netz bei Destination eintragen mit Subnet und Gateway die IP des ISA´s ?? Wenn ja gilt diese Einstellung doch nicht nur für den VPN Tunnel oder ? Müsste dann doch für alles gelten was am DSL-Router dranhängt. Gruß Christian Zitieren Link zu diesem Kommentar
Operator 10 Geschrieben 6. Juli 2005 Melden Teilen Geschrieben 6. Juli 2005 Hi, was soll denn sonst noch am DSL-Router hängen? Falls Du das Internet meinst.. das wird standardmäßig wohl nicht einfach ins lokale Netz geroutet. Außerdem macht das kein offizieller Internetrouter mit. Da sind private IP Bereiche gesperrt. Als Ziel gibst Du an: 192.168.100.0, Maske 255.255.255.0, Gateway 10.0.0.20 Gruß Andre Zitieren Link zu diesem Kommentar
Crockett 10 Geschrieben 6. Juli 2005 Autor Melden Teilen Geschrieben 6. Juli 2005 @operator also das Routing habe ich eingetagen. Aber irgendwie connecten die beiden VPN Router nicht automatisch. Bin mir nicht sicher ob ich in der Config was falsch mache. Soviel kann man in der Config Page ja auch nicht eintragen. Ich erstelle in jedem Router eine Policy, soweit klar. Diese editiere ich dann. Im ersten Punkt muss ich den Remote EndPoint angeben. Dort kann ich Dynamic IP, FIXED IP und Domain Name eingeben. Ich habe dort den DYNDNS Namen der anderen Gegenstelle eingegeben. Im anderen Router halt einen anderen DynDNSNamen. Nun kommt die Sache wo ich mir nicht sicher bin. Dort steht dann als nächster Punkt Local IP Adress und Remote IP Address. Dort kann ich wieder auswählen zwischen Single IP, Rage Addresses und Subnet. In der Hilfe steht das unter Local der PC des jeweiligen Localen LAN´s rein muss der erreicht werden soll. Und das was man dort einträgt bei dem anderen Endpoint unter Remote stehen muss. Also trage ich da unter Local z.b. 192.168.100.10 für den lokalen PC des einen Netzes ein. Dieses steht dann im anderen Router unter Remote. Das ganze dann umgekehrt bei dem anderen Router. Dort steht dann unter Local 10.0.0.20 und dieses wiederum bei der anderen Gegenstelle unter Remote. Ist das so ok ??? Dann kommen nur noch die Punkte für die Verschlüsselung etc. ESP Encry., ESP Auth. und die IKE Settings. Bei den IKE Settings steht wieder Local Identity und Remote Identity. Bei Local habe ich WAN IP eingestellt und bei REMOTE habe ich FQNN eingestellt und wieder die jeweiigen DYNDNS Namen eingetragen. Ist das so richtig ?? Also Exchange Mode ist der "MainMode" bei beiden drin. Wenn ich dann alles abspeichere und ein bissel warte und unter VPN STATUS gucke steht da keine Verbindung drin . Woran kann es liegen. Habe noch keine VPN ROUTER untereinander eingerichtet deshalb die vielen Fragen. Danke im vorraus. Gruß Christian Zitieren Link zu diesem Kommentar
Operator 10 Geschrieben 6. Juli 2005 Melden Teilen Geschrieben 6. Juli 2005 Hi, das muss ich mir morgen früh nochmal genauer durchlesen ;) Ist zu spät für mich. Aber noch eine Frage: Haben beide LAN's der Standorte dasselbe Subnetz 192.168.100.0? Wenn ja solltest Du das auf jeden Fall ändern, da Du sonst kein ordentliches Routing zustande bekommst. Gruß Andre Zitieren Link zu diesem Kommentar
Crockett 10 Geschrieben 6. Juli 2005 Autor Melden Teilen Geschrieben 6. Juli 2005 @Operator das eine Netz ist eine 10.x.x.x Netz welches vor dem ISA ist mit Subnet 255.x.x.x und der andere Standort hat nur ein DSL Router wo die PC´s dran hängen und hat 192.168.100.x mit Subnet 255.255.255.0. Gruß Christian Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.