Jump to content

Prob: VPN zur Firma über eigenen Vigor Router?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Moin Commuity,

 

bin gerade am VPN Testen. Will von meinem XP Pro über VPN Tunnel zum VPN Server der Firma durchdringen. Per Modemeinwahl ins Internet funzt alles über PPTP. Als nächste Hürde soll das Ganze natürlich am Besten auch von zu Hause über das Heimnetzwerk und den Router (DrayTek Vigor 2200W+) laufen. Bei der Router Firewall ist der Port 1723 in beide Richtungen geöffnet. (Braucht man den in beide Richtungen?). Ferner ist dieser Port auch bei der Kerio FW auf dem XP Rechner offen. Dazu das Protokoll 47 (GRE) in beide Richtungen. Das kann ich aber leider nicht beim Router einstellen.

Jedenfalls bekomme ich ein VPN Tunnel nur aufgebaut, wenn ich die FW des Routers komplett abschalte bzw. für die Verbindung zum VPN Server alle Ports öffne. Das passt mir aber ganz und gar nicht. Leider hat der Vigor kein GRE oder Protokoll 47 zum freischalten. Hat jemand 'ne Idee?

 

Gruß

Mülli

Link zu diesem Kommentar

Hi Günther,

 

die Quelle ist schon nicht schlecht. Hilft mir aber nicht wirklich weiter, da ich kein LAN to LAN VPN aufbauen will sondern ein VPN Client to LAN. Dabei sitzt der Client zu Hause hinter einem NAT Router, welcher halt alles was mit VPN zu tun hat durchlassen muss ohne selber irgendetwas damit zu tun zu haben. Dazu ist halt Port 1723 in beide Richtungen offen. Neben den normalen anderen geöffneten Ports (http, ...) gibt es am Ende aber eine Regel in der Router FW welche alles andere blockt - DENY ALL. Damit blockt er dann wohl auch das GRE Protokoll 47 für das ich keine eigene Regel erstellen kann.

Nun riet mir jemand aus dem vigor-users Forum nach Abarbeitung aller Regeln für ein Paket nicht einfach alles anere zu blocken, sondern einzelne Blockierungsregeln für TCP, ICMP, UDP zu erstellen. Doch dann wird alles andere, was ich damit nicht erfasst habe, durchgelassen. Das passt mir nicht sonderlich. das ist der Hintergrund.

 

Dein Link hat mich aber noch auf eine andere sache aufmerksam gemacht. Unter

 

http://www.draytek.com/support/support_note/router/application/vpn_solution/3/a_pptp.php

 

verbinden sie zwei LANs miteinander, bei denen die jeweiligen Netze in unterschiedlichen privaten Adressbereichen liegen. Beim normalen VPN Client bekommt der Rechner ja nach der Einwahl eine IP aus dem Remotenetzwerk zugewiesen. Doch wie läuft das hier. Der Vigor Router Client wählt sich zwar beim VPN Server ein, dann hat aber der Rechner im Client Netz doch noch lange keine neue IP aus dem Remote Netz.

 

Grüße

Mülli

Link zu diesem Kommentar

Moin,

 

kurze Rückmeldung für andere Gleichgesinnte. Eine VPN Verbindung von zu Hause über einen eigenen NAT FW Router (hier Vigor 2200W+) hin zur Firma bei der als VPN Server auch ein NAT Router (statische öffentliche IP) steht, funzt jetzt. Ich musste natürlich erst den kleinsten gemeinsamen Nenner zwischen XP VPN Client und Firmen Router (Vigor 2900G) finden. Am Ende klappte es mit CHAP als Authentisierung und MPPE als Verschlüsselung. Das MPPE konnte ich zwar nicht explizit auswählen, weder im Client noch im Server, allerdings kann man im Client ein Häkchen bei Verschlüsselung auswählen, was dann wohl MPPE zur Folge hat. Der Vigor in der Firma kann es scheinbar verarbeiten, jedenfalls zeigt er an, dass die Daten verschlüsselt ankommen. Weiterhin musste ich die Heim FW im Router leicht öffnen und zwar den Port 1723 (PPTP) in beide Richtungen sowie das GRE Protokoll durchlassen. Da der Router in seiner FW nicht explizit das GRE Protokoll zur Auswahl hatte, konnte ich am Ende nicht einfach eine DENY ALL Regel laufen lassen, sondern musste TCP/UDP, ICMP und IGMP einzeln für in IN und OUT Direction sperren. Alles andere darf durch und somit auch das GRE Protokoll. Auch die KERIO PFW auf dem Clientrechner musste für 1723 und GRE geöffnet werden.

Da wir in der Firma 'ne Domäneninfrastruktur haben, habe ich von zu Hause auch alles mit einem Notebook probiert, welches Mitglied ist. Damit kam ich dann auf alle Freigaben in der Firma.

Anders sah es mit meinem privaten Notebook aus, welches nicht Mitglied der Domäne ist. Die VPN Einwahl am Firmenrouter funktioniert problemlos. Auch kann ich einzelne Rechner im Firmennetz anpingen. Mehr geht aber nicht. Ich bekomme nicht mal die Arbeitsgruppe (Domänenrechner) in der Netzwerkumgebung zu sehen. Auch die Suche nach einzelnen Rechnern bringt kein Ergebnis. Nehme an, dass das ein gewolltes Sicherheitsfeature der Domäne ist. Allerdings kann ich, wenn ich in der Firma bin, mit Arbeitsgruppenrechnern, welche nicht Mitglied sind, zumindest die Netzwerkumgebung mit allen Domänenrechnern bestaunen, auch wenn ich nicht zugreifen kann.

 

Was ist mir noch aufgefallen: Über ISDN (ohne Kanalbündelung) gehen irgendwelche Dateiübertragungen seeeehr schleppend. Der Verbindungsaufbau geht dagegen zügig von statten. Aber richtig arbeiten kann man damit nicht. Zum Beispiel das Drucken einer Textdatei mit 3 Wörtern auf einen Firmendrucker dauerte ca. 5 min. Mit Word noch viel länger. Dateistrukturen mit dem Explorer durchsuchen dauert immer ca. 20 sec. bis eine Reaktion kommt und der Verzeichnisbaum weiter aufklappt. VNC zur Rechnerfernsteuerung ging gerade noch so. Wie sind so Eure Erfahrungen?

 

Wie läuft die Sache mit LAN-zu-LAN VPN und IP Zuweisung. Das wäre nämlich mein nächster Test. Ich könnte ja die beiden Router sich direkt verbinden lassen. Allerdings wie bekomme ich dann an meinem Rechner eine IP aus dem Firmennetz?

 

Soweit meine derzeitigen Erfahrungen als Neuling in Sachen VPN. Wen's interessiert ....

 

 

Grüße

Mülli

Link zu diesem Kommentar
  • 3 Wochen später...

HI!

 

Gibt es Neugikeiten in Sachen Geschwindigkeit der Datenübertragung?

 

Ich habe das ei mir auch mal ausprobiert aalerdings nur mit einem 56 K Modem eingewählt in mein Vigor DSL Router... fdas klappte prima aber auch sehr schleppend woran liegt das?

 

Mit einem Kumpek und seinem dsl ha ich das auch probiert... das gleich die Verbindung steht zwar war aber sehr schleppend... ich muss nochmal die subnetzt checken... vielleicht waren die teilweise in versch. subnetzen...

 

wäre nett wenn jemand mal seine erfahrung zum thema äußert... könnt ihr problemlos RDP Session machen? wenn ihr auch eingewählt hattet? oder war das sehr schleppend?

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...