Data1701 10 Geschrieben 30. Oktober 2005 Melden Teilen Geschrieben 30. Oktober 2005 Hallo zusammen, folgende Situatuion: Ein Rechner (Windows 2000) baut aus einem Remote-Netzwerk über das GW des Remote-LAN (Also keine DialUp-Verbindung) eine VPN-Verbindung zu meiner FW auf. Praktisch eine DialIn-VPN. Daran kann nicht gerüttelt werden, alle Alternativen wurden durchdacht aber verworfen, die Gründe sind irrelevant. Nun suche ich ein ganz kleines Programm, welches die Verbindung alle 10 sec testet und bei Verlust der Konnektivität die Verbindung trennt und neu initialisiert. Da gibt es ja ne Menge Progs, allerdings vieeeel zu mächtig und meistens bauen die darauf auf, dass vorher eine DialUp-verbindung benötigt wird. Ist aber bei mir nicht der Fall, da die Verbindung direkt aus dem Remote-LAN initialisiert wird. Ich brauche ja eigentlich nur eine Programm, welches dauerhaft einen Ping an eine IP-Adresse aus dem LAN hinter meiner FW sendet. Ändert sich meine WAN-IP (Alle 24 h ist es ja nicht zu vermeiden) so wird die LAN-IP nicht mehr pingbar sein und schon sollte die Verbingung neu aufgebaut werden. Man könnte das mit dem Friendly Pinger (http://www.kilievich.com/fpinger) erreichen. Erreicht der sein Ziel nicht mehr, so startet er eine Batchdatei welche mittels RASDial die Verbindung trennt und neu startet. Ich suche aber Etwas was kompfortabler ist. Irgendeine Idee. Cisco bietet bei seinem Client so eine Möglichkeit, nur habe ich keine Cisco-FW und kann den Client auch nicht mit meiner FW verheiraten. Ich kenne auch keinen Weg den Ciscoclient mit einem Windows 2003 RAS-Server zu verheiraten, sonst würde ich das ja mal konfigurieren. ERGO: Ich brauche mal Eure Hilfe. Kennt einer das Problem. Das Ganze muss recht zuverlässig laufen. Gruß Data Zitieren Link zu diesem Kommentar
Hr_Rossi 10 Geschrieben 31. Oktober 2005 Melden Teilen Geschrieben 31. Oktober 2005 hi data ! auf die schnelle fällt mir nichts ein aber hab noch eine frage: deine wanip ändert siche alle 24h und du baust den tunnel über die wanip auf ? würde es auch mit dyndns funken ? dann wäre 1 problem weniger !? lg rossi Zitieren Link zu diesem Kommentar
Data1701 10 Geschrieben 31. Oktober 2005 Autor Melden Teilen Geschrieben 31. Oktober 2005 Natürlich nutze ich Dyndns, sonst wäre es ja etwas kompliziert. Allerdings ist die Remote IP bei IPSec ein Bestandteil der SA und nicht der DNS-Name. DynDns ist nur die Krücke um die IP-Adresse überhaupt zu kennen. Trotzdem Danke. Gruß Data Zitieren Link zu diesem Kommentar
Hr_Rossi 10 Geschrieben 31. Oktober 2005 Melden Teilen Geschrieben 31. Oktober 2005 hi data ! ok alles klar du nutzt also Sito-to-Site Ipsec ! Da hast du natürlich recht wegen der IP die wird in Phase 2 der SA Aushandlung überprüft ! Hmm werd mich mal schlau machen ............. lg rossi Zitieren Link zu diesem Kommentar
Data1701 10 Geschrieben 1. November 2005 Autor Melden Teilen Geschrieben 1. November 2005 So ich habe jetzt die Lösung: KeepRAS http://sedivy.com/keepras/ Das Programm pingt in 60 Sekundentakt eine frei definierbare Adresse an. Ist diese nicht erreichbar, so wird die RAS-Verbindung neu aufgebaut. Das ganze kann als Service laufen, und wenn ich die Registry noch etwas modifiziere, dann bleibt auch die RAS (VPN) Verbindung bestehen, wenn sich der User am Rechner abmeldet. @ Hr_Rossi Bei dem IPSec-Tunnel werden ja nur Schicht 3 Protokolle benutzt. DNS, als Schicht 4 Protokoll, bringt mich nicht weiter. Auch NAT-T ist keine Lösung, wenn sich die WAN-IP ändert, dann kippt der Tunnel zusammen da der Tunnelendpunkt, welcher ja nur über IP angesprochen wird, einfach nicht mehr erreichbar ist. Wäre aber eine nette RFC, IPSec-Tunnel mit DNS. ;) Gruß Data Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.