Shiker81 10 Geschrieben 23. Juni 2006 Melden Teilen Geschrieben 23. Juni 2006 Hallo! Will mich meinem Laptop in unser Firmennetzwerk mittels L2TP geschützt durch IPSec einwählen. IST-Situation: Laptop (ohne Router) >>> Internet >>> Netgear FR114P Router (interne RouterIP 192.168.5.1) >>> (externe FirewallIP 192.168.5.2) Watchguard X700 Firewall (interne FirewallIP192.168.0.254) >>> (LAN 192.168.0.x ) Windows2003 VPN-Server Laptop (direkte DFÜ-Einwahl ohne Router) ins Internet. Soll dann weiter eine Verbindung zum Netgear Router herstellen, der DynDNS ausführt, weil die Watchguard X700 DynDNS nicht unterstüzt. Anfragen vom Client sollen mittels VPN-Passthrough durch den Netgear gehen und an die Firewall mittels Port-Forwarding geleitet werden. Frage 1: Welche Ports sollen bei Passthrough und welche bei Portforwarding an die Firewall geleitet werden? (L2tp 1701, IKE 500) Was ist mit NAT-T UDP Port 4500? Frage2: Was ist mit IP 50 für ESP? Wird das Proc. automatisch übermittelt, wegen IKE 500? Frage3: Wie geht´s weiter, wenn die Pakete an der Watchguard ankommen, wird da nochmal geforwardet oder 1to1-NAT zum VPN-Server gemacht? Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 23. Juni 2006 Melden Teilen Geschrieben 23. Juni 2006 Hallo und herzlich willkommen , warum terminierst Du nicht mit der X-700 ? Die X-700 hat auch mit der WFS 10 MUVPN-Clients dabei und unterstützt ausserdem XAUTH. Die X-700 (zumindest die WFS 7.x Software) unterstützt kein Dyndns, aber der Netgear kann das erledigen. Er trägt die externe Adresse der dahinter liegenden X-700 entweder als DMZ-Host ein oder leitet UDP 500 und UDP 4500 nach innen zur Watchguard. Ich setze diese Geräte in dieser Konstellation erfolgreich mit Draytek Routern ein. Mittlerweile (oder besser gesagt seit gestern) kann die Firebox in Verbindung mit Fireware Dyndns. Da hast Du so eine leistungsfähige Maschine und willst sie kastrieren ... Gruss Sven Zitieren Link zu diesem Kommentar
Shiker81 10 Geschrieben 23. Juni 2006 Autor Melden Teilen Geschrieben 23. Juni 2006 Danke für die Antwort! Du hast natürlich vollkommen recht. Normalerweise läuft die Watchguard auch als Tunnelendpunkt. Ich probiere aber momentan die Variante Remote-Access unter Verwendung eines Windows2003-VPN-Servers, bezüglich eines Projekts aus... Deswegen dieser Weg... Hast Du denn paar gute Ansätze bezüglich der Variante? Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 23. Juni 2006 Melden Teilen Geschrieben 23. Juni 2006 Mit PPTP (Portforwarding TCP 1723 auf dem Router und 1-to-1 NAT inkl. PPTP-Regel auf der Watchguard) klappt es. L2TP mit oder ohne IPSec hab ich ich bis jetzt nicht hinbekommen ... Zitieren Link zu diesem Kommentar
Shiker81 10 Geschrieben 24. Juni 2006 Autor Melden Teilen Geschrieben 24. Juni 2006 1.Naja immerhin weiß ich nun, dass es überhaupt mit 1-to-1NAT funktioniert, und ich auf dem richtigen Weg bin, auch wenn nur momentan über PPTP. Werde weiter dran bleiben... vielleicht wird´s noch... 2.Hab noch ne Verständnisfrage bezüglich NAT-T. Mein Laptop geht nicht über einen Router raus, sondern direkt über DSL-Modem zum Firmenrouter (Netgear FR114P). Am Firmenrouter sind für Pass-through die Ports UDP 500 (IKE) und UDP 1701 (L2TP) geöffnet. Muss ich noch wegen NAT-T den PORT 4500 öffnen und Protokoll IP 50 (ESP )irgendwo eintragen, damit diese durchgeleitet werden. oder reicht das bereits aus? Eigentlich wird doch zuerst die Passthrough-Phase vearbeitet und dann erst folgt die Port-Forwarding-Phase. Richtig? Unter PortForwarding habe ich auf dem Router bereits ESP-IPSec aus dem Auswahlmenü hinzugenommen... wahrscheinlich verbirgt sich genau hinter diesem Namen die IP 50 (ESP) und entweder Port 500 oder 4500 oder sogar beide)! Mein Gedanke: Wenn der Port 4500 und IP 50... nicht über Passthrough gehen, können sie logischerweise auch nicht unter Portforwarding weiter geleitet werden! D.H ich müsste sie noch zum Passt-hrough hinzufügen. Stimmt der Ablauf so?!? Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 25. Juni 2006 Melden Teilen Geschrieben 25. Juni 2006 Für IPSec in Verbindung mit einem NAT-Gerät musst Du nur IKE und NAT-T Ports nach innen leiten (UDP 500 und 4500) , zusätzlich noch für L2tp den UDP 1701 für den 2003ern (obwohl ich bezweifele, dass das funktionieren wird, teste aber morgen noch mal weiter). Bei den von uns eingesetzten Draytek-Routern muss ich noch die VPN-Funktionalität abschalten. Bei der Watchguard musst Du zwangsweise 1-to-1 NAT einsetzen, da Du mit Static NAT nur TCP und UDP forwarden kannst und in dem PPTP und dem IPSec-Filter IP-Protokolle benutzt werden (GRE und ESP). Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 27. Juni 2006 Melden Teilen Geschrieben 27. Juni 2006 Ich habe folgende Konfiguration durchgeführt: Es existiert ein Draytek Zugangsrouter und eine Watchguard X-700 mit aktivierten MUVPN-Clients. Der Draytek hat eine dynamische, externe IP-Adresse und ist als Dyndns-Client konfiguriert. Seine interne Adresse ist die 192.168.1.1/24. Die externe Adresse der Watchguard ist 192.168.1.2/24, die interne Adresse 192.168.100.1/24. Auf dem Draytek-Router ist die 192.168.1.2 als DMZ-Host eingetragen. Weiterhin sind auf dem Draytek 3 Portforwarding-Regeln definiert: UDP-500, UDP-4500 und UDP-1701, alle 3 sind auf die 192.168.1.5 (die NAT-Base der Watchguard) weitergeleitet. Auf der Watchguard ist im NAT-Setup unter 1-to-1 NAT die NAT-Base auf External - 192.168.1.5 und die Real-Base auf 192.168.100.10 (der RRAS) konfiguriert, mit Adressanzahl 1. In den Dynamic NAT - Exceptions ist "From:192.168.100.10 - To:External" konfiguriert. Jetzt habe ich einen benutzerdefinierten Paketfilter mit dem Namen "L2TP" erzeugt: Protocol:UDP;Client:Ignore;Port:1701. Diesen Paketfilter habe ich der Konfiguration zugefügt, habe Outgoing auf Denied gestellt und Incoming - From:Any - To:192.168.1.5. Zusätzlich ist der vordefinierte Filter "IPsec" der Konfiguration zugefügt worden: Outgoing - Denied ; Incoming - From:Any - To:192.168.1.5. Danach ist der RRAS konfiguriert worden. Ich habe der Einfachheit halber Preshared Keys benutzt. Als letztes ist der XP-Client (SP2) konfiguriert worden. Dazu habe ich in der Registry folgenden Schlüssel erzeugt: HKEYLOCALMACHINE/SYSTEM/CURRENTCONTROLSET/SERVICES/IPSEC Wert: AssumeUDPEncapsulationContextOnSendRule DWORD auf 2 (beide beteiligten Geräte befinden sich hinter NAT-Geräten) und Neustart. Danach konnte ich mich mit einem Client via L2TP/IPSec mit dem RRAS verbinden und von einem anderen Client mit dem Softremote-Client mit der Watchguard ... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.