IPsec mit X509 Zertifikat
Ausgangssitutation:
VDSL mit Vigor 2930 (VLAN Tagging über managebaren Switch)
Homeoffice Mitarbeiter wählen sich momentan über IPsec ins Firmennetz ein.
Diese sollen umgestellt werden auf die Nutzung IPsec mit Zertifikaten
Über eine Anleitung im Netz habe ich eine Verbindung mit einem Zertifikat aufbauen können, das Problem hierbei ist, dass die Verbindung instabil ist.
Es kommt zu ping Abbrüchen und die Datenübertragung oder das Einwählen mit Telnet hängt.
Leider weiß ich nicht wo ich ansetzen muss, ob es die Hardware vom Router ist oder evtl. die VDSL Leitung die das Problem verursacht.
Da wir ein Linuxserver nutzen habe ich gelesen dass man das auch mit openswan umsetzen kann.
Vielleicht hat ja jemand eine bessere Idee.
VDSL mit Vigor 2930 (VLAN Tagging über managebaren Switch)
Homeoffice Mitarbeiter wählen sich momentan über IPsec ins Firmennetz ein.
Diese sollen umgestellt werden auf die Nutzung IPsec mit Zertifikaten
Über eine Anleitung im Netz habe ich eine Verbindung mit einem Zertifikat aufbauen können, das Problem hierbei ist, dass die Verbindung instabil ist.
Es kommt zu ping Abbrüchen und die Datenübertragung oder das Einwählen mit Telnet hängt.
Leider weiß ich nicht wo ich ansetzen muss, ob es die Hardware vom Router ist oder evtl. die VDSL Leitung die das Problem verursacht.
Da wir ein Linuxserver nutzen habe ich gelesen dass man das auch mit openswan umsetzen kann.
Vielleicht hat ja jemand eine bessere Idee.
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 197539
Url: https://administrator.de/forum/ipsec-mit-x509-zertifikat-197539.html
Ausgedruckt am: 25.04.2025 um 14:04 Uhr
6 Kommentare
Neuester Kommentar
Hallo Spidermax,
was ist das denn für eine VDSL Leitung (25 oder 50 MBit/s), ist das eine Private oder ein richtiger
Firmenanschluss oder ein Firmenanschluss aber nur mit einem privaten VDSL Vertrag?
Wie viele Mitarbeiter nutzen denn diesen Router um via VPN darauf zuzugreifen?
Und mit was für Anwendungen wird denn auf das Unternehmensnetz zugegriffen?
Denn unter Umständen kann man ja auch mehrere Möglichkeiten auch mit einander kombinieren! z.B.
- eine schnellere Internetanbindung für Unternehmen
- einen größeren oder stärkeren Draytek Vigor Router
- ein Layer 3 Switch im LAN der den Vigor Router merklich entlastet und die VLANs enden dann dort?
- einen zusätzlichen Radius Server der das VPN dann mit X.509 nach Herstellung der VPN Verbindung absichert
Der Linux Server ist dann zwar von außen erreichbar aber der Router ist dann auch offen, oder?
Gruß
Dobby
was ist das denn für eine VDSL Leitung (25 oder 50 MBit/s), ist das eine Private oder ein richtiger
Firmenanschluss oder ein Firmenanschluss aber nur mit einem privaten VDSL Vertrag?
Wie viele Mitarbeiter nutzen denn diesen Router um via VPN darauf zuzugreifen?
Und mit was für Anwendungen wird denn auf das Unternehmensnetz zugegriffen?
Denn unter Umständen kann man ja auch mehrere Möglichkeiten auch mit einander kombinieren! z.B.
- eine schnellere Internetanbindung für Unternehmen
- einen größeren oder stärkeren Draytek Vigor Router
- ein Layer 3 Switch im LAN der den Vigor Router merklich entlastet und die VLANs enden dann dort?
- einen zusätzlichen Radius Server der das VPN dann mit X.509 nach Herstellung der VPN Verbindung absichert
Da wir ein Linuxserver nutzen habe ich gelesen dass man das auch mit openswan umsetzen kann.
Also der Router stellt dann auf "Durchzug" d.h. VPN Passthrough und alle melden sich am Linux Server an?Der Linux Server ist dann zwar von außen erreichbar aber der Router ist dann auch offen, oder?
Gruß
Dobby
Wenn der Vigor es vorher ohne Zertifikate mit PSK sauber und problemlos hinbekommen hat, die gleiche IPsec Anwendung dann aber mit Zertifikaten nicht dann liegt es ja sehr nahe das der Vigor ein Firmware Problem hat.
Du hast ja gar nichts an der Infrastruktur geändert außer lediglich die User Authentisierung.
Folglich kann man ja dann Probleme der Infrastruktur selber mal völlig ausschliessen.
Wie und Wo du IPsec terminierst kann vielerlei Lösungen haben. Besser ist es aber immer einen Router oder eine Firewall zu nehmen, denn das erspart dir erhebliche Probleme mit einem NAT Router, da IPsec durch NAT zu bringen nicht gerade trivial ist...es sei denn man nutzt NAT Traversal auf dem VPN Server.
Anregungen findest du auch hier:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
und
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
und
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen
Du hast ja gar nichts an der Infrastruktur geändert außer lediglich die User Authentisierung.
Folglich kann man ja dann Probleme der Infrastruktur selber mal völlig ausschliessen.
Wie und Wo du IPsec terminierst kann vielerlei Lösungen haben. Besser ist es aber immer einen Router oder eine Firewall zu nehmen, denn das erspart dir erhebliche Probleme mit einem NAT Router, da IPsec durch NAT zu bringen nicht gerade trivial ist...es sei denn man nutzt NAT Traversal auf dem VPN Server.
Anregungen findest du auch hier:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
und
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
und
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen
Hallo Dobby,
es handelt sich um eine 25MBit Leitung mit einem privaten VDSL Vertrag.
Es greifen zur Zeit ca. 25 Mitarbeiter auf das Homeoffice zu, die Anzahl der gleichzeitigen Verbindungen am Tag liegen vielleicht bei 10.
Wenn die Verbindung steht wird über telnet und dem Windowsexplorer auf den Server zugegriffen.
An einen anderen Router habe ich auch gedacht, da hat man die Qual der Wahl. Mit integrierten VDSL Modem gibt es nicht viele. Nur kann man nicht ausschließen ob es zu diesen Verbindungsabbrüchen auch mit dem neuen Router nicht kommen würde.
Testen tue ich abends mit einer zweiten ADSL Leitung, wenn keiner außer mir eingewählt ist, kurz gesagt der Router sollte nicht ausgelastet sein.
es handelt sich um eine 25MBit Leitung mit einem privaten VDSL Vertrag.
Es greifen zur Zeit ca. 25 Mitarbeiter auf das Homeoffice zu, die Anzahl der gleichzeitigen Verbindungen am Tag liegen vielleicht bei 10.
Wenn die Verbindung steht wird über telnet und dem Windowsexplorer auf den Server zugegriffen.
An einen anderen Router habe ich auch gedacht, da hat man die Qual der Wahl. Mit integrierten VDSL Modem gibt es nicht viele. Nur kann man nicht ausschließen ob es zu diesen Verbindungsabbrüchen auch mit dem neuen Router nicht kommen würde.
Testen tue ich abends mit einer zweiten ADSL Leitung, wenn keiner außer mir eingewählt ist, kurz gesagt der Router sollte nicht ausgelastet sein.
Sowas gibts z.B. mit integriertem VDSL Modem:
Cisco 800, 900, ISR1100 Router Konfiguration mit xDSL, Kabel, FTTH Anschluss und VPN
oder FritzBox...oder...
und der (Cisco) kann auch deine IPsec VPN Anforderung mit links abfackeln...
Cisco 800, 900, ISR1100 Router Konfiguration mit xDSL, Kabel, FTTH Anschluss und VPN
oder FritzBox...oder...
und der (Cisco) kann auch deine IPsec VPN Anforderung mit links abfackeln...
Hallo noch einmal Spidermax,
Mensch da hast Du aber Glück das der aqui sich hier eingeschaltet hat, der empfiehlt selber oft Draytek
Geräte und ist auch sonst Netzwerk technisch auf der Höhe der Zeit.
Also bei einem Router oder einer Firewall zu bleiben wenn der das so empfiehlt würde ich jetzt so oder so schon einmal, da kannst Du Dir die Probieren mit dem Linux Server auch gleich sparen!
Naja sein wir doch einmal ehrlich zu einander je mehr so ein Router zu tun bekommt je eher
ist auch die Wahrscheinlichkeit das er irgend wann einmal in die Knie geht oder anfängt zu schwächeln!
Also so ein Layer3 Switch der das Routing für das LAN übernimmt und den Router das erste Mal entlastet
der dann auch nicht mehr alle VLANs führen (terminieren) muss und zum anderen einen kleinen Radius Server wie er schon von Vorneherein bei einem MikroTik RB450G mit integriert ist könnte dem Router noch mehr Arbeit abnehmen und dann wäre es vielleicht auch wieder mit dem aktuellen Router wieder recht
flott zu erledigen. Aber gut das sind natürlich uach alles Kosten, sollte man auch nicht vergessen.
Du hast eine VDSL25 MBit/s Leitung und die ist für den privaten Bereich ausgelegt, klar kein Thema wenn
alles funktioniert wie es soll, ist da ja auch gar nichts gegen einzuwenden, aber wenn dort eine s.g.
Drosselung mit ins Spiel kommt, nach einem festgelegtem Kontingent oder Traffic Aufkommen und Du nun genau zu dieser Zeit eine noch stärkere Authentisierung vornimmst dann kann das aber auch sicherlich daran liegen oder?
Eventuell kann man ja auch auf zwei WAN Leitungen mehr erreichen und die ganze Sache ist dann schon erledigt oder mit einem Draytek Virgor 3900 der wirklich sehr potent aussieht zusammen.
Aber da hast Du schon recht das wird nicht einfach sein auf Anhieb das richtige zu finden wenn mehrere
Optionen mit im Spiel sind! Vielleicht ein Systemhaus in Eurer Nähe die Dir einen stärkeren Router
einmal zum Testen überlassen können, da hast Du wohl schon recht das kostet Dich sonst ein kleines
Vermögen, aber der alte Router kann ja auch im s.g. Bridged Modus betrieben werden, also nur als
einfaches Modem das sollte ja nicht das Problem sein oder?
Viel Glück und Gruß
Dobby
Mensch da hast Du aber Glück das der aqui sich hier eingeschaltet hat, der empfiehlt selber oft Draytek
Geräte und ist auch sonst Netzwerk technisch auf der Höhe der Zeit.
Also bei einem Router oder einer Firewall zu bleiben wenn der das so empfiehlt würde ich jetzt so oder so schon einmal, da kannst Du Dir die Probieren mit dem Linux Server auch gleich sparen!
Naja sein wir doch einmal ehrlich zu einander je mehr so ein Router zu tun bekommt je eher
ist auch die Wahrscheinlichkeit das er irgend wann einmal in die Knie geht oder anfängt zu schwächeln!
Also so ein Layer3 Switch der das Routing für das LAN übernimmt und den Router das erste Mal entlastet
der dann auch nicht mehr alle VLANs führen (terminieren) muss und zum anderen einen kleinen Radius Server wie er schon von Vorneherein bei einem MikroTik RB450G mit integriert ist könnte dem Router noch mehr Arbeit abnehmen und dann wäre es vielleicht auch wieder mit dem aktuellen Router wieder recht
flott zu erledigen. Aber gut das sind natürlich uach alles Kosten, sollte man auch nicht vergessen.
Du hast eine VDSL25 MBit/s Leitung und die ist für den privaten Bereich ausgelegt, klar kein Thema wenn
alles funktioniert wie es soll, ist da ja auch gar nichts gegen einzuwenden, aber wenn dort eine s.g.
Drosselung mit ins Spiel kommt, nach einem festgelegtem Kontingent oder Traffic Aufkommen und Du nun genau zu dieser Zeit eine noch stärkere Authentisierung vornimmst dann kann das aber auch sicherlich daran liegen oder?
Eventuell kann man ja auch auf zwei WAN Leitungen mehr erreichen und die ganze Sache ist dann schon erledigt oder mit einem Draytek Virgor 3900 der wirklich sehr potent aussieht zusammen.
Aber da hast Du schon recht das wird nicht einfach sein auf Anhieb das richtige zu finden wenn mehrere
Optionen mit im Spiel sind! Vielleicht ein Systemhaus in Eurer Nähe die Dir einen stärkeren Router
einmal zum Testen überlassen können, da hast Du wohl schon recht das kostet Dich sonst ein kleines
Vermögen, aber der alte Router kann ja auch im s.g. Bridged Modus betrieben werden, also nur als
einfaches Modem das sollte ja nicht das Problem sein oder?
Viel Glück und Gruß
Dobby
@aqui
hab mir mal das Datenblatt vom Cisco886VA angeschaut, so wie es aussieht kann der Router nicht mit x509 Zertifikate umgehen oder täusch ich mich?
hab mir mal das Datenblatt vom Cisco886VA angeschaut, so wie es aussieht kann der Router nicht mit x509 Zertifikate umgehen oder täusch ich mich?
