dany28
Goto Top

Level One FBR-4000 - VPN direkt zum Router (Client) möglich?

Hallo,

habe bei einem Bekannten den "Auftrag" bekommen ihm bei seiner VPN-Einrichtung zu helfen. Im Einsatz ist der oben genannte Router, der laut Beschreibung (Multi-WAN Load Balance VPN Router ) ja, wie der Name schon sagt ein VPN-Router sein soll. Leider verzweifel ich mit dem Gerät. face-sad

http://download.level1.info/datasheet/FBR-4000_SPEC_V1.0.pdf

Sinn des Spiels ist ein reiner Netzwerkzugriff von seinem Laptop aus auf das hauseigene Netzwerk. Dort stehen drei Workstations und ein NAS. In den Konfigurationshilfen finde ich nur Anleitungen um zwei VPN-Router miteinander zu koppeln, jedoch keine Hilfe bei einem reinen VPN-Clientzugriff. Im Datenblatt fand ich nun folgendes (das Pass Through irritiert mich ein wenig):

VPN:
PPTP & IPSec Pass Through
IPSec Tunnels: 40
Encryption: DES, 3DES, AES (128/193
Authentication: MD5, SHA1, SHA2 (2
Manual Key & IKE (Internet Key Exch
Load Balance (Mesh Group)

Kann es sein, dass das Gerät gar nicht in der Lage ist direkt angesprochen zu werden, sondern noch ein VPN-Server auf einem der Rechner laufen muss?

Vielleicht kann mir da einer unter die Arme greifen?

lg

Dany

Content-ID: 134899

Url: https://administrator.de/contentid/134899

Ausgedruckt am: 21.11.2024 um 21:11 Uhr

Softprogger
Softprogger 01.02.2010 um 22:42:14 Uhr
Goto Top
Hallo,

lt. Datenblatt enthält der Router keinen eigenen VPN-Server! Er ist nur in der Lage bis zu 40 Kanäle passieren zu lassen. Als Router incl. VPN-Server würde ich ein Gerät der Vigor-Reihe von Draytek empfehlen.
Das zweite existente Problem ist die Tatsache, dass das Loadbalancing nur Richtung Internet funktioniert(mal abgesehen von gebündelten Leitungen, die im SOHO-Bereif ja wohl nicht vorhanden sind).
Für den VPN-Zugriff von aussen kann nur ein Kanal benutzt werden, weil ja im Normalfall unterschiedliche IP's an den WAN-Anschlüssen zugeordnet sind, und wenn die nicht statisch sind auch noch per dyndns aufgelöst werden müssen.

Vielleicht hilf das mal weiter...

Gruß
Softprogger
Dany28
Dany28 01.02.2010 um 22:51:42 Uhr
Goto Top
Hi Progger,

DAS befürchte ich leider auch, jedoch finde ich in einer anderen LevelOne Auslage folgendes:

FBR-4000 - 560400 - 4-WAN Load Balancing Router mit Firewall, VPN Server, 2x DMZ und 10-Port Switch

http://www.dataware.at/config/dataware/produktdokumente/Katalog_L1_2008 ...

Und nun?

lg

Dany
dog
dog 01.02.2010 um 23:04:17 Uhr
Goto Top
lt. Datenblatt enthält der Router keinen eigenen VPN-Server!

Quark...
This device supports IPSec server with brilliant throughput.
(selbes Datenblatt)

IPSec ist nur einfach in der Konfiguration so ein großer Müllhaufen, dass man sich damit 2 Tage ärgert bis einem die Haare ausfallen und dann PPTP benutzt, weil es auf Anhieb funktioniert...

Allerdings wird IPSec auch im Handbuch erklärt - wo ist also das Problem?
Der einzige technische Unterschied zwischen einem LAN-LAN und einem LAN-PC VPN ist die Netzmaske...
Softprogger
Softprogger 01.02.2010 um 23:13:05 Uhr
Goto Top
Denke mal der Begriff VPN-Server wird hier falsch verwendet, bezieht sich wohl nur auf die Sicherung und Verschlüsselung der Kanäle. Vieles wird mit Server umschrieben..!

Zumindest müßte sich in der Konfiguration des Routers eine Möglichkeit für das Einrichten von VPN-Usern befinden, wenn's ein echter VPN-Server ist.
Dany28
Dany28 01.02.2010 um 23:36:38 Uhr
Goto Top
Hi Dog,

und da bin ich ein wenig überfordert. face-wink

So in etwa ist die Ausgangslage:

VPN-Roter: 192.168.100.1
PC1: 192.168.100.2
PC2: 192.168.100.3
PC3: 192.168.100.4
usw...

Laptop mit dem Client hat die 192.168.100.100 und natürlich alle dieselbe Netzmaske...

Möglicherweise bin ich auch einfach zu blöde dafür. face-wink

lg

Dany
aqui
aqui 02.02.2010, aktualisiert am 18.10.2012 um 18:41:02 Uhr
Goto Top
Der Router ist de facto ein VPN Router und kann selber VPN Verbindungen als Server terminieren, dog hat zweifelsfrei Recht und die Level One Page spricht da eine sehr deutliche Sprache (Ebenso das Handbuch zum FBR4000 !!)
http://www.level-one.de/levelone.php?page=prod&cat=7002&model=F ...

Damit ist natürlich vollkommen problemlos ein direkter Zugriff mit einem IPsec VPN Client möglich auf diesen Router !!
Verwenden kann man dafür z.B. den freien Shrew VPN Client mit dem eine IPsec VPN Verbindung im Handumdrehen gelingt:
http://shrew.net/support

Wie die VPN Einrichtung mit dem Shrew Client zu machen ist beschreibt das Handbuch im Kapitel 6, Seite 52 ff.
http://download.level1.info/manual/FBR-4000%28EN%29.pdf
Schritt für Schritt so das auch blutige Laien das problemlos hinbekommen sollten...
Mit "Planning VPN" und andere Erklärungsabschnitten ist das ausführlich dokumentiert.
Sehr hilfreich ist auch das VPN Log mit dem man ggf. Probleme beim VPN Client Dialin schnell und unkompliziert troubleshooten kann. Was willst du noch mehr....das sollte alles in 10 Minuten eingerichtet sein und funktioniert problemlos.
Was du beim VPN Design zu beachten hast steht hier:
VPNs einrichten mit PPTP
Details zum IPsec VPN Protokoll findest du in spacys Tutorial:
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen
ulf1707
ulf1707 02.02.2010 um 20:31:56 Uhr
Goto Top
Hallo Dany28,

hast du deinen "Auftrag" bewältigen können ?

Ich habe gerade ein ähnliches Problem und da wäre der eine oder andere Hinweis schon hilfreich.

Im Handbuch verstehe ich übrigens das Kapitel 6 (über IPSec) als Anleitung vom FBR-4000 ein VPN zu einem entfernten VPM-Server aufzubauen und nicht als Konfigurationsanleitung eines VPN-Servers. Aber da bin ich nicht der Profi.

Danke schonmal für die Hilfe,

Ulf
Dany28
Dany28 02.02.2010 um 20:53:24 Uhr
Goto Top
Hi Ulf,

leider überhaupt nicht. face-sad

Bekomme zwar einen Connect, aber im VPN-Log finde ich folgendes:

2010/02/02 19:35:05 Error ike Remote phase1 configuration not found
[Remote(xx.xx.xx.xx:500), Local(xx.xx.xx.xx:500 Wan1)]

2010/02/02 19:35:05 Debug ike no remote configuration found

2010/02/02 19:35:05 Debug ike Receive packet : to-sockname (xx.xx.xx.xx:500)

Trotz studieren der Anleitung bin ich nicht wirklich weiter gekommen...

lg

Dany
dog
dog 02.02.2010 um 21:13:03 Uhr
Goto Top
So schwer ist das doch nicht.
Gehen wir es also durch:

Dein internes Netz ist: 192.168.100.0/24

Wir gehen nach HB Seite 52 vor.

Zuerst setzt du für WAN 1 "Enable Setting".
Den Rest lässt du wie er ist.

Dann gehst du in IPSec Policy.
Als Namen gibst du "Remote" ein, aktivierst "Enabled" und wählst bei Interface WAN1.
Bei Local Identiy wählst du "Distinguished Name" und gibt dann "router" in das Feld ein.

Bei Local Security Network wählst du "Subnet" und gibts dann 192.168.100.0 / 255.255.255.0 ein.
Bei Remote Security Network bleibt "IP Address" und gibts dann 172.16.0.1 ein.
Bei Remote Security Gateway wählst du "Distinguished Name" und gibst dann "client" ein.

Zum Schluss gibst du bei Preshared Key "1234567890" ein (nicht wirklich).

Der Rest bleibt wie er ist.

Jetzt gehst du in Shrewsoft auf "Add".
Bei Hostname gibst du den Dyndns-Namen ein, den du auf dem Router konfiguriert hast.
Bei Local Host hakst du "Obtain automatically" ab und gibst als Address 172.16.0.1 und bei Netmask 255.255.255.255 ein.

Im Tab Authentication wählst du als Methode "Mutual PSK".
Bei Local Identity wählst du Key Identifier und gibts "client" ein.
Bei Remote Identify das selbe aber mit "router".
Bei Credentials gibst du "1234567890" ein.

Bei Phase 1 wählst du als Exchange Type "main", bei Chiper "des", bei Hash Algorithm "md5" und bei Key Life Time limit gibst du 28800 ein.
Bei Phase 2 wählst du bei Transform Algorithm "esp-des" und bei HMAC "md5" - der Rest ist richtig.

Bei Policy hakst du "Obtain Topology automatically" ab, gehst auf Add und wählst "Include" und als Address 192.168.100.0 und als Netmask 255.255.255.0

Grüße

Max
Dany28
Dany28 02.02.2010 um 21:36:59 Uhr
Goto Top
Hi Dog,

danke für die Hilfe...leider lehnt der FBR diese Konfig ab.

Bei Remote Security Network bleibt "IP Address" und gibts dann 172.16.0.1 ein.
Bei Remote Security Gateway wählst du "Distinguished Name" und gibst dann "client" ein.

als resultat erscheint:

Remote Type need to be set to 'Any' when using Distinguished name as Gateway !

lg

Dany
dog
dog 02.02.2010 um 21:53:03 Uhr
Goto Top
Da ist das HB zu ungenau.
Du kannst alternativ anstatt Distinguished Name auch mal "Domain Name" auswählen und bei Shew Soft dann "FQDN".
Aber wie gesagt: IPSec ist konfigurationstechnisch ein riesiges Chaos...
Dany28
Dany28 02.02.2010 um 22:07:06 Uhr
Goto Top
Leider immer noch:

Remote phase1 configuration not found

Aber nochmal zum Verständnis: Mein Netz, dass ich erreichen möchte hat die 192.168.10.0 und mein Rechner, mit dem ich es erreichen möchte die 192.168.100.10...welches "interne" meintest du?

lg

Dany
ulf1707
ulf1707 03.02.2010 um 11:17:09 Uhr
Goto Top
Hi Danny,

das ist ja nicht so erfreulich.

Mich würde mal interessieren, ob jemand schon einmal praktisch dem FBR-4000 einen VPN Tunnel verpasst hat, also mit dem FBR-4000 als VPN-Server. Die oben zu lesenden Anleitungen sind zwar bestimmt sehr fundiert, scheinen mir aber eher theoretischer Natur zu sein.

Gruß, Ulf

P.S: Ich möchte keinem zu nahe treten ! Ich versuche nur den Helfern das Leben etwas einfacher machen zu können.
Dany28
Dany28 03.02.2010 um 11:41:16 Uhr
Goto Top
Hi Ulf,

von einem habe ich gehört:

"Mein Wissen ist noch recht begrenzt. Habe gerade meine erste VPN-Verbindung zu einem Level1 FBR-4000 Multi-WAN-Router aufgebaut. Hat zwischen 40 und 80h zur Konfiguration gebraucht. Hauptsächlich ausprobieren und Wissen anlesen.

Hauptproblem der Windows-Software ist wohl das Fehlen von höheren Verschlüsselungen und des IPSec-Standards. Bei WIndows geht wohl nur PPTP und das ist wohl nicht so sicher für eine Firmenlösung.

Es gibt einfache Clients für XP, die kosten so zwischen 70$ und 90EUR.
Ich habe meinen TheGreenBow-CLient mit IPSec, AES und SHA und DH 1024bit auf den Router bekommen. Etwas tricky, aber jetzt geht's."

VPN-Verbindungen von Windows-Client auf Netgear FVS124G

lg

Dany
dog
dog 03.02.2010 um 11:55:38 Uhr
Goto Top
Bei WIndows geht wohl nur PPTP und das ist wohl nicht so sicher für eine Firmenlösung.

Windows kann genauso L2TP/IPSec.
Die Betonung liegt hier auf L2TP! Denn kaum ein Router implementiert den L2TP-Teil, sondern nur den IPSec-Teil und dann funktioniert der Windows-Client nicht.

Außerdem ist PPTP auch sicher - wenn man ein gutes Kennwort wählt.
Bei PPTP ist die Sicherheit maßgeblich von der Qualität des Kennworts abhängig.

Es gibt einfache Clients für XP, die kosten so zwischen 70$ und 90EUR.

Ja und das Geld kann man sich in jedem Fall sparen, weil Shrew Soft genau das selbe macht wie alle anderen Clients (die zu 90% übrigens auch nur umgelabelte NCP Clients sind) aber für Lau.
aqui
aqui 03.02.2010 um 16:32:10 Uhr
Goto Top
Dazu kann man nur noch hinzufügen das du dir einfach mal die Konfigs der anderen Router ansehen solltest als Beispiel. Z.B. Draytek:
http://shrew.net/support/wiki/HowtoDraytek
Die Liste aller Router findest du hier: http://shrew.net/support
Das ist analog zu deinem Router auch. Die Installation ist immer die selbe....und klappt natürlich auch mit dem FBR-4000 problemlos.
Den Windows bordeigenen L2TP VPN Client kannst du de facto damit nicht verwenden !! Da Level One keinen VPN Client mitliefert musst du diese externen Clients wie Shrew oder GateProtect verwenden wenns kostenfrei belieben soll. Geld muss man für so einen Client nicht ausgeben !!
horst98
horst98 06.02.2010 um 15:28:27 Uhr
Goto Top
Hi Dany,

ja, ich habe mit einem GreenBow Client V4.5 die die Verbindung hinbekommen. Und da habe ich es genauso gemacht, wie es oben ausführlich beschrieben wurde. Mein Firmennetz hat die 192.168.0.0 und zu Hause verwende ich das 192.168.1.0

Dann habe ich mir bei dyndns.org zwei kostenlose, dynamische Adressen besorgt und diese auf dem FBR-4000 Router und meiner Fritz!box zu Hause aktiviert. Mit einem Ping kann man ganz wunderbar die Erreichbarkeit von der jeweils anderen Seite checken.

Doch nun zur Konfiguration. Ich habe von meinem Laptop aus zunächst immer Probleme gehabt, den Router zu erreichen. UNd das lag an meinem LAN und dem WLAN. Beide liefen unter verschiedenen IPs (192.168.1.20 und 192.268.1.21). Wenn beide Adapter aktiv waren, dann kam der Router ins Schleudern. Nach drei oder vier Fehlversuchen hängt sich dann der Router auf und man muss ihn frisch booten. Sehr lästig. In der Zwischenzeit hat sich die Sache so verschlimmert, dass ich gar nicht mehr reinkomme. Ich gehe mal davon aus, dass der Router dermaßen übel intern programmiert ist, dass man nur mit einer ganz speziellen Konfiguration reinkommt.

Am Ende des Tages bin ich mit dem FBR-4000 so frustriert, dass ich ihn nie wieder kaufen würde. EIgentlich hatte ich ihn angeschafft, weil ich das Loadbalancing massiv im Unternehmen einsetzen wollte. Das funktioniert aber nur, wenn man keine https oder ftps oder SSL Protokolle fährt. Denn die achten im Normalfall auf die Konsistenz in der IP und brechen die Verbindung ab, wenn z.B. der Round Robin eine andere Leitung hernimmt. So bleibt einem nur, die Kanäle einzelnen Benutzergruppen zuzuordnen. Das kann man aber auch mit anderen Mitteln erreichen.

Meine Einstellungen auf dem Router sind:
ESP, AES 128bit, SHA1, Autokey IKE, main mode, DH Group2 1024

Und wie gesagt, kein Subnetz freigegeben, sondern eine einzelne, feste IP.

Gruß
Horst
aqui
aqui 08.02.2010 um 11:26:02 Uhr
Goto Top
.
"...Beide liefen unter verschiedenen IPs (192.168.1.20 und 192.268.1.21)..."
Letztere ist ja eine höchst interessante IP Adresse ! Wenn du bei der Installation auch SO vorgegangen bist wundert einen nicht, das nichts bei dir richtig funktioniert hat oder funktioniert !!!
Wenn man es richtig macht funktionert der FBR mit Shrew und auch mit Greenbow vollkommen einwandfrei, performant und ohne jegliche Probleme !!
Wichtig ist das man das VPN FEST auf eine IP der WAN Interfaces einstellt und Load Balancing für VPNs deaktiviert ! Es ist klar das LB nicht mit VPNs funktioniert oder nur Session basiert !
Beachtet man das funktioniert dieser Router wie bereits bemerkt vollkommen problemlos !!
sebezahn
sebezahn 03.03.2010 um 14:18:06 Uhr
Goto Top
Hi,

eine Frage an die Experten: Genau diese Kombination - Shrew VPN und FBR-4000 - möchte ich auch gerne einrichten. Der FBR-4000 sitzt im Rechenzentrum an einer festen IP, der Client allerdings, mein XP-Notebook, sitzt auch schon einmal hinter Netzwerk-Routern. Kann das dann überhaupt funktionieren? Das Handbuch sagt ja ganz ausdrücklich, dass der Client eine "public IP" mit Netmask 255.255.255.255 haben muss. Ist dem wirklich so? Oder gibt es eine (oder zwei, drei) Einstellungen, die auch NAT am Client zulassen?

Gruß
Sebezahn