jompsi
Goto Top

Netgear FVS336GV2 VPN Passthrough geht nicht, obwohl Port Forwarding aktiviert ist

Hallo zusammen

Ich arbeite in einer kleinen Firma, welche bis anhin einen Peplink Dual WAN Router in Betrieb hatte. Diesen haben wir nun durch den Dual WAN Router Netgear FVS366GV2 ersetzt.

Seit dieser Änderung geht das Login ins Firmen VPN nicht mehr.

Das VPN haben wir auf einem Windows Server 2008 Small Business konfiguriert und bis anhin konnte man sich normal von einem Windows PC in dieses VPN anmelden.

Auf dem FVS336GV2 habe ich unter Security -> Firewall -> Inbound Rules festgelegt, dass das Protokoll PPTP erlaubt ist. Dabei gibt man auch noch an, an welchen Server dieses Protokoll geschickt werden soll. Dort habe ich den Windows Server 2008 angegeben.

Ich muss den Netgear Router so konfigurieren, dass man das bis anhin genutzte VPN weiter nutzen kann. Der Router muss einfach die VPN Connection zulassen.

Kann mir hier jemand helfen? Ich wäre sehr dankbar.
Falls euch Informationen fehlen, einfach fragen, dann werde ich diese nachliefern.

Freundliche Grüsse
jompsi

Content-ID: 191407

Url: https://administrator.de/forum/netgear-fvs336gv2-vpn-passthrough-geht-nicht-obwohl-port-forwarding-aktiviert-ist-191407.html

Ausgedruckt am: 23.12.2024 um 08:12 Uhr

goscho
goscho 18.09.2012 um 13:33:53 Uhr
Goto Top
Mahlzeit Jompsi,
ich kann dir jetzt nicht genau sagen, warum das VPN-Passthrough bei dir nicht klappt.

Allerdings frage ich mich, warum du ein extrem unsichers PPTP-VPN zu einem Windows-SBS nutzt, wo doch dein Router selbst als VPN-Server fungieren kann.

Mit dem FVS336G kannst du sowohl IPSEC- als auch SSL-VPNs aufbauen.
Für das IPSEC-VPN kannst du entweder den VPN-Clienten von Netgear kaufen, oder den kostenfreien Shrew VPN-Clienten nutzen.
108012
108012 18.09.2012 um 14:32:39 Uhr
Goto Top
Zitat von @jompsi:
Hallo zusammen
Hallo

Ich arbeite in einer kleinen Firma, welche bis anhin einen Peplink Dual WAN Router in Betrieb hatte.
Diesen haben wir nun durch den Dual WAN Router Netgear FVS366GV2 ersetzt.
Auch mit zwei Internet Leitungen, also zwei Modulatoren (Modems)?

Seit dieser Änderung geht das Login ins Firmen VPN nicht mehr.
Vorher war es VPN-Passthrough und nun solltest Du die stärken Deiner neuen Firewall auch nutzen!
Am besten so wie der goscho Dir das vorgeschlagen hat.

Falls Du zwei Internetverbindungen hast würde ich Dir sogar vorschlagen ein "Load Balancing" zu konfigurieren! Aber auf jeden Fall VPN bis zum Router und danach Portweiterleitungen!!!


Freundliche Grüsse
jompsi
Gruß
Dobby
jompsi
jompsi 19.09.2012 aktualisiert um 08:47:09 Uhr
Goto Top
Morgen zusammen

Zuerst einmal vielen Dank für die Hilfe.

Falls Du zwei Internetverbindungen hast würde ich Dir sogar vorschlagen ein "Load Balancing" zu konfigurieren! Aber
auf jeden Fall VPN bis zum Router und danach Portweiterleitungen!!!

Das mit dem Load Balancing habe ich bereits eingerichtet.
Du erwähnst die Portweiterleitung, kannst du mir dazu vielleicht genauer sagen, wie ich die korrekt einrichte?
Bis jetzt habe ich unter Security -> Firewall -> Inbound Rules den Port 1723(PPTP) eingerichtet und dort muss man ja den Server im LAN angeben, an welchen dieser Verkehr gesendet werden soll. Ist das die korrekte Vorgehensweise für die Portweiterleitung?

Allerdings frage ich mich, warum du ein extrem unsichers PPTP-VPN zu einem Windows-SBS nutzt, wo doch dein Router selbst als VPN-Server fungieren kann.

Das mit der Sicherheit ist ein guter Vorschlag, werde ich genauer anschauen(bin neu in der Materie VPN).

Ich hätte ich aber noch die eine oder andere Frage face-smile

1) Es ist so, dass sich die einen Mitarbeiter von Ihrem Heim PC ins VPN einloggen, deshalb ist es schwierig mit der zusätzlichen Client-Software. Gibt es eine alternative?
"2) Zum Beispiel SSL VPN, braucht man da auch einen VPN Client?"
Konnte ich mir gerade selbst beantworten. Braucht es nicht.

Vielen Dank und Gruss
jompsi
108012
108012 19.09.2012 um 11:39:03 Uhr
Goto Top
Hallo Kompsi,

zu jeder VPN Firewall von Netgear ist ein VPN Klient mit einer Lizenz dabei!
Dein alter Peplink Dual WAN Router konnte vielleicht kein VPN und hat es deshalb durchgereicht,
aber der FVS336Gv2 kann das und daher wäre es nicht unbedingt schlau um das auf den Server durch zu reichen!!!
- Zum einen Protokolliert die Firewall alles wenn es nur bis zu Ihr gelangt
- Zum anderen ist auch alles um einiges sicherer, denn sonst ist ja der Server direkt aus dem Internet anzusprechen, auch mit Wörterbuchattacken (Brute Force). Ein Beispiel

Deine VPN Firewall ist für folgendes ausgelegt:
25 IPSec VPN Tunnel und
10 SSL VPN Tunnel


Wie viele Mitarbeiter loggen sich denn über die WAN Schnittstelle ein, sagtest Du noch einmal?

Denn die richtige Dimensionierung der Hardware sollte schon vorhanden sein!

Ich weiß natürlich auch selbst das man durch solche "Konstruktionen" ein solches Limit schnell umgehen kann, aber eben auch die "andere Seite" und zwar die Sicherheit die dieses Gerät eigentlich bieten sollte!

Deshalb und um es kurz zu machen, nimm den Ratschlag von goscho an und schau mal in die Bedienungsanleitung!

In Deinem Scenario ist das ganz einfach, alle melden sich an der FVS336Gv2 an und dann werden Sie von dort via Portweiterleitung auf den Server geleitet fertig und können arbeiten!

Gruß
Dobby
jompsi
jompsi 19.09.2012 aktualisiert um 12:20:11 Uhr
Goto Top
Hallo Dobby

zu jeder VPN Firewall von Netgear ist ein VPN Klient mit einer Lizenz dabei!

Ja, das ist so, jedoch reicht diese Lizenz nicht für alle. Doch goscho hat bereits eine kostenlose Variante vorgeschlagen von daher ist das kein Problem

Wie viele Mitarbeiter loggen sich denn über die WAN Schnittstelle ein, sagtest Du noch einmal?

Es loggen sich nur ca. 4-6 Personen über die WAN Schnittstelle ein. Beim Kauf des Routers habe ich schon darauf geachtet, dass es genügend Tunnels gibt.

Das mit der Sicherheit werde ich umgehend in Angriff nehmen.

In Deinem Scenario ist das ganz einfach, alle melden sich an der FVS336Gv2 > an und dann werden Sie von dort via Portweiterleitung auf den Server geleitet fertig und können arbeiten!

Sprichst du hier von der IST-Situation? Und wenn ja, die Portweiterleitung funktioniert nicht.

Wenn ich das VPN korrekt auf dem Router umgesetzt habe, brauche ich den Windows-SBS nicht mehr als VPN Server, korrekt?

Danke für die Unterstützung
Jompsi
108012
108012 19.09.2012 um 12:31:02 Uhr
Goto Top
Zitat von @jompsi:
Hallo Dobby
Hallo


Ja, das ist so, jedoch reicht diese Lizenz nicht für alle. Doch goscho hat bereits eine kostenlose
Variante vorgeschlagen von daher ist das kein Problem
Ok wenn die funktioniert, dann danke ich goscho natürlich auch, denn ich habe diese Firewall zu Hause bei mir im Einsatz!

Es loggen sich nur ca. 4-6 Personen über die WAN Schnittstelle ein. Beim Kauf des Routers habe ich
schon darauf geachtet, dass es genügend Tunnels gibt.
Dann sollte das ja alles kein Problem sein.

Das mit der Sicherheit werde ich umgehend in Angriff nehmen.
Wäre schön denn dafür hast Du ja auch bezahlt!

Sprichst du hier von der IST-Situation? Und wenn ja, die Portweiterleitung funktioniert nicht.
Nein, so wie es laufen sollte!

Wenn ich das VPN korrekt auf dem Router umgesetzt habe, brauche ich den Windows-SBS nicht mehr als
VPN Server, korrekt?
Korrekt!

Danke für die Unterstützung
Nicht dafür

Jompsi
Gruß
Dobby
goscho
goscho 19.09.2012 aktualisiert um 14:14:00 Uhr
Goto Top
Hi Ihr zwei,

zum Shrew:

Ihr verwendet am Besten die Version 2.2.0 (noch Beta glaub ich).
Link zum Shrew-Download

Bei der Konfiguration kann ich euch helfen, denn das habe ich bereits dutzende Male gemacht (fast immer zu Netgear-VPN-Routern). face-smile

zum SSL-VPN:

Wenn ihr das SSL-VPN einrichtet und der User sich verbindet, wird dabei ein Client heruntergeladen, der temporär installiert und genutzt wird. Das funktioniert AFAIR nur mit Adminrechten und wenn bestimmte Sicherheitseinstellungen im IE angepasst wurden.
108012
108012 19.09.2012 um 14:35:41 Uhr
Goto Top
Hallo jompsi,

auf Seite 105 der Bedienungsanleitung wird beschrieben wie man ein "Port Fowarding" einrichtet, für VPN SSL Verbindungen.

@goscho
Sehr nett und aufmerksam von Dir, aber da ich wie schon erwähnt die Firewall zu Hause im Einsatz habe
und nur ein Notebook zur Zeit benutze bin ich mit dem VPN Klienten zu Zeit auch gut bedient, aber für
zukünftige Anschaffungen oder Fälle wäre das schon interessant zu wissen das man nicht eine neue Lizenz
kaufen muss.

Gruß
Dobby
goscho
goscho 19.09.2012 um 14:43:43 Uhr
Goto Top
Hi dobby,
als wir uns gerade so über das VPN des FVS336G unterhielten, schaute ich nach einem Firmwareupdate.
Es gibt jetzt die Version 3.0.8-12, die als Neuheit auch PPTP und L2TP-VPN anbietet.
Ist jetzt für Netgear was gänzlich Neues, aber eventuell wirds ja mal benötigt.
108012
108012 19.09.2012 um 14:54:59 Uhr
Goto Top
Hallo goscho danke für den Tipp!

Werde ich gleich mal ausprobieren.

Danke nochmals.


Gruß
Dobby
jompsi
jompsi 20.09.2012 um 11:33:27 Uhr
Goto Top
Hallo zusammen

Vielen Dank für eure Hilfe.

Ich habe die Firmware von 3.0.6-28 auf 3.0.8-12 hochgehoben.
Dies hat das Problem behoben, dass man aus dem WAN nicht auf den Router zugreifen konnte. Vor dem Update konnte ich das SSL Portal nämlich nicht aufrufen.

Die SSL VPN Connection konnte ich nun umsetzen.

Gruss
Jompsi
Alpha78
Alpha78 25.01.2013 aktualisiert um 12:16:55 Uhr
Goto Top
Hi goscho, Hi Fachleute,

bin hier am verzweifeln mit der Einrichtung VPN eines Netgear FVS336GV2. Ich habe alle Varianten durchgespielt, aber nix führte zu einer Lösung. Also als erstes welchen DNS Anbieter schlägst Du vor. Momentan habe ich no-ip.com diesen brauche ich um den Tunnel zu finden ?! richtig ?
goscho
goscho 25.01.2013 um 13:13:47 Uhr
Goto Top
Hi alpha78,

was ist jetzt noch mal genau dein Problem?
WArum machst du nicht einen eigenen Beitrag auf und erklärst genauer, wie deine Umgebung aussieht und was du mit dem FVS336G wie vorhast?
Alpha78
Alpha78 28.01.2013 um 09:35:28 Uhr
Goto Top
Also folgendes ... der FVS336G war nun die ganze Zeit angeschlossen und hat auch soweit funktioniert. Nun soll ich einen VPN Zugang einrichten, wobei mir das sehr tricky vorkommt.

Konfiguration wie folgt :

2 x DSL Anschluss vorhanden ... auch beide aktiv.

So und nun zur Einrichtung. Habe schon mit dem VPN Client von Netgear experimentiert. Ich habe die Einstellungen gemäß Beschreibung gemacht, bekomme aber keinen Tunnel zusdtande. Momentan ist die FW 3.0.6-28
installiert.

Was ist die IKE Policy und was stelle ich bei der VPN Policy ein ? Was ist FQDN Local und Remote ?

Danke euch schonmal vielmals.

ALPHA
goscho
goscho 28.01.2013 um 10:58:51 Uhr
Goto Top
Moin

Zitat von @Alpha78:
Also folgendes ... der FVS336G war nun die ganze Zeit angeschlossen und hat auch soweit funktioniert. Nun soll ich einen VPN
Zugang einrichten, wobei mir das sehr tricky vorkommt.
Ne, das ist relativ einfach, wenn man die Basics kennt. face-wink
Hier wird dir von Netgear erklärt, was ein VPN ist und wie das funktioniert:
http://www.netgear.de/support/basiswissen/basicvpn.aspx
Konfiguration wie folgt :

2 x DSL Anschluss vorhanden ... auch beide aktiv.
Und auf welchen von beiden willst du dich einwählen?
Hat der eine feste IP-Adresse oder hast du DynDNS eingerichtet?

So und nun zur Einrichtung. Habe schon mit dem VPN Client von Netgear experimentiert. Ich habe die Einstellungen gemäß
Beschreibung gemacht, bekomme aber keinen Tunnel zusdtande. Momentan ist die FW 3.0.6-28
installiert.
Welche Beschreibung hast du denn genommen?
Welchen VPN-Client von Netgear (es gibt unterschiedliche) auf welchem Betriebssystem?
Ist der Client direkt mit dem Internet verbunden (bspw. über UMTS) oder ist der in einem anderen Netzwerk mit vorgeschaltetem Router?
Wenn über UMTS, bekommt er eine öffentliche IP-Adresse?
Was ist die IKE Policy und was stelle ich bei der VPN Policy ein ? Was ist FQDN Local und Remote ?
O.K. ich glaube, dir fehlen sämtliche Basisinformationen, die du zum Einrichten eines VPN benötigst.
Das was du dort erfragst, steht in den Anleitungen beschrieben.
Hast du diese Anleitung für deinen VPN-Einrichtungsversuch genommen?

Wenn du englisch kannst, hätte ich noch was für dich:
Englischsprachige Seite mit vielen Dokumenten und Anleitungen zu Netgear-Geräten.
Für manche Dokumente muss man sich aber erst registrieren.
Alpha78
Alpha78 28.01.2013 um 11:06:41 Uhr
Goto Top
Vielen Dank goscho ... ich arbeite mich einmal durch ... und melde mich ob es funktioniert hat face-smile

Danke
Alpha78
Alpha78 28.01.2013 um 11:43:25 Uhr
Goto Top
Ne, das ist relativ einfach, wenn man die Basics kennt. face-wink
Hier wird dir von Netgear erklärt, was ein VPN ist und wie das funktioniert:
http://www.netgear.de/support/basiswissen/basicvpn.aspx

Habe ich durch !


Hat der eine feste IP-Adresse oder hast du DynDNS eingerichtet?

Ich habe DYNDNS eingerichtet einmal bei No-IP und bei dydnss.net. Wenn ich allersdings die Daten eintrage
erscheint kurz DNS Enabled und danach kommt bad auth oder Disabled ... egal an welchem WAN 1 oder 2

Welche Beschreibung hast du denn genommen?

Die Beschreibung über die 28 Seiten hatte ich exakt die gleiche. Habe es auch genauso konfiguriert .... jedoch leider ohne Erfolg.

Welchen VPN-Client von Netgear (es gibt unterschiedliche) auf welchem Betriebssystem?

VPN Lite auf Windows 7 64 Bit sowie testweise Shrewsoft

Ist der Client direkt mit dem Internet verbunden (bspw. über UMTS) oder ist der in einem anderen Netzwerk mit vorgeschaltetem
Router?

Der Client ist direkt über einen Router an einen ISP angebunden.


> Was ist die IKE Policy und was stelle ich bei der VPN Policy ein ? Was ist FQDN Local und Remote ?
O.K. ich glaube, dir fehlen sämtliche Basisinformationen, die du zum Einrichten eines VPN benötigst.
Das was du dort erfragst, steht in den Anleitungen beschrieben.
Hast du diese Anleitung für deinen
VPN-Einrichtungsversuch genommen?

Jep

Wenn du englisch kannst, hätte ich noch was für dich:
Englischsprachige Seite mit vielen Dokumenten und Anleitungen zu Netgear-Geräten.
Für manche Dokumente muss man sich aber erst registrieren.

Die kenn ich auch schon ;) Ich denke das es evtl an der FW den VPNs liegt ...
goscho
goscho 28.01.2013 aktualisiert um 14:10:34 Uhr
Goto Top
Zitat von @Alpha78:
> Hat der eine feste IP-Adresse oder hast du DynDNS eingerichtet?

Ich habe DYNDNS eingerichtet einmal bei No-IP und bei dydnss.net. Wenn ich allersdings die Daten eintrage
erscheint kurz DNS Enabled und danach kommt bad auth oder Disabled ... egal an welchem WAN 1 oder 2
Wenn du keine Dyn-DNS-Einrichtung für deinen Router hinbekommst, so wird es schwierig bis unmöglich, ein VPN aufzubauen.
Ich habe bisher immer mit DYN-DNS.org zu tun gehabt, aber warum versuchst du nicht mal die TZO-Variante. Über die FVS336G-Oberfläche aufgerufen, kannst du eine kostenfreie Variante nutzen.

> Welchen VPN-Client von Netgear (es gibt unterschiedliche) auf welchem Betriebssystem?

VPN Lite auf Windows 7 64 Bit sowie testweise Shrewsoft
Mit dem Shrew-Clienten habe ich schon x Client-VPNs zu Netgear-Routern aufgebaut.
Die Version 2.1.7 oder 2.2.0 klappt in Verbindung mit Windows 7 oder 8.

> Ist der Client direkt mit dem Internet verbunden (bspw. über UMTS) oder ist der in einem anderen Netzwerk mit
vorgeschaltetem
> Router?

Der Client ist direkt über einen Router an einen ISP angebunden.
Dann ist er genau nicht direkt mit dem Internet verbunden. face-sad

Direkt bedeutet, dass dein PC sich über ein Modem in das Internet einwählt.

Du hast einen Nat-Router davorgeschaltet. Bei meinene früheren Versuchen mit einem Netgear-VPN-Clienten konnte ich so auch kein VPN aufbaue, weil der kein NAT-T unterstützte.
Ob das für den von dir verwendeten auch gilt, weiß ich nicht. Der Shrew-VPN-Client hingegen unterstützt NAT-T.


Ich denke das es evtl an der FW den VPNs liegt ...
Was heißt das?

Wenn du noch nicht einmal das Dyn-DNS zum Laufen bekommst, wird alles andere ziemlich schwer.
Alpha78
Alpha78 28.01.2013 um 16:32:11 Uhr
Goto Top
Ich bleib dran und werde berichten ... Danke euch dennoch schonmal vorab !

Ist es desweiteren auch möglich am Client eine Windows eigene Lösung zu finden, oder bin ich auf Software dritter angewiesen ?

Danke schonmal
goscho
goscho 28.01.2013 um 17:05:06 Uhr
Goto Top
Zitat von @Alpha78:
Ich bleib dran und werde berichten ... Danke euch dennoch schonmal vorab !
Und was ist mit meiner Frage?
> Ich denke das es evtl an der FW den VPNs liegt ...
Was heißt das?

Ist es desweiteren auch möglich am Client eine Windows eigene Lösung zu finden, oder bin ich auf Software dritter
angewiesen ?
Ja,

seit Kurzem geht auch PPTP bzw. L2TP mit dem FVS336V2 einzurichten. Dazu benötigst du die neueste Firmware und dann kannst du den in Windows integrierten Client nutzen.

Ich würde trotzdem zu IPSEC bzw. SSL-VPN raten.
108012
108012 28.01.2013 um 19:31:13 Uhr
Goto Top
Ich würde trotzdem zu IPSEC bzw. SSL-VPN raten.
Ich auch und zwar grundsätzlich sogar!

Gruß
Dobby
Alpha78
Alpha78 29.01.2013 um 11:42:40 Uhr
Goto Top
Okay IPSEC hat dann demnach eine höhere Sicherheit ?!

Also ich habe noch ein wenig getestetn und hatte noch einen alten DYNDNS Acc hab auch alles eingetragen und im Netgear steht : DNS is not enabled ... obwohl ich es Aktiviert habe ... Ich werde nun mal ein FW Update machen um zu schauen, obs deshalb zu diesen Komplikationen kommt face-sad

Eine Frage noch, einfach erklärt ... FQDN ... trage ich dort die DYNADRESSE ein ?

Danke schonmal
Alpha78
Alpha78 31.01.2013 um 13:58:27 Uhr
Goto Top
Hi also Dyndns läuft stabil ... könnte mir kurz jmd helfen, die finale Konfiguration zu machen ?

Vorhanden 2 x Speedportmodem
Beide mit WAN Daten im Netgear hinterlegt und lauffen.

Dyndns läuft auch

VPN Wizard ausgeführt ...

VPN Client stoppt bei Phase 1 der Verbindung ...

Soweit bis jetzt

Danke schonmal
goscho
goscho 31.01.2013 um 15:03:13 Uhr
Goto Top
Zitat von @Alpha78:
Hi also Dyndns läuft stabil ... könnte mir kurz jmd helfen, die finale Konfiguration zu machen ?

Vorhanden 2 x Speedportmodem
Beide mit WAN Daten im Netgear hinterlegt und lauffen.
Sicher, dass die Speedports Modems sind und nicht als Router vor deinem FVS hängen?
Alpha78
Alpha78 01.02.2013 um 09:38:40 Uhr
Goto Top
Ja es sind 2 Modems ... auf jeden Fall der FVS hat Zugang mit beiden Anschlüssen ...

Ich bräuchte doch nur etwas Hilfe bei der Konfiguration der VPN ... die Vorraussetzung ist ja jetzt eingerichtet ... Ich bekomme nur keine Verbindung hin ...

1...
2...
3...


;)

Danke
108012
108012 01.02.2013 um 09:43:54 Uhr
Goto Top
Hallo alpha78,

Warum machst du nicht einen eigenen Beitrag auf und erklärst genauer, wie deine Umgebung aussieht und was du mit dem FVS336G wie vorhast?
Das wäre ja mal schick!

Gruß
Dobby