Netgear FVS338 - NAT VPN
Hallo,
Situation:
Netgear FVS338 in der Zentrale mit diversen VPN-Tunneln (IPSec) zu den Aussenstellen - funktioniert seit Jahren wunderbar.
Netgear FVS318 in der Geschäftsstelle (Aussenstelle), bisher mit fester IP und einer Verbindung zu einem Dienstleister für die Personalbuchhaltung und Lohnabrechnung. Dazu eine VPN-Verbindung zu dem Dienstleister. Das Programm wird über den IE bedient.
Technische Umstellung der Geschäftsstelle auf VDSL, daher Fritzbox mit S0-Schnittstelle für die TA vorgeschaltet. Dienstleister akzeptiert keine DynDNS-Adressen, daher Handlungsbedarf.
Lösungsansatz: VPN-Verbindung über den Router in der Zentrale (feste IP), Geschäftsstelle kann sich über den Terminalserver aufschalten. VPN-Verbindung einrichten, fertig.
Problem: Dienstleister stellt seine Router um und verlangt folgendes:
"Voraussetzungen für die VPN-Verbindung:
- Internet-Zugang mit statischer (fester) IP-Adresse vom Provider
- Unterstützung von NAT im VPN-Tunnel hinter der Firewall, wir schlagen 10.1.250.96/32 als NAT-Adresse auf Ihrer Seite vor."
Frage: wie richte ich das ein? Das Netz in der Zentrale ist ein 192.168.99.0/24. Wenn ich nun die vorgeschlagene Adresse als lokales Subnet eintrage, kommt die Verbindung zu Stande, aber da gehen ja keine Daten rüber, wenn das "echte" Netz ja ein anderes ist. Also NAT im VPN-Tunnel, aber wie?
Vielen Dank für Eure Antworten.
Situation:
Netgear FVS338 in der Zentrale mit diversen VPN-Tunneln (IPSec) zu den Aussenstellen - funktioniert seit Jahren wunderbar.
Netgear FVS318 in der Geschäftsstelle (Aussenstelle), bisher mit fester IP und einer Verbindung zu einem Dienstleister für die Personalbuchhaltung und Lohnabrechnung. Dazu eine VPN-Verbindung zu dem Dienstleister. Das Programm wird über den IE bedient.
Technische Umstellung der Geschäftsstelle auf VDSL, daher Fritzbox mit S0-Schnittstelle für die TA vorgeschaltet. Dienstleister akzeptiert keine DynDNS-Adressen, daher Handlungsbedarf.
Lösungsansatz: VPN-Verbindung über den Router in der Zentrale (feste IP), Geschäftsstelle kann sich über den Terminalserver aufschalten. VPN-Verbindung einrichten, fertig.
Problem: Dienstleister stellt seine Router um und verlangt folgendes:
"Voraussetzungen für die VPN-Verbindung:
- Internet-Zugang mit statischer (fester) IP-Adresse vom Provider
- Unterstützung von NAT im VPN-Tunnel hinter der Firewall, wir schlagen 10.1.250.96/32 als NAT-Adresse auf Ihrer Seite vor."
Frage: wie richte ich das ein? Das Netz in der Zentrale ist ein 192.168.99.0/24. Wenn ich nun die vorgeschlagene Adresse als lokales Subnet eintrage, kommt die Verbindung zu Stande, aber da gehen ja keine Daten rüber, wenn das "echte" Netz ja ein anderes ist. Also NAT im VPN-Tunnel, aber wie?
Vielen Dank für Eure Antworten.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 314273
Url: https://administrator.de/forum/netgear-fvs338-nat-vpn-314273.html
Ausgedruckt am: 23.12.2024 um 19:12 Uhr
9 Kommentare
Neuester Kommentar
nabend..
- Unterstützung von NAT im VPN-Tunnel hinter der Firewall, wir schlagen 10.1.250.96/32 als NAT-Adresse auf Ihrer Seite vor."
du meinst sicher NAT Traversal... oder ?
und ich bin mir sicher das er NETBIOS im tunnel möchte.... oder ?
Frage: wie richte ich das ein? Das Netz in der Zentrale ist ein 192.168.99.0/24. Wenn ich nun die vorgeschlagene Adresse als lokales Subnet eintrage, kommt die Verbindung zu Stande, aber da gehen ja keine Daten rüber, wenn das "echte" Netz ja ein anderes ist. Also NAT im VPN-Tunnel, aber wie?
Vielen Dank für Eure Antworten.
Frank
Zitat von @Multitask:
Hallo,
Situation:
Netgear FVS338 in der Zentrale mit diversen VPN-Tunneln (IPSec) zu den Aussenstellen - funktioniert seit Jahren wunderbar.
Netgear FVS318 in der Geschäftsstelle (Aussenstelle), bisher mit fester IP und einer Verbindung zu einem Dienstleister für die Personalbuchhaltung und Lohnabrechnung. Dazu eine VPN-Verbindung zu dem Dienstleister. Das Programm wird über den IE bedient.
was wird über den IE bedient ... klar der Router.. du meinst sicher SSL VPN... oder ?Hallo,
Situation:
Netgear FVS338 in der Zentrale mit diversen VPN-Tunneln (IPSec) zu den Aussenstellen - funktioniert seit Jahren wunderbar.
Netgear FVS318 in der Geschäftsstelle (Aussenstelle), bisher mit fester IP und einer Verbindung zu einem Dienstleister für die Personalbuchhaltung und Lohnabrechnung. Dazu eine VPN-Verbindung zu dem Dienstleister. Das Programm wird über den IE bedient.
Technische Umstellung der Geschäftsstelle auf VDSL, daher Fritzbox mit S0-Schnittstelle für die TA vorgeschaltet. Dienstleister akzeptiert keine DynDNS-Adressen, daher Handlungsbedarf.
Lösungsansatz: VPN-Verbindung über den Router in der Zentrale (feste IP), Geschäftsstelle kann sich über den Terminalserver aufschalten. VPN-Verbindung einrichten, fertig.
Problem: Dienstleister stellt seine Router um und verlangt folgendes:
"Voraussetzungen für die VPN-Verbindung:
- Internet-Zugang mit statischer (fester) IP-Adresse vom Provider
würde ich auch so wollen.Lösungsansatz: VPN-Verbindung über den Router in der Zentrale (feste IP), Geschäftsstelle kann sich über den Terminalserver aufschalten. VPN-Verbindung einrichten, fertig.
Problem: Dienstleister stellt seine Router um und verlangt folgendes:
"Voraussetzungen für die VPN-Verbindung:
- Internet-Zugang mit statischer (fester) IP-Adresse vom Provider
- Unterstützung von NAT im VPN-Tunnel hinter der Firewall, wir schlagen 10.1.250.96/32 als NAT-Adresse auf Ihrer Seite vor."
und ich bin mir sicher das er NETBIOS im tunnel möchte.... oder ?
Frage: wie richte ich das ein? Das Netz in der Zentrale ist ein 192.168.99.0/24. Wenn ich nun die vorgeschlagene Adresse als lokales Subnet eintrage, kommt die Verbindung zu Stande, aber da gehen ja keine Daten rüber, wenn das "echte" Netz ja ein anderes ist. Also NAT im VPN-Tunnel, aber wie?
Vielen Dank für Eure Antworten.
Frank
Du musst nur einmal genau lesen was der Dienstleister will !!
Er schreibt doch ganz deutlich das du outbound NAT im VPN Tunnel machen sollst !!
Er will also das im VPN Tunnel deine lokalen 192.168.99.x Adressen outgoing auf die 10.1.250.96/32 mit Port Address Translation geNATet werden.
Sprich also: alle deine lokalen 192.168.99.x Adressen tauchen bei ihm über den VPN Tunnel durch das outbound PAT mit der 10.1.250.96/32 als Absender IP auf.
Wenn der Dienstleister nur auf einen Host im lokalen LAN bei dir muss dann reicht das auch vollkommen wenn du das Tunnel NAT nur für diese eine .99.x Hostadresse machst. Ist auch sicherer sonst fummelt der Dienstleister wohlmöglich komplett in eurem lokalen Netz rum...ein NoGo.
Du musst also auf deinem VPN Router schlicht und einfach nur outbound NAT im Tunnel aktivieren auf diese IP und das wars.
Aus Sicht des Dienstleisters ist die Konfig verständlich und auch sinnvoll. Er kann seine entsprechende IP Kundenadressierung umsetzen ohne das er dich zwingen muss ein lokales IP Netzwerk nach seinen IP Adressierungsvorstellungen aufzusetzen. Beide Seiten bleiben so unabhängig und kommen sich IP adresstechnisch nicht in die Quere.
Ein simples Standarddesign im VPN Umfeld wenns denn so gemeint ist wie du es schilderst...?!
Wer oder was mit dem IE bedient wird ist aber in der Tat unklar. Mal abgesehen davon das die Nutzung eines solch unsicherern und gefährlichern Browsers auch ein NoGo sein sollte.
Für die VPN Dienstleisteranforderung ist es eh vollkommen irrelevant.
Unterstützung von NAT im VPN-Tunnel hinter der Firewall, wir schlagen 10.1.250.96/32 als NAT-Adresse auf Ihrer Seite vor."
Der will doch nicht das du dein Subnetz änderst. Mal ganz davon abgesehen das das ja auch ziemlicher Blödsinn wäre, denn dann müsstest du zwangsweise dein ganzes lokales Netz umbauen was niemand will.Er schreibt doch ganz deutlich das du outbound NAT im VPN Tunnel machen sollst !!
Er will also das im VPN Tunnel deine lokalen 192.168.99.x Adressen outgoing auf die 10.1.250.96/32 mit Port Address Translation geNATet werden.
Sprich also: alle deine lokalen 192.168.99.x Adressen tauchen bei ihm über den VPN Tunnel durch das outbound PAT mit der 10.1.250.96/32 als Absender IP auf.
Wenn der Dienstleister nur auf einen Host im lokalen LAN bei dir muss dann reicht das auch vollkommen wenn du das Tunnel NAT nur für diese eine .99.x Hostadresse machst. Ist auch sicherer sonst fummelt der Dienstleister wohlmöglich komplett in eurem lokalen Netz rum...ein NoGo.
Du musst also auf deinem VPN Router schlicht und einfach nur outbound NAT im Tunnel aktivieren auf diese IP und das wars.
Aus Sicht des Dienstleisters ist die Konfig verständlich und auch sinnvoll. Er kann seine entsprechende IP Kundenadressierung umsetzen ohne das er dich zwingen muss ein lokales IP Netzwerk nach seinen IP Adressierungsvorstellungen aufzusetzen. Beide Seiten bleiben so unabhängig und kommen sich IP adresstechnisch nicht in die Quere.
Ein simples Standarddesign im VPN Umfeld wenns denn so gemeint ist wie du es schilderst...?!
Wer oder was mit dem IE bedient wird ist aber in der Tat unklar. Mal abgesehen davon das die Nutzung eines solch unsicherern und gefährlichern Browsers auch ein NoGo sein sollte.
Für die VPN Dienstleisteranforderung ist es eh vollkommen irrelevant.
aber ich weiss nicht wie ich das auf dem Netgear Router umsetzen kann...
Das ist dann aber natürlich kein Problem was wir hier im Forum lösen können sondern ein persönliches...?!Eigentlich sollte im NG Handbuch erklärt sein wie man Masquerading / NAT im Tunnel macht. Fast jeder VPN Router kann das.
Wenn der NG das nicht können sollte, dann hast du so oder so ein HW Problem und musst den Router tauschen !
Persönliche Probleme kläre ich bestimmt nicht in diesem Forum...
Wäre auch das ganz falsche Auditorium hier... Das mit der Outbound Rule klingt vielversprechend. Vermutlich muss der Dienstleiter ja eh nur auf einen Rechner und dann passt das ja !
Danach habe ich 2-3 Wochen Zeit für eine vernünftige Lösung...
Hoffentlich dann aber keine Gurke von NetGear mehr ?!Nimm was Anständiges wie Cisco 880/890er, Lancom oder Bintec, die können das. Ersterer ganz sicher und der Dienstleister wird das Fabrikat mit ziemlicher Sicherheit auch nutzen !