multitask
Goto Top

Netgear FVS338 - NAT VPN

Hallo,

Situation:

Netgear FVS338 in der Zentrale mit diversen VPN-Tunneln (IPSec) zu den Aussenstellen - funktioniert seit Jahren wunderbar.
Netgear FVS318 in der Geschäftsstelle (Aussenstelle), bisher mit fester IP und einer Verbindung zu einem Dienstleister für die Personalbuchhaltung und Lohnabrechnung. Dazu eine VPN-Verbindung zu dem Dienstleister. Das Programm wird über den IE bedient.
Technische Umstellung der Geschäftsstelle auf VDSL, daher Fritzbox mit S0-Schnittstelle für die TA vorgeschaltet. Dienstleister akzeptiert keine DynDNS-Adressen, daher Handlungsbedarf.

Lösungsansatz: VPN-Verbindung über den Router in der Zentrale (feste IP), Geschäftsstelle kann sich über den Terminalserver aufschalten. VPN-Verbindung einrichten, fertig.

Problem: Dienstleister stellt seine Router um und verlangt folgendes:

"Voraussetzungen für die VPN-Verbindung:

- Internet-Zugang mit statischer (fester) IP-Adresse vom Provider

- Unterstützung von NAT im VPN-Tunnel hinter der Firewall, wir schlagen 10.1.250.96/32 als NAT-Adresse auf Ihrer Seite vor."

Frage: wie richte ich das ein? Das Netz in der Zentrale ist ein 192.168.99.0/24. Wenn ich nun die vorgeschlagene Adresse als lokales Subnet eintrage, kommt die Verbindung zu Stande, aber da gehen ja keine Daten rüber, wenn das "echte" Netz ja ein anderes ist. Also NAT im VPN-Tunnel, aber wie?


Vielen Dank für Eure Antworten.

Content-ID: 314273

Url: https://administrator.de/forum/netgear-fvs338-nat-vpn-314273.html

Ausgedruckt am: 23.12.2024 um 19:12 Uhr

Vision2015
Vision2015 02.09.2016 um 21:34:07 Uhr
Goto Top
nabend..


Zitat von @Multitask:

Hallo,

Situation:

Netgear FVS338 in der Zentrale mit diversen VPN-Tunneln (IPSec) zu den Aussenstellen - funktioniert seit Jahren wunderbar.
Netgear FVS318 in der Geschäftsstelle (Aussenstelle), bisher mit fester IP und einer Verbindung zu einem Dienstleister für die Personalbuchhaltung und Lohnabrechnung. Dazu eine VPN-Verbindung zu dem Dienstleister. Das Programm wird über den IE bedient.
was wird über den IE bedient ... klar der Router.. du meinst sicher SSL VPN... oder ?
Technische Umstellung der Geschäftsstelle auf VDSL, daher Fritzbox mit S0-Schnittstelle für die TA vorgeschaltet. Dienstleister akzeptiert keine DynDNS-Adressen, daher Handlungsbedarf.

Lösungsansatz: VPN-Verbindung über den Router in der Zentrale (feste IP), Geschäftsstelle kann sich über den Terminalserver aufschalten. VPN-Verbindung einrichten, fertig.

Problem: Dienstleister stellt seine Router um und verlangt folgendes:

"Voraussetzungen für die VPN-Verbindung:

- Internet-Zugang mit statischer (fester) IP-Adresse vom Provider
würde ich auch so wollen.

- Unterstützung von NAT im VPN-Tunnel hinter der Firewall, wir schlagen 10.1.250.96/32 als NAT-Adresse auf Ihrer Seite vor."
du meinst sicher NAT Traversal... oder ?
und ich bin mir sicher das er NETBIOS im tunnel möchte.... oder ?

Frage: wie richte ich das ein? Das Netz in der Zentrale ist ein 192.168.99.0/24. Wenn ich nun die vorgeschlagene Adresse als lokales Subnet eintrage, kommt die Verbindung zu Stande, aber da gehen ja keine Daten rüber, wenn das "echte" Netz ja ein anderes ist. Also NAT im VPN-Tunnel, aber wie?


Vielen Dank für Eure Antworten.

Frank
aqui
Lösung aqui 02.09.2016 aktualisiert um 21:58:50 Uhr
Goto Top
Du musst nur einmal genau lesen was der Dienstleister will !!
Unterstützung von NAT im VPN-Tunnel hinter der Firewall, wir schlagen 10.1.250.96/32 als NAT-Adresse auf Ihrer Seite vor."
Der will doch nicht das du dein Subnetz änderst. Mal ganz davon abgesehen das das ja auch ziemlicher Blödsinn wäre, denn dann müsstest du zwangsweise dein ganzes lokales Netz umbauen was niemand will.
Er schreibt doch ganz deutlich das du outbound NAT im VPN Tunnel machen sollst !!
Er will also das im VPN Tunnel deine lokalen 192.168.99.x Adressen outgoing auf die 10.1.250.96/32 mit Port Address Translation geNATet werden.
Sprich also: alle deine lokalen 192.168.99.x Adressen tauchen bei ihm über den VPN Tunnel durch das outbound PAT mit der 10.1.250.96/32 als Absender IP auf.
Wenn der Dienstleister nur auf einen Host im lokalen LAN bei dir muss dann reicht das auch vollkommen wenn du das Tunnel NAT nur für diese eine .99.x Hostadresse machst. Ist auch sicherer sonst fummelt der Dienstleister wohlmöglich komplett in eurem lokalen Netz rum...ein NoGo.
Du musst also auf deinem VPN Router schlicht und einfach nur outbound NAT im Tunnel aktivieren auf diese IP und das wars.
Aus Sicht des Dienstleisters ist die Konfig verständlich und auch sinnvoll. Er kann seine entsprechende IP Kundenadressierung umsetzen ohne das er dich zwingen muss ein lokales IP Netzwerk nach seinen IP Adressierungsvorstellungen aufzusetzen. Beide Seiten bleiben so unabhängig und kommen sich IP adresstechnisch nicht in die Quere.
Ein simples Standarddesign im VPN Umfeld wenns denn so gemeint ist wie du es schilderst...?!

Wer oder was mit dem IE bedient wird ist aber in der Tat unklar. Mal abgesehen davon das die Nutzung eines solch unsicherern und gefährlichern Browsers auch ein NoGo sein sollte.
Für die VPN Dienstleisteranforderung ist es eh vollkommen irrelevant.
Multitask
Multitask 02.09.2016 um 22:11:24 Uhr
Goto Top
was wird über den IE bedient ... klar der Router.. du meinst sicher SSL VPN... oder ?

Nein, IPSec. Im IE läuft ein Plugin, mit dessen Hilfe auf das auf einem Server des Dienstleister laufendem Programm zugegriffen werden kann. Ich habe das vor Jahren einmal eingerichtet und kann es daher nicht mehr genauer sagen.

du meinst sicher NAT Traversal... oder ?
und ich bin mir sicher das er NETBIOS im tunnel möchte.... oder ?

Von Netbios im Tunnel war keine Rede. Wenn Du mir sagst, was NAT Traversal ist...

Gruß,

Mathias
Multitask
Multitask 02.09.2016 um 22:18:01 Uhr
Goto Top
Du musst nur einmal genau lesen was der Dienstleister will !!

Das habe ich..., aber ich weiss nicht wie ich das auf dem Netgear Router umsetzen kann...

Der will doch nicht das du dein Subnetz änderst. Mal ganz davon abgesehen das das ja auch ziemlicher Blödsinn wäre, denn dann müsstest du zwangsweise dein ganzes lokales Netz umbauen was niemand will.

Die Idee, das zu tun, ist mir noch nichteinmal gekoemmen, da hätte ich ja eine Woche mindestens nix anderes zu tun...

Er schreibt doch ganz deutlich das du outbound NAT im VPN Tunnel machen sollst !!

Wie geht das und kann das der Netgear FVS338?

Wer oder was mit dem IE bedient wird ist aber in der Tat unklar. Mal abgesehen davon das die Nutzung eines solch unsicherern und gefährlichern Browsers auch ein NoGo sein sollte.

Sehe ich ähnlich, ist aber so.


Gruß,

Mathias
aqui
aqui 03.09.2016 um 13:25:03 Uhr
Goto Top
aber ich weiss nicht wie ich das auf dem Netgear Router umsetzen kann...
Das ist dann aber natürlich kein Problem was wir hier im Forum lösen können sondern ein persönliches...?!
Eigentlich sollte im NG Handbuch erklärt sein wie man Masquerading / NAT im Tunnel macht. Fast jeder VPN Router kann das.
Wenn der NG das nicht können sollte, dann hast du so oder so ein HW Problem und musst den Router tauschen !
Multitask
Multitask 03.09.2016 um 17:11:51 Uhr
Goto Top
Zitat von @aqui:

aber ich weiss nicht wie ich das auf dem Netgear Router umsetzen kann...

Das ist dann aber natürlich kein Problem was wir hier im Forum lösen können sondern ein persönliches...?!
Eigentlich sollte im NG Handbuch erklärt sein wie man Masquerading / NAT im Tunnel macht. Fast jeder VPN Router kann das.
Wenn der NG das nicht können sollte, dann hast du so oder so ein HW Problem und musst den Router tauschen !

Persönliche Probleme kläre ich bestimmt nicht in diesem Forum... face-wink

Nach reichlich Recherche sieht es so aus, als könne der NG FVS338 kein NAT im Tunnel. Ich kann aber einen dedizierten Rechner nehmen und im NG eine Outbound-Rule einrichten, die seine IP-Adresse durch eine andere ersetzt (NAT-IP, die ich aber nur fürs WAN komplett ersetzen kann). Habe das gerade mit 2 NG-Routern probiert. Das scheint zu gehen. Ist sicherlich keine dauerhafte Lösung, aber spätestens Dienstag muss das irgendwie erstmal laufen. Danach habe ich 2-3 Wochen Zeit für eine vernünftige Lösung...
aqui
aqui 03.09.2016 um 18:10:26 Uhr
Goto Top
Persönliche Probleme kläre ich bestimmt nicht in diesem Forum...
Wäre auch das ganz falsche Auditorium hier... face-big-smile

Das mit der Outbound Rule klingt vielversprechend. Vermutlich muss der Dienstleiter ja eh nur auf einen Rechner und dann passt das ja !
Danach habe ich 2-3 Wochen Zeit für eine vernünftige Lösung...
Hoffentlich dann aber keine Gurke von NetGear mehr ?!
Nimm was Anständiges wie Cisco 880/890er, Lancom oder Bintec, die können das. Ersterer ganz sicher und der Dienstleister wird das Fabrikat mit ziemlicher Sicherheit auch nutzen !
Multitask
Multitask 03.09.2016 um 21:02:57 Uhr
Goto Top
Zitat von @aqui:

Das mit der Outbound Rule klingt vielversprechend. Vermutlich muss der Dienstleiter ja eh nur auf einen Rechner und dann passt das ja !

Der Kunde muss auf den Server des Dienstleisters...s.o....Anyway...ich kann den Support des Rechenzentrums erst Mo wieder erreichen..., schaun wir mal...

Hoffentlich dann aber keine Gurke von NetGear mehr ?!
Nimm was Anständiges wie Cisco 880/890er, Lancom oder Bintec, die können das. Ersterer ganz sicher und der Dienstleister wird das Fabrikat mit ziemlicher Sicherheit auch nutzen !

Ich benutze bei vielen meiner Kunden seit 10 Jahren und mehr die Gurken...wenn Du einfach 2 Netze verbinden willst, funktionieren die gut und zuverlässig. Natürlich können die einige Sachen nicht, der Support ist gruselig, die Doku Schrott, ist ja SOHO, aber wenn Du, wie ich, überwiegend Kunden aus dem Non-Profit-Bereich hast, wo 100 Eus viel Geld sind, dann greifst Du gerne auf die zurück.

Vielen Dank für Deine Hilfe! Ich markiere mal den ersten Beitrag.
aqui
aqui 04.09.2016 um 11:17:26 Uhr
Goto Top
dann greifst Du gerne auf die zurück.
Das ist wie immer Ansichtssache. Es gibt andere SOHO Hersteller die das weitaus besser können aber egal. Bei Banalnetzen mit wenig Anforderungen hast du vermutlich recht. Aber du siehst am Beispiel oben wo dann schnell die gravierenden Nachteile auftreten.