Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst OpenVPN - Einrichtungsprobleme

Mitglied: Henere

Henere (Level 3) - Jetzt verbinden

10.11.2018 um 03:38 Uhr, 3610 Aufrufe, 19 Kommentare

Servus zusammen,

ich mache meine ersten Gehversuche mit OpenVPN.

Ich bin nach der Anleitung hier vorgegangen:
https://www.mva.ch/support/tech-blog/techblog-openvpn/openvpn-unter-wind ...

Die Adressen dementsprechend angepasst.

Ich bekomme die Verbindung aufgebaut, kann aber nur vom OpenVPNServer aus den Client pingen. Aber mehr geht nicht.

OpenVPN 2.4.6.0 auf Server 2016
Client W10 1803

Anbindung:

Server:
www - Firewall mit Forwarding auf UDP 5000 - Hyper-V 2016 mit OpenVPN Server
www - ext-ip -192.168.0.252/24 (intern FW) - Server 192.168.0.25/24

Client:
www - irgendein Router - Win10 1803 (hier im Test 192.168.200.112/24

Ziel soll sein, dass das Notebook von außen durch den Tunnel an das komplette Netz 192.168.0.0/24 dran kommt.

Serverlogs:

Server.log ist leer, wird aber beim Dienststart erzeugt

Die Verbindung steht, ich kann den Client vom Server aus anpingen. Aber ich komme weder über 10.10.10.1 noch über die 192.168.0.25 an den Server vom Client aus irgendwie dran.
Firewalls sind auf beiden Seiten deaktiviert.

Kann mir jemand sagen, wo ich meinen Fehler gemacht habe, oder mir den Denkanstoß in die richtige Richtung geben ?

Danke und Grüße, Henere








Mitglied: dark.cube
10.11.2018 um 03:47 Uhr
Schon etwas spät, ich werf daher nur mal ein Stichwort: Routing.
Bitte warten ..
Mitglied: Henere
10.11.2018, aktualisiert um 04:06 Uhr
Zitat von dark.cube:

Schon etwas spät, ich werf daher nur mal ein Stichwort: Routing.

In der Richtung bin ich am suchen, aber ich finde den Fehler nicht.

Aber die Route ist beim Client mit der Einwahl gesetzt.

Henere
Bitte warten ..
Mitglied: Henere
10.11.2018, aktualisiert um 05:04 Uhr
Ok, ich habe auf dem OpenVPN-Server noch das LAN-Routing aktiviert.
Nun habe ich Zugriff auf den Server, Client to VPN-Server geht jetzt endlich.

Jetzt mal weiterbasteln. Entweder fehlt den anderen Rechnern im Netz 192.168.0.0/24 die Rückroute, oder ich hab noch nen anderen Fehler.
Hatte gehofft, der macht automatisch NAT ?

Brauche nur den Hinweis, muss ich an der Seite OpenVPN-Server weiter suchen (Routing und RAS, bzw NAT) oder an der Config des VPNs ?

Für Tipps bin ich gerne offen.
Henere
Bitte warten ..
Mitglied: Henere
10.11.2018 um 06:35 Uhr
Ok, wenn ich auf den Rechnern im 192.168.0.0/24 Netz die Rückrouten eintrage geht es.

Aber das ist nicht befriedigend. Sobald ich jedoch auf dem OVPN-Server das NAT aktiviere geht keine Kommunikation mehr.

Freu mich, nach dem ausschalfen evtl nen hilfreichen Tipp zu lesen.

Danke und schönes Wochenende.

Henere
Bitte warten ..
Mitglied: aqui
LÖSUNG 10.11.2018, aktualisiert 04.02.2020
Das ist immer wieder die gleiche Leier wenn man Winblows als Server verwendet.
Das Problem ist dort das die Netzwerk Autoerkennung auf dem virtuellen OpenVPN Adapter nicht funktioniert und dann dieser Adapter im Firewall Profil als öffentliches Netz deklariert wird und damit dann die Maximalfilter bekommt.
Traffic kann so nicht passieren.
Lösung: Den virtuellen OVPN Adapter als privates Netz im Firewall Setup deklarieren.

Zweites Problem bei Ping: Ebenfalls die Firewall. ICMP (Ping) ist per Default deaktiviert.
https://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen

Sind diese Grundhürden bei Winblows umschifft ist der Rest nicht mehr schwer.
Bei einem Client Dialin sind diese zusätzlichen statischen Routen oben natürlich Quatsch. Das zeigt eher das die Server Konfig Datei falsch oder fehlerhaft ist.
Das Push Route Kommando reicht dort. Bei LAN to LAN Verbindung muss sie ggf. addiert werden.
NAT in einem VPN zu aktivieren ist auch Unsinn, denn das sind interne Netze die man ja immer transparent routen kann. Das Aktivieren von NAT schafft eher Probleme, da damit ja logischerweise die NAT Firewall dann auf dem Tunneladapter aktiv ist und Routing dann zur Einbahnstrasse wird.
Ein grundsätzlicher Fehler der oft gemacht wird. NAT gehört AUS !

Ein weiterer Kardinalsfehler der bei internen OVPN Server gemacht wird ist die Nichtbeachtung des internen OVPN IP Netzes und das Routing dorthin !! Hier im Beispiel das Netzwerk 10.10.10.0 /24 !
Greift ein OVPN Client von remote via VPN auf einen Client im Netzwerk 192.168.0.0 /24 zu dann hat er als Absender IP eine Adresse aus dem 10er Netz z.B. 10.10.10.111.
Greift er damit auf einen Client zu mit der lokalen LAN IP 192.168.0.200 dann muss der ja die Antwort an ein fremdes IP Netz schicken, sprich das 10er OVPN Netz.
Dazu schickt er das Antwortpaket dann an seine konfigurierte Default Gateway IP im LAN. In der Regel ist das ein Router mit der IP 192.168.0.1 (Beispiel oben).
Der Router schaut nun in seiner Routing Tabelle nach ob er eine statische Route in das OVPN 10er Netz hat via lokaler LAN IP des OVPN Server Rechners.
Hat er sie, dann schickt er das IP Paket dahin und alles ist gut.
Hat er sie NICHT schickt er das IP Paket zu seiner Default Route an den Internet Provider wo sie dann im Nirwana verschwindet ! (Private RFC 1918 IPs, zu denen die 10er IP gehört, werden im Internet NICHT geroutet !)
Vermutlich ist das letztere hier wie leider so häufig der Fall
Fazit: Die statische Route im Internet Router fehlt !
So sähe es aus wenn man alles richtig macht !:

ovpnintern - Klicke auf das Bild, um es zu vergrößern

Bei Winblows kann man sich mit route print imm der Routing Tabelle ansehen um zu überprüfen das das IP Routing korrekt läuft. Diese Info fehlt leider auch mal wieder oben

Das Beispiel zeigt das es generell kontraproduktiv ist einen VPN Server intern zu betreiben. Man muss a. ein Loch in die Firewall bohren und ungeschützt Traffic von außen ins lokale LAN forwarden (Security). Und b. hat man die entsprechende Routing Probleme zu lösen.
Fazit: Wenn immer möglich gehört ein VPN Server auf die Peripherie, sprich also Router oder Firewall.

Weitere Fehler in der o.a. Server Konfig:

Noch besser: Den OVPN Server auf einem dedizierten System laufen lassen wie z.B. einem Raspberry Pi:
https://jankarres.de/2013/05/raspberry-pi-openvpn-vpn-server-installiere ...
Bitte warten ..
Mitglied: 129580
10.11.2018, aktualisiert um 10:00 Uhr
Moin,

(Private RFC 1019 IPs zu denen die 10er IP gehört werden im Internet NICHT geroutet !)

was sind denn RFC 1019 IPs? Laut Google bzw. IETF wäre das "Report of the Workshop on Environments for Computational Mathematics".
Du meintest wohl RFC 1918?

Viele Grüße
Exception
Bitte warten ..
Mitglied: aqui
10.11.2018, aktualisiert um 15:13 Uhr
Sorry, ja natürlich Private IPs, RFC 1918 sollte das natürlich heissen...
https://de.wikipedia.org/wiki/Private_IP-Adresse
Bitte warten ..
Mitglied: zeroblue2005
11.11.2018, aktualisiert um 10:55 Uhr
Hallo Zusammen,

ich bin jetzt heute Morgen auf das gleiche Problem wie Henere gestossen, dass zwar diverse IP erreicht werden können, aber eben nicht alle bzw. diverse Drucker nicht erreichbar sind. Wenn ich das Problem richtig verstanden habe, liegt es zum daran, dass eben der OpenVPN-Server hinter der NAT sitzt, zum zweiten das Win-Doof den VPN-Tunnel als nicht idetifizierbare-Netzwerk setzt und zum dritten ein Rückroute fehlt, richtig, vereinfacht gesagt?

Problem eins kann man ja so einfach nicht ändern. Setze ich mal als gegeben.

Problem zwei habe ich gelöst und das nicht idetifizierbare Netzwerk auf Client und Server Seite auf Privat gesetzt. Er findet nun alle IPs die ich anpingen will. Aber wenn ich über den Webbrowser auf die Web-GUI des Druckers will kommt da keine Verbindung oder nicht gefunden. Dies habe ich nicht über den DNS namen gemacht, sondern direkt über die IP. Drucker hat IP, Gateway und DNS Eintrag.

Bei Problem drei habe ich jetzt ein wenig ein Verständnisproblem, sorry.

Wenn ein Clientnetz aus z.B. einem 192.168.1.0/24 Netz kommt und das Ziel/VPN Netz 192.168.4.0/24 hat muss ich im Router des Ziel/VPN Netzes eine Rückroute auf das Clientnetz 192.168.1.0/24 setzen?

Wenn dem so ist, wäre das mal richtig sch... in meinem Fall, da die/der Benutzer in meinem Fall zwischen verschiedenen Netzen wechselt!

Danke...
Bitte warten ..
Mitglied: 129580
11.11.2018, aktualisiert um 11:47 Uhr
Hallo,

@zeroblue2005
Bitte am besten dein Problem im alten Thread von dir oder in einem neuen Thread posten, da dies ja der Thread von @Henere ist und man ansonsten nur in die Quere kommt, wenn hier verschiedene Probleme besprochen wird.

Ansonsten ist das relativ simple. Du hast ein Site-to-Site Tunnel mit folgenden Netzen:
Lokales Netz: 192.168.1.0/24
Remote Netz: 192.168.4.0/24
VPN Netz: 10.19.15.0/24

Beim lokalen Netz muss eine Route auf das Remote Netz geben. Als Gateway der VPN.
Umgekehrt muss beim Remote Netz die Route auf das lokale Netz gegeben sein, ansonsten ist ja keine Antwort möglich - logisch
Da es sich alles um private RFC 1918 IP Adressen handeln, brauchst du auch kein NAT.

Die Routen musst du jeweils beim Router der jeweiligen Seite einrichten, da der OpenVPN auf einer Windows Kiste im internen Netz steht.
Alle Clients haben ja ansonsten nur den Router als Gateway und bräuchten dann jeweils eine statische Route, was natürlich Unsinn ist.

Anschließend musst du noch Firewall Regeln (falls vorhanden) natürlich anpassen.
Danach sollte alles wie gewünscht funktionieren.

Viele Grüße,
Exception
Bitte warten ..
Mitglied: zeroblue2005
11.11.2018 um 11:53 Uhr
Alles Klar und sorry, dachte, dass das Thema hier besser passen würde, als in meinem Ursprungsthema... aber verstehe ich!

Danke versuche es umzusetzen...
Bitte warten ..
Mitglied: 129580
11.11.2018, aktualisiert um 12:08 Uhr
in meinem Fall, da die/der Benutzer in meinem Fall zwischen verschiedenen Netzen wechselt!

Dann bräuchtest du ein Remote Access VPN. Der OpenVPN Client wird direkt auf der Workstation des Benutzers installiert und eingerichtet.
Der Client erhält somit direkt eine IP-Adresse aus dem VPN Netz. Beim Router des Remote Netzwerks muss dann halt die Route für das VPN Netzwerks eingerichtet werden, damit der Rückweg funktioniert. Der Benutzer muss dann selbstständig den OpenVPN Client starten. Das kann aber auch automatisch über die Windows Dienste erfolgen.
Bitte warten ..
Mitglied: zeroblue2005
11.11.2018 um 12:14 Uhr
Du wirst jetzt vieleicht lachen, aber ich habe eine Krücke gefunden, wie das Routen für die Drucker funktioniert...

In meinem Fall läuft der OpenVpn-Server ja auf einen Windows-File Server auf basis von Win-10 Pro. Das Ziel war es diesen erreichbar zu machen. Das klappt auch. Das Problem war jetzt nur noch dass zwei Drucker auch erreichbar sein sollten. Tja und hier ging eben nichts durch an Druckaufträge, weil eben die Rückroute fehlt.

Also habe ich mir gedacht, wenn der File-Server ohne Probleme läuft bzw. erreichbar ist, macht er was richtig, was die Drucker eben falsch machen! Liegt wahrscheinlich daran, dass der OpenVPN-Server auf dem File-Server werkelt.

Also habe ich einfach, die beiden IP-Drucker auf dem File-Server eingerichtet und diese Freigegeben. Dann habe ich den VPN-Client gesagt, binde diesen Freigegeben Drucker auf dem File-Server in das VPN-Client System ein und siehe einer an, es klappt! Ich gehe einfach mal davon aus, dass vereinfacht gesagt die Kommunikation zwischen Client<<<>>>File-Server<<<>>>Drucker über den FileServer geroutet wird und wenn das klappt, dann kann ich mit der Krücke leben!
Bitte warten ..
Mitglied: Henere
11.11.2018 um 20:32 Uhr
Servus Aqui,

danke für den ausführlichen Kommentar.
Das mit dem MDNS stört mich nicht im geringsten, ich bestimme den Teil, der hinter dem Router läuft. Genauso wenig der TCP-Port.
Port 5000 schlägt auf der Zyxel auf und wird dann weiter an den OpenVPN-Server geleitet. Egal auf wie vielen Rechnern im Hintergrund noch ein Listenport 5000 offen ist.

Ich habe es mittlerweile komplett am Laufen, ich hatte nur den Denkfehler gemacht, dass ich von NAT ausging und nicht per Wireshark nachgeschaut hatte, von welchen Adressen denn die Anfragen kommen. Diese kommen mit meiner Config von dem vergebenen DHCP-10er Bereich.
Auf dem Zyxel hatte ich noch eine Route hinzugefügt, diese aber dann wieder verworfen. Die Rückroute wird nur auf den wenigen Rechnern angewendet, die auch tatsächlich über das VPN anprechbar sein sollen. Klar kann nun der gewiefte Hacker...... aber das ist alles ein Schritt Mehraufwand um da die Server zu kommen.

Ich habe jetzt das Angebot eines befreundeten Linuxgurus bekommen, dass wir das zusammen nochmal auf CentOS aufsetzen.
Dann auch gleich in der DMZ und mit einem Check (TA meinte ich gehört zu haben) zu versehen, dass der OpenVPN-Server erst antwortet, nachdem er ein spezielles Paket bekommen hat. Derzeit ist er von außen nur von 2 Quell-IPs zu erreichen, ist ja alles noch im Test und Ausbau.

So kann ich den auf Port TCP 443 laufen lassen (somit sollte Erreichbarkeit von 99% aller Internetcafes, HotSpots, Handynetze und sonstigen Quellen gewährleistet sein) und muss mir weniger Gedanken um Scriptkiddies machen. Der Webauftritt und der Mailer liegen eh extern. Und die Zyxel muss nicht per Web-Gui erreichbar sein von aussen.

Danke für die Unterstützung,

Henere
Bitte warten ..
Mitglied: aqui
12.11.2018 um 00:02 Uhr
eines befreundeten Linuxgurus bekommen,
Selber zum Linux Guru werden indem du dir mal einen Raspberry Pi kaufst, übst und es SELBER machst
Winblows Knechte hat die Welt ja schon mehr als genug...
https://www.administrator.de/wissen/netzwerk-management-server-raspberry ...
Bitte warten ..
Mitglied: Henere
12.11.2018 um 04:22 Uhr
Ich bezweifele, dass der RaPSi den VPN Durchsatz bei AES512 oder höher hinbekommt, oder denke ich da falsch ?
Mir geht es nicht um ein paar RDP-Pakete, sondern vollen Leitungsdurchsatz.
Das was der Typ auf dem Kasten hat, kann ich in 40 Jahren nicht mehr lernen. Leider hat er wenig Zeit.

Ich bekomme das mit Sicherheit auf auf einem Lunix hin, das ist nicht die Frage. Die Frage ist, ob ich noch an alles denken kann, was der jeden Tag beruflich anstellt. Tutorials für Anfänger zum nachtippen gibts genug. Aber ob das dann wirklich sicher ist ?
Ich denke jetz tnicht an Lücken in irgendwelchen Libraries sondern so einfache Sachen, wie dieses "Auth" vorher. Kann ich dein Paket entschlüsseln, so darfst Du es am eigentlichen OpenVPN-Server probieren. Daran würde ich nicht denken.

Es gibt Sachen, wenn Business ins Spiel kommt, die sollte einfach jemand machen, der das täglich macht.
Bei nem privaten Anschluss sind die Folgen nicht so kostspielig im Fehlerfall.

Henere
Bitte warten ..
Mitglied: aqui
12.11.2018 um 11:03 Uhr
oder denke ich da falsch ?
Da denkst du falsch, denn der ARM hat extra Silizium dafür !
Die Achillesferse beim RasPi ist die Anbindung des LAN Ports. Dessen Chip hängt am internen USB Hub und der begrenzt den Netzwerk Durchsatz. Nicht die Kryptologie.
https://jankarres.de/2016/03/raspberry-pi-3-performance-und-leistungsauf ...
Was ist den "Lunix" ??
Bitte warten ..
Mitglied: Henere
12.11.2018 um 13:31 Uhr
Eine Zusammenfassung von Linux, Unix, und anderem was darauf basiert.

Mag verlockend klingen, aber ... hmm... wie rede ich mich jetzt am Besten raus ? .... Eine VM hat den Vorteil, dass sie direkt in die Sicherung mit einfliessen kann. Sonst hab ich noch nen extra Schritt.

Aber danke für den Hinweis.

Grüße, Henere
Bitte warten ..
Mitglied: 129580
12.11.2018 um 14:59 Uhr
Moin,

Mag verlockend klingen, aber ... hmm... wie rede ich mich jetzt am Besten raus ? .... Eine VM hat den Vorteil, dass sie direkt in die Sicherung mit einfliessen kann. Sonst hab ich noch nen extra Schritt.

Was musst du bei dem Raspberry Pi großartig sichern außer der OpenVPN Konfiguration + Zertifikate?
Das kann man mit einem simplen Bash Script realisieren.

Außer der Pi wird neben den VPN noch für andere Zwecke verwendet.

Viele Grüße,
Exception
Bitte warten ..
Mitglied: Henere
13.11.2018 um 04:00 Uhr
Warum wollt ihr mich mit Gewalt zum Raspi bringen ?
Bitte warten ..
Ähnliche Inhalte
TK-Netze & Geräte
Xerox Worcentre 5632 Einrichtungsproblem
Frage von ir-systemlineTK-Netze & Geräte2 Kommentare

Guten Tag zusammen, suche Informationen zum Einrichten derMail- und Scanfunktin beim o. g. Gerät. Im Handbuch werden die Funktionen ...

Tipps & Tricks
OpenVPN Delegationen
Anleitung von agowa338Tipps & Tricks

Hallo, in dieser Anleitung möchte ich nur kurz erklären, wie man OpenVPN (unter Windows) am besten für Außendienst Mitarbeiter ...

Router & Routing
OpenVPN pfsense
gelöst Frage von sebastian2608Router & Routing5 Kommentare

Hallo Leute, mal eine Frage zu OpenVPN (via pfsense) Kann man zu einem OpenVPN Server auch mit dem "normalen" ...

Netzwerke
OpenVPN TLS
Frage von 121851Netzwerke4 Kommentare

Hallo zusammen, habe mir mir einen OpenVPN Server aufgesetzt und der funktioniert. Habe jetzt mal in die Logdatei gesehen ...

Neue Wissensbeiträge
iOS

iOS-Bug unterbindet vollständiges VPN-Tunneling

Information von transocean vor 1 TagiOS

Moin, seit dem letzten Update hat iOS für iPhone und iPad ein Problem mit der Verschlüsselung. Lest selbst. Grüße ...

Sicherheit
Corona Malware über manipulierte Router
Information von sabines vor 1 TagSicherheit

Heise berichtet über Malware, die in Zusammenhang zum Suchethema Corona steht und über DNS Einstellungen bei D-Link und Linksys ...

Windows 10
Windows 10 Update KB4535996 fehlerhaft
Information von Frank vor 1 TagWindows 101 Kommentar

Laut Microsoft ist das Update KB4535996 die Ursache für aktuelle Verbindungsprobleme bei Virtual Private Networks (VPNs). Microsoft arbeitet bereits ...

Administrator.de Feedback
Entwicklertagebuch: Der neue Ticker ist da
Information von admtech vor 1 TagAdministrator.de Feedback3 Kommentare

Hallo User, mit dem aktuellen Release haben wir den neuen "Ticker" zur Seite hinzugefügt. Oben im Hauptmenü findet ihr ...

Heiß diskutierte Inhalte
SAN, NAS, DAS
Hilfe bei der Einrichtung vom QNAP Nas Server
gelöst Frage von Chris.21SAN, NAS, DAS18 Kommentare

Hallo, ich benötige Hilfe bei der Einrichtung meines neuen NAS Servers von QNAP. ich möchte eine Verbindung vom Internet ...

KVM
Best Practice für Fileserver auf Proxmox Cluster
gelöst Frage von maichelmannKVM14 Kommentare

Hallo, derzeit laufen in einer Firma, dessen Netzwerk ich betreue, zwei Windows Server Hyper-V Hosts, jeweils mit einem recht ...

Drucker und Scanner
OCR Erkennung auf Server
Frage von KodaCHDrucker und Scanner14 Kommentare

Guten Morgen Bisher habe ich einen HP LaserJet Pro MFP M426fdw. Da es nicht viele Dokumente zum Scannen gibt ...

Router & Routing
Vigor 165 vs. Fritzbox 7590
Frage von servilianusRouter & Routing13 Kommentare

Liebe Fachleute, bisher betreibe ich folgende Konstellation Büro: 50.000er-Leitung VDSL Telekom -> Fritzbox 7590 Exposed Host -> Vigor Draytek ...