Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst S2S VPN Zyxel-Fritte-Zyxel

Mitglied: Henere

Henere (Level 3) - Jetzt verbinden

28.07.2018 um 03:35 Uhr, 1237 Aufrufe, 21 Kommentare

Servus,

ich möchte gerne ein VPN ändern.
Derzeit S2S-VPN zwischen Zyxel USG60W und Fritte 7490.
Da die Fritte dank SOC recht lahm ist, wenn gute Verschlüsselung gefahren wird, würde ich gerne auf der "Gegenseite" statt VPN-GW Fritte eine USG50 einsetzen (liegt hier noch rum).

Derzeit: Netz A -USG60W - Internet - Fritte - Netz B
Geplant: Netz A- USG60W - Internet - Fritte - USG50 UND Netz B.
Netz B und USG50 sollen im gleichen Segment liegen. Ich würde die USG50 gerne als reines VPN-Gateway nutzen.

Netz A: 192.168.0.0/24
Netz B: 192.168.200.0/24

Auf den Hosts in Netz B die Zugriff auf Netz A benötigen würde ich dann eine Route über die USG einrichten. Und umgekehrt.

Doch wie bringe ich die USG50 nun dazu als Bridge bzw VPN-GW zu arbeiten ? Würde sie am liebsten mit nur einem Bein in dem 200.0/24er Netz haben.

Kann mir jemand den richtigen Denkanstoß geben ?

Henere
Mitglied: sk
28.07.2018 um 09:56 Uhr
Was hindert Dich, die FB als reines Modem zu betreiben?
Bitte warten ..
Mitglied: Henere
28.07.2018 um 12:04 Uhr
Die ganze Telefonie die dran hängt.
Bitte warten ..
Mitglied: Pjordorf
28.07.2018 um 12:26 Uhr
Hallo,

Zitat von Henere:
Die ganze Telefonie die dran hängt.
Dann entweder eine Routerkaskade und deine USG50 mit 2 Beinen nutzen, eine Bein zur Fritte und das andere in dein LAN und in der Fritte einen exposed Host einstellen, nur dran denken der Fritte vorher das nutzen von VPN zu unterdrücken (vorher alles was mit VPN zu tun hat ausschalten bzw alle Einstellungen entfernen und eine Werksreset machen, und danach per Hand neu Konfigurieren - kein Backup nutzen) oder deine USG50 mit nur einen Bein (LAN) als VPN Server nutzen und die benötigten Ports dorthin leiten (oder als exposed Host) und Routen festlegen bzw. Einrichten. Bei Routerkaskade kann deine usg50 gar als Standardgateway bleiben und dein LAN erfährt keine Änderung (nur die MAC deines Standardgateways ändert sich bei den Clients, natürlich muss sich die LAN IP an der Fritte ändern...

Gruß,
Peter
Bitte warten ..
Mitglied: Henere
28.07.2018 um 12:34 Uhr
Moin,

Als Kaskade wäre kein Problem. Technisch. Ich habe mir die 1-Bein-im-Lan Lösung ausgesucht und würde das mit der USG gerne machen. Ich finde aber nichts, wie ich die dann anschliessen muss (WAN oder LAN-Port) und wie ich ihr das beibringe, dass sie eben nur VPN-GW ist und alles was an WAN oder LAN reinkommt mit Zielrichtung VPN diese Pakete eben hübsch verpackt und auf die Reise schickt.

Exposed Host geht nicht, es werden noch weitere Portweiterleitungen genutzt.

Grüße, Henere ... der jetzt die Tastatur mit seinem Pool tauscht.
Bitte warten ..
Mitglied: Pjordorf
28.07.2018 um 12:59 Uhr
Hallo,

Zitat von Henere:
Ich habe mir die 1-Bein-im-Lan Lösung ausgesucht und würde das mit der USG gerne machen. Ich finde aber nichts, wie ich die dann anschliessen muss (WAN oder LAN-Port)
Einmal nachdenken bitte. Evtl. kann die auch gar nicht VPN wenn die keine 2 NICs verwendet (Zyxell kann es dir sagen)

und wie ich ihr das beibringe,
Routing in dein LAN (aber bedenke die einschränkungen der Fritte)

Exposed Host geht nicht, es werden noch weitere Portweiterleitungen genutzt.
Wichtig ist das deine Fritte absolut Nichts mit VPN sich an Land zieht, sonst klappt auch ein Portforwarding nicht, auch das die benötigten Protokolle nicht weitergeleitet werden ist nicht selten.

Wenn es Wasserdicht sein soll, machst du eine Routerkaskade.

Gruß,
Peter
Bitte warten ..
Mitglied: Henere
30.07.2018 um 02:59 Uhr
Also... ich habe jetzt umgestrickt.

Vorher: VPN Zyxel USG60W - Internet -Fritte - Clients
Jetzt: Internet - Fritte - Zyxel USG50 - Clients.

Ich habe aus der config der USG60W die EInstellungen was VPN betrifft 1:1 kopiert, dabei allerdings die Netze angepasst.
Auf der Fritte, die interne IP geändert, ein 10.0.0.0/24 Transfernetz geschaffen. Die USG50 hat nun die IP, die die Fritte vorher hatte.
Regelwerk ist angepasst. Alle Clients funktionieren. Auch das WLAN, was nun im Transfernetz liegt und die Fritte als DHCP hat.
Route auf der Fritte ins angelegt. Soweit geht erstmal alles. Bis auf das VPN.
Und meine 1750E die vorher als AP am Kabel hingen, muss ich auch anders verkabeln, die sollten mit der Fritte wieder MESH spielen können.
Leider kann die Fritte (und die Repeater) kein VLAN. Muss schauen, wie ich die dazu bringe wieder zu funktionieren.

Das Logging der Fritte (nicht existent) und das der USG sind stark verbesserungswürdig, wenn man Checkpoint gewöhnt war.....

VPN: Auf der Fritte habe ich:
GRE, UDP 500 und 4500 sowie ESP auf die Zyxel per Portfreigabe weiter geleitet. Alle Hinweise auf VPN sind entfernt. Wie auch der MyFritz-Account. Dennoch fehlt da was

Grüße, Henere
Bitte warten ..
Mitglied: Pjordorf
30.07.2018 um 08:24 Uhr
Hallo,

Zitat von Henere:
Route auf der Fritte ins angelegt.
Wohin? Ins LAN? Das ist blödsinn.

Soweit geht erstmal alles. Bis auf das VPN.
Dann ist dein Portforwarding nicht korrekt.

Und meine 1750E die vorher als AP am Kabel hingen, muss ich auch anders verkabeln, die sollten mit der Fritte wieder MESH spielen können.
Von MESH hast du vorher aber nichts gesagt.

Leider kann die Fritte (und die Repeater) kein VLAN. Muss schauen, wie ich die dazu bringe wieder zu funktionieren.
Warum wid da VLAN gebraucht?

Das Logging der Fritte (nicht existent)
Doch

GRE, UDP 500 und 4500 sowie ESP
Was für ein VPN soll das denn sein? GRE gehört zum PPTP, aber der Port 1723 TCP fehlt ganz. Und so geht es weiter. Du hast nie gesagt welches VPN du nutzen willst.

Dennoch fehlt da was
Lies nach welche Ports dein VPN braucht.

Gruß,
Peter
Bitte warten ..
Mitglied: Henere
30.07.2018 um 15:12 Uhr
Ich versuche es mal deutlicher zu beschreiben.

Vorher:

Netz A (192.168.0.0/24) - Zyxel USG60W - Internet 200MBit/s Symmetrisch
Netz B (192.168.200.0/24) - Fritte 7490 - Internet VDSL 100/40

Es ist zwischen A und B ein S2S-IPSEC-VPN. Zugriff aus beiden Richtungen geht problemlos, allerdings ist der VPN-Durchsatz sehr gering (liegt wohl am SOC der Fritte).

Netz B sieht so aus:
Fritte - 8-port Switch Netgear (nicht managebar) - 2 PCs, MFC-Gerät.
An einem Port hängt der Uplink zu meinem Switch HP1920. An diesem hängen dann Server, KinderPCs, NAS, 2x 1750E Repeater als "Lan-Brücke" fürs MESH von AVM.

Ich muss aus Netz B per SMB auf Server in Netz A zugreifen.

Nachher:
Netz B (192.168.200.0/24) - USG50 (Transfernetz 10.0.0.0/24) - Fritte 7490 - Internet VDSL 100/40
Das VPN soll dann auch auf der USG terminieren.
Jedoch brauche ich noch ein NAS um Server aus Netz A noch auf einem weiteren NAS in Netz B (lieber C um die Daten von meinen Kindern fern zu halten) zu sichern.
Jetzt könnte ich die USG einfach ins Netz B hängen und das NAS hintendran in Netz C. Dafür war dann die statische Route auf der Fritte, sonst hätte ja kein Internet für die Clients funktioniert, da die USG in meiner Config kein NAT macht. Ist auch nicht erwünscht, da in Netz B hinter einem Dyn-DNS noch ein Postfix und ein Exchange laufen, die von aussen erreichbar sein müssen. Postbased Nat hab ich wenig Lust zu.

Wenn ich die Variante mit Netz C nehme.... wie bringe ich dann die Clients aus Netz B dazu, per VPN auf Netz A zuzugreifen ?

TCP1732 ... ja klar danke... der hat noch gefehlt. Hatte ich heute Nacht nicht mehr gefunden. Auf was für Seiten ich da unterwegs war, will ich gar nicht wissen. Mich wurmt es, das hab ich vor 15 Jahren mal alles auswendig gekonnt.
IPSECVPN:
UDP 500 und 4500
TCP: 1732

Mehr sollte ich nicht brauchen.

Wo hat denn die Fritte ein Log ? Das was sie unter System ausspuckt ist nicht zu gebrauchen.

Grüße, Henere

Notiz für mich: Man sollte an einem 1750E im Mesh nicht, wenn er verbunden ist, die IP-Adresse ändern.... Die beiden 1750E haben mein Netz heute Nacht zum stehen gebracht. Selbst nur über den Netgear ging nichts mehr. Nachdem dann alles runtergefahren war, und die Fritte vom Netz war, konnte ich wieder "Netzwerken". Musste beide 1750E zurück auf Werksreset bringen und neu einbinden. Hat mich reichlich Zeit gekostet, auf dem Weg zurück zu "vorher".
Bitte warten ..
Mitglied: Pjordorf
30.07.2018 um 16:22 Uhr
Hallo,

Zitat von Henere:
Ich versuche es mal deutlicher zu beschreiben.
Mach lieber dochj eine Zeichnung mit allen IPs usw. Das ist besser und Verständlicher.

TCP1732 ... ja klar danke
Ja ne, du meinst sicherlich TCP 1723

TCP: 1732
Weder dieser noch ein TCP 1723 hat was mit IPSec zu tun
https://www.itprotoday.com/security/q-what-firewall-ports-should-we-open ...
https://community.cisco.com/t5/vpn-and-anyconnect/how-to-allow-port-50-5 ...

Wo hat denn die Fritte ein Log ? Das was sie unter System ausspuckt ist nicht zu gebrauchen.
Es ist aber ein Log und das gliedert sich in System, Internetverbindung, Telefonie, WLAN und USB Geräte. Es gibt schon Gründe warum dies ein Home Router ist...

Notiz für mich: Man sollte an einem 1750E im Mesh nicht, wenn er verbunden ist, die IP-Adresse ändern....
Warum weisst du nun auch

Gruß,
Peter
Bitte warten ..
Mitglied: Henere
30.07.2018, aktualisiert um 18:31 Uhr
Servus Peter,

danke für die Mühe die ich Dir machen darf.

Ich habe es mal versucht zu zeichnen:

Jetztzustand:

jetzt - Klicke auf das Bild, um es zu vergrößern

Variante 1 mit allem im VPN aber die USG50 als VPN-Endpunkt.

alles im vpn - Klicke auf das Bild, um es zu vergrößern

Variante 2 nur das NAS im VPN mit dem Problem, ich brauche noch einen Weg für mindestens 2 Hosts im Netz 192.168.200.0 die auch per VPN auf Netz A zugreifen können.

nur nas im vpn - Klicke auf das Bild, um es zu vergrößern

Hoffe, das ist so erkennbar ?

Also, 500 UDP per Portweiterleitung auf die USG, das hatte ich ja heute Nacht schon.
ESP ist auch kein Thema... aber wie bekomme ich AH durch die Fritte ? Protokoll 51 kann ich nicht auswählen

fritz protokolle - Klicke auf das Bild, um es zu vergrößern

Grüße, Henner
Bitte warten ..
Mitglied: Henere
31.07.2018 um 14:36 Uhr
Ist es möglich von 1er IP (mehrere PCs hinter Fritte) 2 oder mehr IPSec-Verbindungen auf die gleiche Ziel-IP zu machen ?

Dann würde ich das NAS wie in Variante 2 einsetzen, und für die beiden PC die VPN zu Netz A brauchen dann jeweils den Zyxel-VPN-Client installieren.

Wenn ich so nen Client auch für ein QNAP finden könnte, dann wäre es perfekt, dann kann ich das VPN auf der Fritte deaktivieren und nur noch mit den Clients arbeiten. Dann wird die Verbindung halt nur von einer Seite aufgebaut, aber ich erspare mir das Gefrickel mit der Fritte und sollte so mehr Durchsatz haben.

Grüße, Henere
Bitte warten ..
Mitglied: Henere
08.08.2018 um 01:32 Uhr
So hat sich erledigt Läuft.
Ich reiche derzeit an die USG durch:

500 UDP
4500 UDP
ESP
10000 TCP

Damit kann ich den S2S Tunnel durch die Fritte aufbauen.

Erkenntnisse:
- Mit dem fast-RC des 6.98er FritzOS ist es nicht mehr nötig VPN Verbindungen zu löschen. Einfach den Haken raus und die Ports weiterleiten und gut ist.
- Selbst wenn man einen Host als "Exposed" setzt... kann man dennoch andere Ports auf andere PCs umbiegen. Somit kann ich mein Mailer und OWA sowie die USG hinter der 7490 betreiben. Exposed muss nicht mehr sein, oben genannte Ports reichen aus.

Henere
Bitte warten ..
Mitglied: sk
08.08.2018 um 12:10 Uhr
Mich würde interessieren, wie die USG50 hier performt - sowohl hinsichlich IPSec als auch dem allgemeinen Durchsatz.
Schließlich ist die USG50 schon reichlich alt und wird seit einiger Zeit weder vertrieben noch mit Firmwareupdastes versorgt.

Gruß
sk
Bitte warten ..
Mitglied: Henere
08.08.2018 um 15:40 Uhr
AES256 SHA1 DH2 ... 2-2.5MB/s im Download
AES128 SHA1 DH2 ...7.5MB/s im Download

Zwischen USG60W und USG50
Bitte warten ..
Mitglied: sk
08.08.2018 um 16:18 Uhr
Zitat von Henere:

AES256 SHA1 DH2 ... 2-2.5MB/s im Download
Zwischen USG60W und USG50

also bei AES256 die gleichen Ergebnisse wie mit der Fritzbox?
Siehe https://www.administrator.de/forum/vpn-performance-zyxel-fritte-361608.h ...

Demnach lag der Flaschenhals gar nicht bei der FB...
Bitte warten ..
Mitglied: Henere
08.08.2018 um 16:39 Uhr
Wenn ihc Bock habe, switche ich das nochmal auf die Fritte um und geh mal mit AES runter.
3DES will ich nicht mehr fahren.

Habe jetzt über 12h Laufzeit im Durchschnitt immer 7-7,5MB/s gehabt.... dazu dauernd Alertmails der USG50 ..... CPU Load over 90%
Bitte warten ..
Mitglied: sk
08.08.2018, aktualisiert um 16:47 Uhr
Falls aktiviert, schalte auf der USG50 auch mal ADP und BWM aus.
Auch Bridgekonfigurationen gehen voll auf die CPU...

Gruß
sk
Bitte warten ..
Mitglied: Henere
08.08.2018 um 16:59 Uhr
Die USG50 ist so alt, das bekomme ich nicht mal mehr lizensiert

Danke aber dennoch für den Hinweis.

Henere
Bitte warten ..
Mitglied: sk
08.08.2018, aktualisiert um 17:27 Uhr
ADP (Traffic and Protocol Anomalies Detection and Prevention) sowie BWM (Bandbreitenmanagement) sind kostenlos bzw. nicht lizenzgebunden und je nach Firmwarestand per Default eingeschaltet.

Je nach Firmwarestand (2.20 vs. 3.x) funktioniert sogar Applikation Patrol (also die applikationsbasierte Traffic-Regulierung) noch weiter, obwohl die dafür genutzten Pattern des lizenzpflichtigen IDP-Systems (Intrusion Detection and Prevention) mangels Lizenz nicht mehr aktualisiert werden. Die Pattern sind dann zwar veraltet, aber grundsätzlich funktioniert App-Patrol dennoch (und senkt den Durchsatz merklich).

Gruß
sk
Bitte warten ..
Mitglied: Henere
08.08.2018 um 17:48 Uhr
Ah ok. Danke. Wusste ich auch noch nicht.
Jedenfalls ist m.W. nach alles abgeschaltet bzw nach Reset to Factorydafault nicht wieder aktiviert.

Grüße, Henere
Bitte warten ..
Mitglied: Henere
09.08.2018 um 01:39 Uhr
Noch ein Nachtrag.. wenn es interessiert.

Nehme ich die Zyxel - Fritte mit AES128 so komme ich dennoch nicht über 2,5MB/s Durchsatz im Download.

Warum auch immer.
Bitte warten ..
Ähnliche Inhalte
Monitoring
VPN Performance Zyxel-Fritte
gelöst Frage von HenereMonitoring14 Kommentare

Servus, nachdem ihr mir ja schon so gut helfen konntet, was das VPN zwischen Zyxel USG60W und Fritte 7490 ...

Router & Routing
VPN ZYXEL USG 310 Netzwerkzugriff
gelöst Frage von Ernst3Router & Routing5 Kommentare

Hallo, wir haben eine ZYXEL USG 310 in Betrieb genommen. Ich bin sehr zufrieden damit. Über die Windows Client ...

Router & Routing
Mobiler VPN Client (Zyxel P1)
Frage von fastfloRouter & Routing2 Kommentare

Hallo zusammen, brauche euer Schwarmwissen/Erfahrung/Tipps. Hab eine Zyxel USG200 am laufen. Aussendienstmitarbeiter bekommen VPN Zugriff was auch super funktioniert. ...

Router & Routing
Site2Site VPN - Routing Sonicwall, Zyxel
Frage von KMUlifeRouter & Routing8 Kommentare

Hallo zusammen Ich steh momentan auf dem Schlauch und wäre froh um eure Hilfe! Über die Produkte könnt ihr ...

Neue Wissensbeiträge
Microsoft
PowerShell script für LAPS
Information von kgborn vor 1 TagMicrosoft5 Kommentare

Kurzer Hinweis für Admins im AD-Umfeld. Ich bin die Tage auf das PowerShell Script der Woche “Local Administrator Password ...

Windows 10
Windows 10 bis Version 1803 und das Zwangs-Upgrade
Information von kgborn vor 1 TagWindows 101 Kommentar

Ich denke, die meisten Admins hier werden Systeme mit Windows 10 Enterprise einsetzen und Updates per WSUS/SCCM oder ähnlichem ...

Microsoft Office
BSI-Empfehlungen für die Office-Konfiguration
Information von kgborn vor 1 TagMicrosoft Office

Kurze Information für Admins, die Office verwalten. Das BSI hat einige Regeln für die Absicherung von Office-Konfigurationen veröffentlicht. Ich ...

Windows 10

Sandy-Bridge plus Nvidia plus Win10 1903 braucht Hotfix

Information von DerWoWusste vor 6 TagenWindows 101 Kommentar

Es gibt ein Problem in der seltenen Konstellation Nvidia-Grafikkarte/Sandy-Bridge-CPU/Win10v1903: die von Nvidia vorgeschlagenen Treiber lassen sich nicht installieren. verlinkt ...

Heiß diskutierte Inhalte
Windows 10
Windows 10 Logonskript greift nicht
Frage von xbast1xWindows 1019 Kommentare

Hallo zusammen, da sich die per GPO gemappten Laufwerke bei allen Usern schließen und das Problem sich nicht lösen ...

SAN, NAS, DAS
SFP+ 10GB Module kompatibel?
Frage von get--4SAN, NAS, DAS18 Kommentare

Grüße euch alle, ich bin in mehreren Schulen für die EDV verantwortlich. In einer Schule haben wir eine SAN ...

Entwicklung
Welche Programmiersprache ist das?
Frage von DschingisEntwicklung17 Kommentare

Hallo zusammen, unser ERP-System ermöglicht es, eigene Ansichten zu bearbeiten. Ich würde mich hier gerne weiterbilden. Kann mir jamand ...

Batch & Shell
Powershell Skript für Reg Datei ändern
gelöst Frage von SoccerdeluxBatch & Shell16 Kommentare

Hallo zusammen, ich muss auf einem Windows 10 Pc ein Skript ausführen lassen was sich alle 5 Minuten wiederholt. ...