54360
Goto Top

Vigo2200 Konfiguration VPN für Anfänger

Hallo!

Hier mein Anliegen:
Habe gerade ein Programm für eine Firma fertiggestellt. Das Programm greift natürlich auf eine Datenbank zu, die auf dem firmeninternen Server liegt.

Der Server hat NT 4.0 und Internet läuft über einen Draytek Vigor 2200...

Ich will bewerkstelligen, dass man von einem externen Computer, auf diese Datenbank zugreifen kann (meiner Meinung nach am geeignetesten VPN)

Kann mir irgendjemand bei der Konfiguration meines Vigors helfen? Sollte das Problem noch heute lösen....
Die Anwendungsbeispiele auf Draytek.com haben mir nicht wirklich weitergeholfen, da ich die Einstellungen schon getroffen haben...
Also einen externen Benutzer anlegen...

Habe auch schon gelesen, dass man Ports freischalten muss, aber ehrlich gesagt habe ich keine Ahnung welche Ports und wie ich das genau mache, bin ein blutiger Anfänger....

Irgendwo habe ich gehört, dass man bei dem Internetanbieter auch Ports freischalten lassen muss...

Hoffe, dass mir jemand helfen kann.
mfg
budi1602

Content-ID: 69513

Url: https://administrator.de/contentid/69513

Ausgedruckt am: 22.11.2024 um 14:11 Uhr

aqui
aqui 26.09.2007 um 12:43:54 Uhr
Goto Top
Die Konfig ist ganz einfach ! Hier wirst du fündig:

http://www.draytek.de/Beispiele/VPN/XP-Vigor-PPTP.pdf
oder hier:
http://www.draytek.com/support/support_note/router/application/vpn_solu ...

Hättst du auch (fast) selber drauf kommen können mit Hilfe von Dr. Google face-wink

Weitere VPN Konfig Beispiele findest du hier:
http://www.draytek.de/Beispiele.htm

Funktioniert fehlerlos mit dem normalen Windows PPTP VPN Client und ist im Handumdrehen eingerichtet auf dem Vigor.
Du solltest dir ggf. einen kostenfreien DynDNS Account zulegen sofern du keine feste IP für deinen DSL Router vom Provider bekommst, denn die Ziel IP des VPN Clients ist immer die DSL Adresse des Routers. Da die sich durch PPPoE permanent ändert müsstest du die für einen VPN Zugang immer mühsam herausbekommen.
Ein dynamischer DNS Account befreit dich davon. Wie gesagt, das gilt nur wenn du keine feste IP zugeordnet bekommst.

Da du die VPN Terminierung direkt auf dem Router machst, was technisch auch immer der beste Weg ist, musst du keinerlei Ports freischalten. Weder bei dir noch beim Provider !
54360
54360 26.09.2007 um 15:43:03 Uhr
Goto Top
Mhm die Einstellungen hab ich eigentlich genau so gemacht. Hab diese Beispiele auch gefunden.
Muss zuhause noch einmal überprüfen, was für eine Fehlermeldung ich bekomme.

Das komische ist, dass wenn ich zuhause den die fixe (internet) IP des Netzwerkes pinge, bekomme ich keine antwort....

melde mich, wenn ich das ganze zuhause noch einmal getestet habe....
vielen dank
mfg
budi160
aqui
aqui 26.09.2007 um 15:49:43 Uhr
Goto Top
Das darfst du auch niemals machen, denn die fixe Netzwerkadresse des LAN Interfaces ist im Internet gar nicht bekannt !!!
Wie du ja sicher weisst macht der Router NAT (Adress Translation) ins DSL Netz und setzt das komplette interne Netzwerk auf die öffentliche IP Adresse des Providers um, die am DSL Port ist !
Diese, und nur diese, IP Adresse ist relevant für deine Verbindung von außen !
Genau DIE musst du auch angeben im VPN Client niemals die LAN Netzadresse, denn die ist im Internet gar nicht bekannt.
Schlimmer noch...das sind immer RFC 1918 Adressen (private-IP-Adressen) die im Internet gar nicht geroutet werden, beim Provider also gleich weggeschmissen werden !!! Die erreichen zu wollen ohne VPN ist also deshalb aussichtslos !

Deshalb auch der Tip mit DynDNS !!! Welche Adresse dein Router am DSL Port hast kannst du sehen wenn du mit einem Gerät dahinter mal auf www.wieistmeineip.de surfst !
54360
54360 26.09.2007 um 19:39:00 Uhr
Goto Top
Habe bei der Telekom eine fixe IP beantragt...

www.whatismyip.com --> immer dieselbe....

sollte ich die nicht pingen können?
ghofmann
ghofmann 27.09.2007 um 00:09:47 Uhr
Goto Top
Nicht unbedingt, denn viele Router blockieren den ping auf die öffentliche IP-Adresse aus Sicherheitsgründen. Das ist inzwischen eher Regel als Ausnahme und meines Wissen auch bei den Vigors die Default-Einstellung. Kann man aber sicherlich an irgendeiner Stelle ändern, und Du wirst sehen, dann geht auch der Ping.

Ansonsten kann ich aqui nur zustimmen. Hab selber diverse Vigors als PPTP-Endpunkt im Einsatz und gemäß den HowTos auf den Draytek-Web-Seiten klappt das eigentlich immer ganz gut.

Gruß
Gerhard
54360
54360 27.09.2007 um 07:42:24 Uhr
Goto Top
Mhm vielen Dank, das lässt mich wieder hoffen...
Auf welchen Port läuft der Ping? Es sind nämlich drei Ports gesperrt: 137,139 und 53?

Es gibt bei dem Menüpung VPN und externe Einwahl den Punkt "PPP Einstellungen"
laut anleitungen muss ich hier nichts umstellen, glaube aber dass ich da schon mal einen User und Passswort eingegeben hab und ich dann bei der VPN-Verbindung zumindest bis zur Authentifizierung gekommen bin.

Laut Anleitung reicht es wenn man einfach einen externen Benutzer anlegt...
Muss ich wirklich bei der Firewall VPN nicht aktivieren oder freigeben oder so, hab dazu noch nichts gefunden, aber ich bekomme immer Fehler 800: Computer antwortet nicht, überprüfen sie die Sicherheitseinstellungen oder ob sie eine Verbindung haben.
aqui
aqui 27.09.2007 um 09:24:17 Uhr
Goto Top
Der Vigor hat im Security Menü direkt einen Punkt den man aktivieren kann der Pings auf dem WAN Interface dann zulässt ! In der Tat ist der per Default deaktiviert.
Ping ist ein eigenes Protokoll (ICMP) und hat rein gar nichts mit den Ports zu tun. Setze einfach den Haken, das du Ping erlaubst und dann kannst du auch das WAN Interface pingen.
Diese Einstellung solltest du aber wenn alles funktioniert unbedingt wieder rückgängig machen, damit du nicht Opfer von Ping Attacken etc. wirst !

Es reit in der Tat nur einen externen User anzulegen. Allerdings musst du darauf achten, das PPTP aktiviert ist und du solltest in den globalen VPN Einstellungen prüfen das der Router dem PPTP Client die richtige IP Adresse vergibt. Auf dem Draytek funktioniert das völlig problemlos ! Bei der Firewall musst du nichts aktivieren, da der VPN Connect ja auf dem externem also dem DSL Interface passiert !
Das du auch diese IP Als VPN Zieladresse angeben musst sollte klar sein !!
54360
54360 27.09.2007 um 09:47:07 Uhr
Goto Top
Ping habe ich gefunden! Vielen Dank!

Allerdings musst du darauf achten,
das PPTP aktiviert ist und du solltest in den
globalen VPN Einstellungen prüfen das
der Router dem PPTP Client die richtige IP
Adresse vergibt.

Wie kann ich das prüfen (ob der Router dem PPTP-Client, die richtige Adresse gibt)?
bzw. meinst du, dass ich nach erfolgreicher VPN-Verbindung eine netzinterne IP habe? (soweit komme ich ja leider noch gar nicht), ist aber bei den VPN-Einstellungen richtig eingestellt...
also 192.168.xxx.200 oder so...

PPTP ist unter "VPN und externe Einwahl> Einwahl aktivieren" aktiviert.


Das du auch diese IP Als VPN Zieladresse
angeben musst sollte klar sein !!

Also bei dem externen Gerät, von dem ich die VPN-Verbindung starte?

Nochmals vielen Dank für die bishere Hilfe
54360
54360 27.09.2007 um 13:13:11 Uhr
Goto Top
Es funktioniert! Nochmal vielen Dank.
Ich weiß nicht wieso es jetzt auf einmal funktioniert, aber es funktioniert.

Bei der Änderung von "Ping zulassen" muss man neustarten...
muss man nach einer VPN-Konfiguration vielleicht neu starten?

Zum schluss noch zwei kleine Fragen..
Über diese VPN-Verbindung soll ständig auf eine Datenbank zugegriffen werden...
Der Zugriff erfolgt leider nach ersten Tests sehr langsam, liegt das nur an der Internetverbindung oder auch an der VPN-Verbindung...

2. Wie sicher ist eine VPN-Verbindung mit PPTP . kann man die ohne Probleme den ganzen tag laufen lassen?

mfg
budi1602
aqui
aqui 28.09.2007 um 17:18:50 Uhr
Goto Top
Zu 1.)
Das kann sein...du darfst nicht vergessen das du mit standard DSL eine asymetrische Verbindung hast ! Der Uplink der Datenbank kann also nur mit ein paar 100 kB erforlgen, da nützt dir dann auch ein Downlink von 2 Mbit nichts wie du dir denken kannst.
Sicher kannst du die Performance mal mit einem Tool wie NETIO testen.
Der andere Punkt ist das dein VPN natürlich in erheblichem Maße von der Infrastruktur deines Providers abhängt. Du hast keine Standleitung nur für dich sondern teilst dir die Bandbreite mit Millionen andere Nutzer. Kommt es in seinem Netz zu Engpässen hast du auch das Nachsehen !
Helfen kann dann nur eine symetrische DSL Anbindung wie man sie im Business Bereich der Carrier bekommt.

Zu 2.)
Ganz sicher wie IPsec sind sie nicht. Der MS Chap Mechanismus von MS ist nicht angriffssicher und schon geknackt worde. Allerdings hat MS in der aktuellen version ein paar Verbesserungen drin die das wieder aufheben. Das Problem ist die initiale Passwort Negotiation die angreifbar wäre.
IPsec ist dort etwas sicherer.
Sofern du keine extrem sicheren Daten übertragen musst fährst du mit PPTP aber einigermaßen sicher. Bei anderen Daten würde man sowieso niemals einen VPN Dialin über öffentliche Netze machen !
Wenns das war bitte
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
54360
54360 28.09.2007 um 19:14:37 Uhr
Goto Top
Thread gelöst!
Vielen Dank für die ausführliche Beschreibung

mfg
budi1602