gladmin
Goto Top

VPN IPSec mit Bintec Routern

Hallo,

ich habe zwei Bintec Router per VPN IPSec miteinander vernetzt ein X1300II, der in der Zentrale steht und ein r232bw (Filiale1).
Jetzt habe ich folgendes Problem, ich kann eine VPN verbindung aufbauen, kann aber nicht auf die Netztwerkresourcen hinter dem Router in der zentrale (X1300) zugreifen. Darunter Netzlaufwerke auf einem Server und dem Remotedesktop auf demselben Server.

IP Struktur:

Zentrale: 192.168.0.xxx IP Router x1300II : 192.168.0.9 Server (Netzlaufwerke, Terminaldienstserver): 192.168.0.10
Filiale1: 192.168.10.xxx IP Router Filiale r232bw: 192.168.10.1
Subnetzmasken bei beiden 255.255.255.0

Wie kann ich diese Netze am besten verbinden. Hat jemand ne gute Doku für diese Bintec Router?

Bin dankbar für jede Hilfe

Grüße

Gladmin

Content-ID: 47888

Url: https://administrator.de/contentid/47888

Ausgedruckt am: 08.11.2024 um 07:11 Uhr

Gladmin
Gladmin 03.01.2007 um 20:55:17 Uhr
Goto Top
Habe jetzt NAT im r232bw aktiviert. Kann jetzt auf den Remotedesktop zugreifen. Habe aber noch kein Zugriff auf die Netzlaufwerke.
Torben
Torben 05.01.2007 um 10:20:45 Uhr
Goto Top
Hallo Gladmin,
Ich kenne zwar das x1300II Modell nicht aber wahrscheinlich ist hier der X1200II gemeint ?
OK das soll ja aber nicht das Problem sein.

1. Also NAT brauchst du hier eigentlich überhaupt nicht > ausschalten (außer natürlich am WAN Interface aktiviert lassen)
2. Ich weis nicht wie groß das komplette Netzwerk ist aber ich hätte keine 24Bit Subnet gewählt sondern 25 oder 26 Bit. Da wären wir bei 25Bit bei einem nutzbaren Hostanteil von 126 und bei 26Bit bei 62. Nur ein Tipp denn man muss hier sonst event. schnell je nach Größe ein Class A Netz anstreben und solch eine Umstellung sollte man vorne weg beachten.
3. Du sagst du hast beide Subnetze ja schon über VPN IPSec verbunden, sollte der Ping in das Zielnetz schon funktionieren dann ist der Rest doch gar nicht schwer.

Unter diesen Vorraussetzung ist der Ablauf wie folgt.

Ich habe schon einige Bintec Router über VPN eingerichtet und erkläre es dir mal an einem kleinen Bsp. unserer Zentrale und einer Filiale.
Du hast ja ein neues VPN Peer nämlich das der Filiale im Router der Zentrale und umgekehrt eingerichtet. Bei uns ist es so das ich natürlich aus der Zentrale Zugriff auf die Shares der Filiale haben möchte so wie du auch nur umgekehrt darf das nicht sein.
In diesem Fall machst du am Router der Zentrale unter IP, NAT die NAT des Peers zur Filiale auf an. Das gleiche machst du auf dem Router der Filiale auch, aber bedenke sobald du die NAT aktivierst ist erst einmal jeglicher Zugang über SSH oder Telnet hinfällig.
Nur kurz erwähnt das du dich halt nicht aussperrst. Das bezieht sich aber nur auf das VPN Peer (Interface) über WAN kannst du ja trotzdem connecten sofern du hier ja auch durch die akive NAT entsprechende Regel für Incomming Verkehr zulassen musst. Ok du hast die NAT auf beiden Routern nun aktiviert und musst jetzt in diesem Punkt die entprechenden Ports für die Dienste die du nutzen willst freigeben. In deinem Bsp. wäre das da ja ein Netzwerk Browsing von der Zentrale zur Filiale erlaubt sein soll wie folgt:
In den NAT Einstellungen der Zentrale für das VPN Peer zur Filiale erstellt du eine neu "from incomming Regel" die besagt das du erst mal alles aus der Zentrale in Richtung Filiale darfst.
Eintrag wie folgt:

Service: user definiert
Protocol: any
Remote Port: any
External Mask: 255.255.255.255
External Port: any
Internal Port: any

Abspeichern und fertig für die Zentrale.

In der Filiale machst du es wie folgt für das VPN Peer zur Zentrale:

Regeln für "from outside"

Service: user definiert
Protocol: tcp
External Port: specify Port 137
Internal Mask: 255.255.255.255
Internal Port: specify Port 137

und save.


Regeln für "from outside"

Service: user definiert
Protocol: udp
External Port: specify Port 138
Internal Mask: 255.255.255.255
Internal Port: specify Port 138

und save.


Regeln für "from outside"

Service: user definiert
Protocol: tcp
External Port: specify Port 139
Internal Mask: 255.255.255.255
Internal Port: specify Port 139

und save.


Regeln für "from outside"

Service: user definiert
Protocol: tcp
External Port: specify Port 445
Internal Mask: 255.255.255.255
Internal Port: specify Port 445

und save.


Zum Netzwerkbrowsen benötigst du "NetBIOS over TCP/IP" und/oder das SMB Protokoll. Ist also dein Ziel PC ein Windows NT Rechner benötigst du "NetBIOS over TCP/IP" also Port 135/137 bis 139. Ab 2000/XP/2003 kann SMB direkt über TCP/IP ohne einen extra Layer über NetBIOS browsen also benötigt man nur Port 445/TCP. Es ist ja erst mal für das Grobtuning nicht so schlimm wenn du ein paar Port mehr offen hast als benötigt werden, da die Kopplung der Router ja eine Trusted Zone ist . Jedoch gibt es immer wieder Angestellte die meinen das sie zu Freaky sind und versuchen über offene Port irgend etwas zu tunneln. Darum ist es schon ratsam den restlichen Kram zu schließen wenn es läuft.
Das ganze war nur ein kleines Bsp. man könnte das auch alles über die intergrierte SPI (Firewall) lösen, aber ich kenne deinen Wissensstand nicht und die vorliegende Infrastruktur und es würde so ausarten das man es kaum in eine verstöändliche Schreibform bekommen würde.

Mfg
AsciWhite
AsciWhite 29.10.2007 um 15:40:09 Uhr
Goto Top
hallo, auch wenn ich gestehn muss, dass ich bei den bintec routern nicht ganz so durchgugge, aber mit erscheint es doch seeeehr gefählich eine Portweiterleitung von außen über alle (any) Ports an einen Server oder ähnliches zu machen ... da kannst ja gleich den PC ins Inet stelln :-O außerdem hat dieser Eintrag noch einen weiteren Nachteil. Bei mir wars jedenfalls so, dass eine Portforward für den FTP (21) dann einfach vom Bintec inoriert wurde!
okay, das dazu und nun hab ich dann auch mal noch ein Problem mit dem VPN ... ich hab einen BinGoDSLII hier und hab bereits ein Weiterleitung der Ports 1701 (L2TP) und 1723 (PPTP) auf die IP eines PC'S in meinem LAN eingerichtet. RAS Benutzerrechte hab ich auch für einen AD Benutzer vergeben. Wenn ich nun von einer Remotestation den VPN aufmachen will, kommt nur die Meldung: "Benutzername und Kennwort wird überprüft" und dabei bleibts dann bis zu einem Timeout. Im Log des Routers taucht mehrfach eine Zeile mit "NAT: refused incoming session on ifc 10002 prot 47 [meine IP] [Remote IP]" auf, was für mich bedeutet, dass er mit dem Port 47 noch nichts anzufangen weiß. Daher hab ich auch diesen noch an den PC weitergeleitet, aber auch das bringt keine Veränderung.
Nun hab ich allerdings auch mal den Test mit einer [any] Port Weiterleitung gemacht und da klappts auf anhieb mit der Einwahl :-O ! .... Also welchen Port oder welche Ecke hab ich noch vergessen einzustellen?

Mfg @ all