VPN-IPSec Ports "doppelt" nutzen?

Mitglied: Visucius
Hallo in den ruhigen Sonntag Nachmittag,

ist vermutlich ne "dumme" Frage aber ich habe es noch nie probiert und möchte mir mein bestehendes VPN-Setup auch nicht zerschießen.


Folgende Situation:

a) l2tp/IPSec-VPN von Mobil-Clients an den Büro-Router läuft, wie es soll.

b) Nun möchte ich aber zusätzlich noch ein Site2Site vom Büro-Router zu einer Fritzbox aufbauen. EdgeMax bietet mir da auch ein IPSec Site2Site an.

Die Ports sind aber - ja eigentlich - dem l2tp "zugewiesen". Oder kann man das beides parallel einsetzen?


Viele Grüße

PS: Eigentlich kann das nciht funktionieren. Um l2tp "hinter" der Fritze einsetzen zu können musste ich ja auch das eingebaute VPN deaktivieren. Aber evtl. kann mir das trotzdem hier nochmal jemand bestätigen. Dann muss ich mir was anderes überlegen.

Content-Key: 1280282807

Url: https://administrator.de/contentid/1280282807

Ausgedruckt am: 19.10.2021 um 18:10 Uhr

Mitglied: chgorges
Lösung chgorges 19.09.2021 um 15:58:04 Uhr
Goto Top
Hi,

Port = Anwendung, heißt ein Port pro Anwendung. Da IPSec und L2TP sich UDP 500 und ESP 50 teilen, kannst du es so nicht umsetzen, bzw. du brauchst eine andere Kombination ggf. mit OpenVPN.

VG
Mitglied: Visucius
Visucius 19.09.2021 aktualisiert um 16:05:16 Uhr
Goto Top
Mist. Der Kopf hat ja eh schon abgewunken ... aber jetzt macht das Herz auch nen Knick ;-) face-wink

Danke Dir fürs Feedback.
Mitglied: LordGurke
LordGurke 19.09.2021 um 16:11:10 Uhr
Goto Top
Der Büro-Router wäre dann gleichzeitig Client und Server? Das sollte an sich gehen, wenn der Büro-Router das supported. Technisch spricht wenig dagegen.

Zitat von @Visucius:
PS: Eigentlich kann das nciht funktionieren. Um l2tp "hinter" der Fritze einsetzen zu können musste ich ja auch das eingebaute VPN deaktivieren. Aber evtl. kann mir das trotzdem hier nochmal jemand bestätigen. Dann muss ich mir was anderes überlegen.

Den Teil verstehe ich gerade nicht - ich blicke auch ehrlich gesagt nicht ganz durch, wo welcher Router wie angeschlossen steht.
Du hast Clients hinter ebendieser FritzBox, zu der das neue Site2Site aufgebaut werden soll? Die verbinden sich ebenfalls zum Büro-Router?
Mitglied: Visucius
Visucius 19.09.2021 aktualisiert um 16:37:51 Uhr
Goto Top
bildschirmfoto 2021-09-19 um 16.29.09

So sieht das aktuell aus (gestrichelte Linie):

Ich muss dann natürlich das l2tp hinter der Fritze und das dortige iPSec-Routing zur Synology deaktivieren. Das wäre aber kein Problem.

Die Frage ist - ob auf der Büro-Seite der Edgerouter sowohl das Client2Server VPN mit l2tp/IPSec als auch das Site2Site IPSec abwickeln kann.

(und nebenbei ob die beiden IPSec-VPNs von EdgeOS und AVM kompatibel sind)
bildschirmfoto 2021-09-19 um 16.36.46
Mitglied: colinardo
colinardo 19.09.2021 aktualisiert um 16:53:30 Uhr
Goto Top
Servus.
Zitat von @Visucius:
Die Frage ist - ob auf der Büro-Seite der Edgerouter sowohl das Client2Server VPN mit l2tp/IPSec als auch das Site2Site IPSec abwickeln kann.
In der Regel ist das kein Problem. Auf dem Server sind das nur separate IPSec Profile die nebeneinander existieren und auch laufen können. Bei L2TP kommt dann eben nur noch Port 1701UDP zusätzlich mit ins Spiel "nachdem" der IPSec Tunnel steht.
Bei Ubiquity sollte man dazu auch mal die CLI hernehmen die UI bietet hier oft nur Standardkost und oft nicht alle Möglichkeiten die sich per CLI realisieren lassen.
https://help.ui.com/hc/en-us/articles/115011377588-EdgeRouter-Route-Base ...
https://help.ui.com/hc/en-us/articles/204950294-EdgeRouter-L2TP-IPsec-VP ...

Grüße Uwe
Mitglied: Visucius
Visucius 19.09.2021 um 16:54:32 Uhr
Goto Top
@colinardo:

Danke Dir, dann probiere ich das mal. Das l2tp/IPSec-Setup habe ich schon über die CLI realisiert.
Mitglied: aqui
aqui 19.09.2021, aktualisiert am 20.09.2021 um 10:05:35 Uhr
Goto Top
Die Kollegen @LordGurke und Uwe haben recht, das klappt (getestet) vollkommen vollkommen problemlos parallel.
Man kann einen IPsec Server ja generell immer als Client Dialin und für zig Site-to-Site VPN Tunnel nutzen. Wenn du 10 Aussenstellen hast hast du ja auch 10 VPN Tunnel parallel. ;-) face-wink
Du definierst ja auf dem mT für die FritzBox einen vom L2TP Tunnel komplett separaten Site-to-Site Tunnel.
Das l2tp/IPSec-Setup habe ich schon über die CLI realisiert.
Musst du nicht ! Klappt auch wunderbar über die WinBox. ;-) face-wink Guckst du hier:
https://administrator.de/contentid/562927#comment-1440162

Mitglied: colinardo
colinardo 19.09.2021 aktualisiert um 20:19:24 Uhr
Goto Top
Zitat von @aqui:
Musst du nicht ! Klappt auch wunderbar über die WinBox. ;-) face-wink
Ubiquity und Winbox? Das gibt Abzüg Aqui, du musst mal auf die 🏝️. 🙂
Mitglied: aqui
aqui 20.09.2021 um 10:05:06 Uhr
Goto Top
Ooops wie peinlich ! 😵‍💫
Wer lesen kann.... Ich gehe direkt auf die 🏝️ und nicht über Los !!
Heiß diskutierte Beiträge
question
Windows 11 Upgrade nicht möglichben1300Vor 1 TagFrageWindows 1114 Kommentare

Guten Morgen ! ich habe einen Gaming PC, mit folgende Spezifikationen: Leider kann ich diesen nicht auf Windows 11 upgraden: Welche Optionen bleiben mir, um ...

question
Was ich benötige ist ein guter Wechselrahmen 5,25"Lefty0815Vor 1 TagFrageFestplatten, SSD, Raid8 Kommentare

Hallo an alle, ich such mir noch einen Wolf :-) Was ich benötige ist ein Wechselrahmen 5,25" für eine zwei oder drei 3,5Zoll Festplatten (SATA ...

question
Exchange Server - Wege, anonymes Senden zu verbietenDerWoWussteVor 1 TagFrageExchange Server11 Kommentare

Ich grüße Euch! Ziel 1: Alle PCs sollen Warnmeldungen per E-Mail geskriptet und anonym versenden können. In diesen Skripten handelt das Computerkonto und im Skript ...

question
Neuinstallation NetzwerkBurQueVor 14 StundenFrageNetzwerkgrundlagen13 Kommentare

Hallo ich hab die Aufgabe bekommen ein Netzwerk in einem neuen Gebäude einzurichten bzw. mir dazu Gedanken zu machen. Raumsituation. Im Keller steht ein Serverschrank ...

question
WLAN Lösung für Gästehaus Vereinjohannes-meyerVor 1 TagFrageLAN, WAN, Wireless8 Kommentare

Hallo, ich betreue die IT eines Vereins, der zwei Gebäude mit Gästebetrieb betreibt. Es sind regelmäßig an die 30 bis 50 Geräte verbunden. Ich hab ...

question
SMTP Relay Server gelöst MacLeodVor 1 TagFrageExchange Server10 Kommentare

Hallo zusammen. Vorwort: Habe das hier bei Exchange eingeteilt, betrifft aber Mailserver Versand allgemein. Bei einem Kunden mit einem Kerio Mailserver werden neben dem üblichen ...

question
Multi-WAN-Netzwerk fürs StudentenwohnheimHutzeljaegerVor 8 StundenFrageLAN, WAN, Wireless17 Kommentare

Hallo allerseits. Für die Internetversorgung unseres Studentenwohnheims muss ich nun sehen, dass ich eine kostengünstige Lösung eines Multi-WAN Netzwerks hinbekomme, wohl am besten per Multi-WAN-Bonding. ...

question
Drei Fragen zum Internet Explorer gelöst UserUWVor 1 TagFrageWebbrowser4 Kommentare

1) Der IE lässt sich unter Windows 10 deaktivieren, aber nicht physisch deinstallieren. Heißt das, dass IE-Funktionalitäten "unter der Haube" auch von Windows 10 genutzt ...