Dieser Beitrag ist schon älter. Bitte vergewissern Sie sich, dass die Rahmenbedingungen oder der enthaltene Lösungsvorschlag noch dem aktuellen Stand der Technik entspricht.

VPN über Router und Windows 2003 SBS - Eumex-Problem?

Mitglied: Levis
Hallo,

Folgende Situation:
Die TK-Anlage Eumex 724PC DSL ist über ein DSL-Modem mit dem Internet verbunden. Ein darunter liegender Server hat die IP der TK-Anlage als Gateway eingetragen und übernimmt das Routing (IP-Vergabe über DHCP, Drucker, usw.) der Clients. Auf dem Server ist außerdem ein VPN-Server eingerichtet (unter RAS und Routing). Lokal funktioniert das VPN einwandfrei (soweit man das lokal testen kann - kann man das überhaupt sinnvoll? zweifelhaft...)

Jetzt soll natürlich auch ein Zugriff von außen über VPN (im Moment nur PPTP) auf das Netzwerk möglich sein. In der Eumex ist der TCP Port 1723 und GRE freigegeben und wird auf die Server-IP weitergeleitet. Auch viele andere Kombinationen habe ich bereits ausprobiert. Die Internetrecherche und der Telekom-Support hat ergeben, dass die Eumex scheinbar nicht VPN-fähig ist - kann das sein? Muss man nicht einfach bestimmte Ports freigeben?

Angenommen, die Eumex kann das wirklich nicht, welche Lösung würdet Ihr mir empfehlen?
Die präferierte Lösung im Moment ist ein neuer Router: Dieser würde die Verbindung mit dem Internet herstellen und eben die für VPN notwendigen Ports öffnen. Außerdem natürlich die Firewall darstellen. Der Server würde das VPN-Management übernehmen. Die Anfragen müssten nur vom Router weitergeschleust werden. Ist der Grundgedanke richtig, d.h. kann das so funktionieren?
Eine andere Idee geht dahin, dass der Router gleich das komplette VPN-Management mit übernimmt. Ist das in unserer Konstellation möglich?

Welche Router könnt Ihr mir empfehlen, die für diese Situation am besten geeignet sind?


Zur Verdeutlichung eine kleine "Skizze" über die Situation:
[Internet] - [Eumex + Modem] - [Switch] - [Server, Clients, Drucker]

Vielen Dank im Voraus für alle Tipps, Anregungen, usw.!

Content-Key: 68425

Url: https://administrator.de/contentid/68425

Ausgedruckt am: 28.10.2021 um 07:10 Uhr

Mitglied: aqui
aqui 11.09.2007 um 16:25:23 Uhr
Goto Top
Betreibst du die Eumex nun als Router oder als Modem ??? Wie du es schilderst ist sie ein DSL Router und dann muss dort natuerlich das Port Forwarding eingetragen werden fuer das PPTP Protokoll, das aus TCP 1723 und dem GRE Protokoll mit der Protokoll Nummer 47 (Achtung: nicht TCP oder UDP 47 !) besteht.
Wenn die Eumex kein VPN Passthrough als Feature supportet kann es sein das es damit nichts wird, denn das ist zwingende Voraussetzung um das GRE Protkoll mit zu uebertragen.
Was natuerlich zwingende Voraussetzung ist , ist das du am VPN Client als Zieladresse die dynamische DSL Adresse am DSL Port der Eumex eintraegst und natuerlich nicht deine interne IP Adresse...das sollte klar sein.
Falls du dir nicht sicher bist wie diese Adresse lautet musst du vom internen Netz einmal auf die Webseite:
http://www.wieistmeineip.de
gehen, dort wird sie angezeigt. Bedenke das die sich permanent aendert, deshalb arbeitetst du besser mit einem DynDNS Account.

Ansonsten ist die technisch bessere Alternative ein aktiver VPN Router wie z.B. die Fa. Draytek (www.draytek.de) sie anbietet oder andere. Dieser Router stellt sich dann selber als VPN Server dar.
Mitglied: Levis
Levis 11.09.2007 um 16:41:10 Uhr
Goto Top
Danke für Deine schnelle Antwort!

Betreibst du die Eumex nun als Router oder
als Modem ???
Eigentlich als Modem und Firewall. Die IP der Eumex ist der Standardgateway im Server.

Wie du es schilderst ist sie
ein DSL Router und dann muss dort natuerlich
das Port Forwarding eingetragen werden fuer
das PPTP Protokoll, das aus TCP 1723 und dem
GRE Protokoll mit der Protokoll Nummer 47
(Achtung: nicht TCP oder UDP 47 !) besteht.
Ja, das ist gemacht. Wobei das Portforwarding bei der Eumex recht verwirrend ist.
Lass ich bei GRE (also Protokollnr. 47) die Ports und IP-Adresse auf "0" bzw "0.0.0.0"?
TCP 1723 wird auf die Server-IP weitergeleitet, oder?

Wenn die Eumex kein VPN Passthrough als
Feature supportet kann es sein das es damit
nichts wird, denn das ist zwingende
Voraussetzung um das GRE Protkoll mit zu
uebertragen.
Das ist zu befürchten :( face-sad

Was natuerlich zwingende Voraussetzung ist ,
ist das du am VPN Client als Zieladresse die
dynamische DSL Adresse am DSL Port der Eumex
eintraegst und natuerlich nicht deine
interne IP Adresse...das sollte klar sein.
Falls du dir nicht sicher bist wie diese
Adresse lautet musst du vom internen Netz
einmal auf die Webseite:
http://www.wieistmeineip.de
gehen, dort wird sie angezeigt. Bedenke das
die sich permanent aendert, deshalb
arbeitetst du besser mit einem DynDNS
Account.
Ja, klar. dyndns-Account ist schon eingerichtet und soll auch verwendet werden. Beim Client wird die korrekte öffentliche IP verwendet.

Ansonsten ist die technisch bessere
Alternative ein aktiver VPN Router wie z.B.
die Fa. Draytek (www.draytek.de) sie anbietet
oder andere. Dieser Router stellt sich dann
selber als VPN Server dar.
D.h. die VPN-Einstellungen im Server könnten dann wieder gelöscht werden?
Im Moment vergibt der Server ja die IP-Adressen (über DHCP) und das sollte eigentl. beibehalten werden... Checkt der VPN-Router dann, dass der externe Rechner vom Server eine IP-Adresse erhält? Was genau managed der VPN-Router? Das ist mir noch nicht klar..
Mitglied: aqui
aqui 11.09.2007 um 16:46:59 Uhr
Goto Top
GRE muss auch auf die IP Adresse des Servers geleitet werden...das ist klar. Die Server IP musst du dort also zwingend auch bei GRE eintragen !

Der VPN Server auf dem Router verhaelt sich analog zu dem auf dem Server. Er vergibt auch dynamisch IP Adressen aus dem lokalen LAN beim Einwaehlen. Der VPN Client verhaelt sich dann so wie ein normaler Client im lokalen LAN.
Und ja, du kannst die ganze VPN Konfig auf dem Server dann deaktivieren...das macht alles der Router.
Mitglied: Levis
Levis 11.09.2007 um 17:07:14 Uhr
Goto Top
GRE muss auch auf die IP Adresse des
Servers geleitet werden...das ist klar. Die
Server IP musst du dort also zwingend auch
bei GRE eintragen !
Ja, das hatte ich auch versucht, scheinbar hat man bei der Eumex echt keine Chance :( face-sad

Der VPN Server auf dem Router verhaelt sich
analog zu dem auf dem Server. Er vergibt auch
dynamisch IP Adressen aus dem lokalen LAN
beim Einwaehlen. Der VPN Client verhaelt sich
dann so wie ein normaler Client im lokalen
LAN.
Und ja, du kannst die ganze VPN Konfig auf
dem Server dann deaktivieren...das macht
alles der Router.
Der VPN-Router bekommt also vom Server auch eine IP zugewiesen? Bzw. legt man im VPN-Router eine IP fest?
Ich stelle mir das so vor, dass der VPN-Router zwischen Internet und Server gehängt wird. Im Adminsystem vom Draytek kann man einstellen, ab welcher Zahl er die IPs für externe Geräte vergibt, diesen Bereich kann man ja im Server dann vom DHCP ausschließen...
Das müsste also dann alles super funktionieren... Gibt es bei der Auswahl eines VPN-Router irgendetwas zu beachten? Da es sich nicht um ein riesen Netzwerk handelt, würde sogar schon ein gleichzeitiger Tunnel reichen...
Mitglied: aqui
aqui 12.09.2007 um 12:32:48 Uhr
Goto Top
Ja, ganz genauso ist es richtig !! Die IP Range die der VPN Router vergibt muss unbedingt ausgeschlossen werden beim DHCP Server denn sonst könnte es zur Doppelvergabe komen und dann zu doppelten IP Adressen im Netz.

Nein spezielles zu beachten gibt es nicht. Nur das du ein Router mit oder ohne Modem auswählst je nachdem was du für einen DSL Anschluss hast. Bei nur einem VPN Tunnel kann es dann gerne das preiswerteste Modell sein ;-) face-wink
Heiß diskutierte Beiträge
question
Netzwerktool mit IP-SettingsServer2503Vor 1 TagFrageNetzwerkmanagement4 Kommentare

Hallo zusammen, ich meine aus meiner Schulzeit zu wissen, dass es ein Tool gibt, mit dem ich ein Netzwerkplan (Clients, Switches, Router etc.) samt IP-Einstellungen ...

question
Exchange 2016 CU22 blockt sporadisch eingehende Mails gelöst anteNopeVor 1 TagFrageExchange Server5 Kommentare

Hallo zusammen, wir haben hier ein echt lästiges Thema bei dem wir nicht weiter wissen. Und zwar blockt der Exchange bei einem Kunden "sporadisch" Mails. ...

question
Benutzername auf HTTPS Webseite für NAS SyncBischi007Vor 1 TagFrageWebbrowser4 Kommentare

Hallo zusammen, folgendes Problem, bzw. Frage: Für den Download von Dateien wird von einem Softwarehersteller eine Webseite angeboten, Aufruf erfolgt via https es folgt dann ...

question
Zertifikate für Multifunktionsgeräte gelöst Net-ZwerKVor 1 TagFrageDrucker und Scanner4 Kommentare

Moin! Ich habe einen Kunden, der von seinem Rechenzentrum vorgeschrieben bekommt, dass seine Multifunktionsgeräte nun die Adressbuchabfrage per LDAPs machen müssen. Das Rechenzentrum hat auch ...

info
VCenter 7.0 U3a verfügbarLooser27Vor 1 TagInformationVmware3 Kommentare

Guten Morgen, das neue vCenter 7.0 U3a steht zum Download bereit. Patchnotes: Gruß Looser ...

question
Verwirrung VLSC Anmeldung gelöst dertowaVor 1 TagFrageMicrosoft4 Kommentare

Hallo zusammen, Microsoft kann einen ja schon mal in verwirren und soweit ist es heute wieder. Ich melde mich wie gehabt an unserem VLSC Konto ...

info
Veeam B and R 11.0.1.1261 verfügbarLooser27Vor 1 TagInformationBackup2 Kommentare

Guten Morgen, die neue Version von Veeam 11 (passend zum VMWare Update) steht zum Download bereit. Gruß Looser ...

question
Browser mit fest konfigurierter Adresse und OptionenyaschixVor 1 TagFrageWebbrowser6 Kommentare

Hi all, meine erster Beitrag - Danke dass ich dabei sein kann! Zu meinem Problem - Wir haben einen Kunden im Bereich der Produktion, der ...