VPN-Server (Netgear) hinter Linux-Firewall

Mitglied: TheLight

TheLight (Level 1) - Jetzt verbinden

30.10.2008, aktualisiert 15:25 Uhr, 7036 Aufrufe, 5 Kommentare

Hallo,

ich habe ein für wohl mich zu kompliziertes Problem und bräuchte dringend Hilfe.

Es geht darum eine VPN-Verbindung von einem Kollegen auf einen Server in meinem Netzwerk aufzubauen.

Ich habe an meinem Kabelmodem einen Linuxserver, der als Firewall fungiert und noch diverse andere Dienste abbildet. Dieser ist mit eth0 mit dem Modem und mit eth1 mit dem Netzwerk verbunden. Diese Konfiguration ist aus verschiedenen Gründen nicht änderbar.

Nun habe ich einen Netgear Router (FVS114) mit beiden Ports ebenfalls am Switch angeschlossen und ein entsprechendes VPN-Profil erstellt. Die LAN-Konfiguration sieht wie folgt aus:

Linux:
eth1.0 - 192.168.63.4 (Adresse im lokalen Netzwerk)
eth1.1 - 192.168.64.11 (Adresse für Labor-Netzwerks - nur DHCP) - dies ist für das VPN unwichtig
eth1.2 - 192.168.70.1 (Adresse für den WAN-Port des Routers)
In der Firewall sind die VPN-Ports entsprechend als Forward auf die WAN-IP-Adresse des Routers eingestellt

Netgear-Router:
WAN-Port - 192.168.70.2 (Adresse für den Linuxserver - Gateway: 192.168.70.1)
LAN-Port - 192.168.3.11 (Adresse für das VPN ins lokale Netzwerk)

Server auf den zugegriffen werden soll:
IP1 - 192.168.63.3 (Adresse im lokalen Netzwerk - Gateway: 192.168.63.4)
IP2 - 192.168.3.1 (Adresse für das VPN - Gateway: 192.168.3.11)
Beide IP-Adressen sind auf der gleichen Netzwerkkarte eingerichtet

Auf der Gegenseite ist ebenfalls ein Netgear Router (FVG318) vorhanden, an dem zwei Rechner hängen:
Netgear-Router:
WAN-Port - dynamisch vom DSL-Modem
LAN-Port - 192.168.0.1

Rechner:
PC1 - 192.168.0.10
PC2 - 192.168.0.11

Die Einrichtung der IKE-Profile sehen wie folgt aus:
- Direction/Type: Both
- Exchange Mode: Main
- Local Identifier: Local WAN IP (setzt sich am Standort des Servers auf die 192.168.70.2 - seine WAN-Adresse und am entfernten Standort auf die Provider-IP)
- Remote Identifier: Remote WAN IP (bleibt lokal auf 0.0.0.0, am entfernten Standort setzt es sich auf die DynDNS-Adresse des lokalen Standorts)
- Verschlüsselung: 3DES
- Authentifizierung: SHA-1
- Pre-shared Key
- DH: Group 2
- SA Life Time: 28800 sec

Die VPN-Profile sind wie folgt:
- Remote VPN Endpoint: FQDN - DynDNS-Adresse des entgegengesetzten Standorts
- SA Life Time: 28800 sec - 100000 KB
- IPSec PFS: Group 2
- NetBIOS: Enabled
- Local IP: Subnet address: 192.168.3.0/255.255.255.0 (lokal), 192.168.0.0/255.255.255.0 (entfernt)
- Remote IP: Subnet address: 192.168.0.0/255.255.255.0 (lokal), 192.168.3.0/255.255.255.0 (entfernt)
- ESP Config: Encryption (3DES), Authentification (SHA-1)

Soweit zum Aufbau. Ich kann nun einen VPN-Tunnel aufbauen, allerdings kann keinerlei Daten übertragen. Ich kann weder von einem Rechner den Server anpingen, noch umgekehrt. Auch der Test über die Diagnose des Routers einfach den anderen Router anzupingen schlägt fehl. Ich habe nun schon alles versucht und komme einfach nicht weiter.

Wo kann mein Problem liegen? Hat jemand eine Idee ... bin schon total verzweifelt.

Danke und Grüße Carsten
Mitglied: aqui
30.10.2008 um 09:03 Uhr
Anhand deiner Beschreibung lässt sich erraten, das die NetGear Maschinen vermutlich IPsec im ESP Modus für die VPN Verbindung als Tunnelprotokoll nutzen.

Vermutlich macht dein Linux Server der zwischen Kabelmodem und internem LAN steht NAT (Adress Translation) Richtung Internet und dein Netzwerk sieht vermutlich so aus:

c3ca5046523aab0da9533ba61cb0d5d0-linvpn - Klicke auf das Bild, um es zu vergrößern

Richtig ???

Um die NAT Firewall zu überwinden mit IPsec musst du aber ein Port Forwarding in die IPTABLES konfigurieren auf die lokale IP Adresse der NetGear Box und zwar für folgende Ports:

UDP 500 (IKE)
UDP 4500 (NAT -T)
ESP Protokoll (ESP hat die IP Protokoll Nummer 50, Achtung nicht TCP oder UDP 50 !!)

Damit sollte es dann klappen !

(Nebenbei: Warum du dir diese umständliche Frickelei mit den netGear Boxen antust wo doch Linux schon alles für ein VPN mit an Bord hat bleibt bei der ganzen Sache vollkommen unverständlich ??!!)
Bitte warten ..
Mitglied: TheLight
30.10.2008 um 12:06 Uhr
Hallo Aqui,

genauso sieht es bei mir aus. Die Port Forwards waren auch schon soweit eingestellt, ausser dem 4500, aber den habe ich jetzt auch mit drin. Leider funktioniert das Ganze trotzdem nicht. Der Tunnel kommt zustande, aber keine Datenübertragung.

Warum ich das mache? Gute Frage, ich kenne mich mit Linux überhaupt nicht aus, der Server wird von einem Freund gewartet und der kennt sich mit VPN in Verbindung mit den Netgear-Kisten nicht aus (er hatte es geschafft, dass eine Netgear-Box einen Tunnel aufmacht, aber auch da kamen keine Pakete durch). Aus diesem Grund haben wir uns gedacht, dass dies der einfachste Weg ist. Wäre halt schön, wenn es einfach klappt.

Danke und Gruß Carsten
Bitte warten ..
Mitglied: aqui
30.10.2008 um 15:00 Uhr
Dann kann der Fehler nur in der NetGear Konfiguration liegen !
Leider ist NetGear nicht gerade für Kompetenz im VPN Bereich bekannt, da gibt es andere Hersteller die das besser können..

Vielleicht solltest du dir das Leben auch nicht so schwer machen und den NetGear VOR den Linux Server hängen, dann hast du die Problematiken mit dem Port Forwarding nicht.

So oder so, kannst du denn wenigstens wenn der VPN Tunnel steht die beiden NetGears untereinander anpingen ?? Das wäre ja erstmal der Minimaltest um festzustellen ob der VPN Tunnel wirklich funktioniert !
Was sagt ein traceroute oder pathping auf das jeweilige Zielsystem ??

Ansonsten wenn alle Stricke reissen einen Paket Sniffer wie den Wireshark einmal vor dem Server und einmal nach dem Server einschleifen und nachsehen ob beim VPN Verbindungsaufbau doch irgendwas an der FW hängenbleibt.
So ein Sniffertrace zeigt dir meisten sofort wo das Problem liegt !!
Bitte warten ..
Mitglied: TheLight
30.10.2008 um 15:16 Uhr
Das mit dem davor hängen hatten wir auch schon versucht nur leider funktionieren dann so verschiedene Applikationen des Linux nicht mehr richtig.
Ein Ping funktioniert nicht mal zwischen den beiden Routern.

Ich mach da jetzt aber auch vorerst ein Ei drauf, ich habe einen Linux-Spezi gefunden, der will am Samstag den Linux als VPN-Server einrichten, dass die externe Netgear-Kiste direkt draufkommt, war eigentlich auch meine erste Idee und ich hoffe, dass das funktioniert. Wenn nicht, dann meld ich mich hier wieder.

Ich danke Dir auf jeden Fall für Deine Mühe ... Schöne Grüße Carsten
Bitte warten ..
Mitglied: aqui
30.10.2008 um 15:25 Uhr
Das ist in jedem Fall der richtige Weg, denn dein Design müsste so nicht sein den mit dem Linux Server hast du ja schon einen VPN Server im Netz !

Der VPN Tunnel zw. den NetGears kommt also gar nicht erst zustande...da kannst du dann auch probieren bis du schwarz wirst !
Vermutlich liegt es sicherlich daran das die FW noch immer was filtert aber das kannst du wie gesagt nur mit einem Sniffertrace richtig sehen.
Bitte warten ..
Heiß diskutierte Inhalte
Hardware
Schwarmwissen gefragt: Rätselstunde am Samstag Abend - LWL Verkabelung
gelöst Xaero1982FrageHardware32 Kommentare

Nabend Zusammen, heute Abend gibt es ein kleines Rätsel für euch was es zu lösen gilt. Die Lösung werde ...

Netzwerke
Aufbau Praxisnetzwerk mit Fragen (TI, Switch, Firewall, VoIP, Netzwerkdesign)
razorrFrageNetzwerke21 Kommentare

Hallo, ich bin neu hier, aber habe hier schon sehr lange im Forum mitgelesen bzw. mich schlau gemacht und ...

Vmware
ESXi für Raspberry Pi
sabinesInformationVmware18 Kommentare

VMware hat den ESXi für den Raspberry Pi (zu Testzwecken) vorgestellt, läuft 180 Tage auf dem Pi 4 mit ...

Backup
Veeam Backup-Server aus der Domäne nehmen
redhorseFrageBackup15 Kommentare

Guten Morgen, da in unserer Backupumgebung ein Hardwaretausch ansteht, konzipiere ich gerade Möglichkeiten die Sicherheit zu erhöhen. Konkret geht ...

Windows Server
Server mit AMD EPYC 7F52 (1Socket) wird als 2 Socket Server angezeigt
LordXearoFrageWindows Server11 Kommentare

Hallo Zusammen, ich komme mit meinem Problem nicht so recht weiter und hoffe aufjemanden der noch weitere Ideen hat. ...

Notebook & Zubehör
Surface pro 3 oder aktueller
devazubiFrageNotebook & Zubehör11 Kommentare

Moin moin zusammen, ich möchte eine kurze Umfrage/Feedbackrunde starten. Ich habe gerade angefangen Wirtschaftsinformatik berufsbegleitend zu studieren. Ich würde ...

Ähnliche Inhalte
Firewall
Sophos Firewall und Red VPN
gelöst MichaelW84FrageFirewall2 Kommentare

Hallo zusammen, ich habe eine Sophos XG Firewall und mehrere Red 15 Devices für unsere Standortvernetzung im Einsatz. Nun ...

Router & Routing

VPN mit Checkpoint-Firewall und Checkpoint VPN Client

mbit-05FrageRouter & Routing1 Kommentar

Hallo zusammen, kennt sich jemand mit CheckPoint-Firewalls aus? Ich möchte folgendes Konfigurieren: CheckPoint-Firewall in Zentrale hat ein VPN zu ...

Debian

Linux Server mit Public IP ohne Firewall?

CrystallicFrageDebian19 Kommentare

Hallo zusammen, ich habe mal eine kleine Frage an die Linux bzw. Netzwerksecurity Experten ;) Mein Plan ist es ...

LAN, WAN, Wireless

Wlan mit vpn und Firewall absichern

gelöst BalivorinskyFrageLAN, WAN, Wireless4 Kommentare

Hallo, um mein WLAN ohne goßes Budget, bestmöglichst zu sichern, habe ich folgedes vor: 1. Ein Eigenes Netz mittels ...

Router & Routing

Sophos Firewall "externe" VPN Verbindung durchlassen

gelöst floodministratorFrageRouter & Routing8 Kommentare

Hallo Administratoren und Netzwerk-Profis, ich habe für einen Projektaufbau das Szenario des beigefügten Bildes aufgebaut. Bei den beiden Seiten ...

Router & Routing

IPSEC VPN Netgear PS UTM 50 hinter Fritzbox

wtwinniFrageRouter & Routing1 Kommentar

Hallo liebe IT Profis, ich brauche eure Hilfe beim einrichten einer VPN. Ich habe in meinem Netzwerk eine Wago-Steuerung ...

Neue Fragen
Administrator Magazin
11 | 2020 Virtualisierung ist aus der IT nicht mehr wegzudenken. In der November-Ausgabe des IT-Administrator Magazins dreht sich der Schwerpunkt um das Thema "Server- und Storage-Virtualisierung". Darin erfahren Sie, wie sich die Virtualisierungstechnologie entwickelt hat, welche Varianten es im Bereich Server und Speicher gibt und wie ...
Neue Beiträge
Neue Jobangebote
Server- und Storage-VirtualisierungServer- und Storage-VirtualisierungBerechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid Cloud