10
VPN über zwei DSL-Leitungen mit AVM Fritz!Box WLAN und Windows 2003 Server
Hallo zusammen.
Ich betreue ein Netzwerk an zwei Standorten. Bisher waren diese durch eine direkte Leitung miteinander verbunden.
Das ist aber jetzt plötzlich nicht mehr der Fall.
Deshalb muss ich jetzt die Standorte per VPN verbinden.
Genau geht es um 2 LANs einmal mit den IP-Bereich 192.168.10.X und 192.168.11.X.
Beide habe einen 3Mbit downstream 406 kBit upstream DSL-Leitung, als sicherlich ausreichend.
Auf beiden Anschlüssen sind feste IPs A.B.C.D und W.X.Y.Z hinterlegt.
Ich könnte auch auf dyndns zurückgreifen würde es aber eher ungern.
In beiden Netzwerken steht ein Windows 2003 Server und beide Netzwerke sind Domänen, im 10er Netz HERE, im 11er Netz THERE.
Ich möchte jetzt eine dauerhafte Verbindung zwischen den beiden Standorten aufbauen, so, dass es im Endeffekt wieder ein Netzwerk wird, aber mit verschiedenen Subnetzen.
Ich habe mich die letzten 7 Stunden mit diversen Tutorials vom Microsoft und anderen herumgeschlagen und sehe irgendwie kein Land mehr. Irgendwie gehorcht mir aber weder RAS noch Routing so richtig und mit der Firewall sehe ich auch nicht mehr durch.
Wichtig ist noch: ich habe an beiden Standorten jeweils eine Fritz!Box WLAN im Einsatz und habe schon den Port 1723 TCP und GRE beiderseits freigegeben.
Irgendwie bringt das aber nicht, denn wenn ich die Verbindung aufbauen will, bietet er mir nur unter dem Fehler 629 (Verbindungstrennung vor Verbindungsaufbau) eine Rückrufoption an, die mir nicht bringt, weil ich ja keine Dial-Up-Verbindung habe, sondern eine dauerhafte DSL-Verbindung.
Ich hoffe ich habe jetzt alles gesagt, was nötig ist, wenn nicht BITTE FRAGEN.
Danke schonmal für jeden Hinweis
euer leicht verzweifelter falcon
Ich betreue ein Netzwerk an zwei Standorten. Bisher waren diese durch eine direkte Leitung miteinander verbunden.
Das ist aber jetzt plötzlich nicht mehr der Fall.
Deshalb muss ich jetzt die Standorte per VPN verbinden.
Genau geht es um 2 LANs einmal mit den IP-Bereich 192.168.10.X und 192.168.11.X.
Beide habe einen 3Mbit downstream 406 kBit upstream DSL-Leitung, als sicherlich ausreichend.
Auf beiden Anschlüssen sind feste IPs A.B.C.D und W.X.Y.Z hinterlegt.
Ich könnte auch auf dyndns zurückgreifen würde es aber eher ungern.
In beiden Netzwerken steht ein Windows 2003 Server und beide Netzwerke sind Domänen, im 10er Netz HERE, im 11er Netz THERE.
Ich möchte jetzt eine dauerhafte Verbindung zwischen den beiden Standorten aufbauen, so, dass es im Endeffekt wieder ein Netzwerk wird, aber mit verschiedenen Subnetzen.
Ich habe mich die letzten 7 Stunden mit diversen Tutorials vom Microsoft und anderen herumgeschlagen und sehe irgendwie kein Land mehr. Irgendwie gehorcht mir aber weder RAS noch Routing so richtig und mit der Firewall sehe ich auch nicht mehr durch.
Wichtig ist noch: ich habe an beiden Standorten jeweils eine Fritz!Box WLAN im Einsatz und habe schon den Port 1723 TCP und GRE beiderseits freigegeben.
Irgendwie bringt das aber nicht, denn wenn ich die Verbindung aufbauen will, bietet er mir nur unter dem Fehler 629 (Verbindungstrennung vor Verbindungsaufbau) eine Rückrufoption an, die mir nicht bringt, weil ich ja keine Dial-Up-Verbindung habe, sondern eine dauerhafte DSL-Verbindung.
Ich hoffe ich habe jetzt alles gesagt, was nötig ist, wenn nicht BITTE FRAGEN.
Danke schonmal für jeden Hinweis
euer leicht verzweifelter falcon
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 23737
Url: https://administrator.de/contentid/23737
Ausgedruckt am: 22.11.2024 um 15:11 Uhr
10 Kommentare
Neuester Kommentar
Morgen,
Bleib ruhig beiden deinen Statischen WAN Adressen, ABCD und WXYZ, macht dir die ganze Sache einfacher.
Deine Dauerhafte DSL Verbindung nicht direkt etwas mit der Verbindungszeit des VPNs zu tun.
Ist dir klar, um welche VPN Verbindung es sich bei dir handelt (weis nicht ob du dich mit er Thematisch schon auseinander gesetzt hast).
Da du 2 Netzwerke, unterschiedlichen standortes, verbinden willst, willst du ein
Site-to-Site VPN aufbauen.
Frage eins: Unterstützen deine Router das überhaupt??
Frage zwei: Unterstützen deine Router NAT Traversal? bzw. "normales" NAT??
Frage drei: Welches VPN Protokoll, Verschlüsselung, etc willst du verwenden??
Falls du dich noch nicht näher mit der VPN Thematich beschäftigt hast, schau dir evtl. mal folgendes Links an:
http://www2.fh-fulda.de/~klingebiel/nbs-kolloquium/vpn/
http://www.uni-muenster.de/ZIV/Rechnernetz/VN/VPN/Allgemeine_Einfuehrun ...
http://www.fim.uni-linz.ac.at/Diplomarbeiten/diplomarbeit_hekerens/inha ...
http://www.tcp-ip-info.de/tcp_ip_und_internet/vpn.htm#Animation
denke das sollte reichen und dir etwas mehr als einen groben überblick verschafen
Mfg
Felix
Hat dir dieser Beitrage geholfen?
Über eine Bewertung als Feedback würde ich mich sehr freuen.
Bleib ruhig beiden deinen Statischen WAN Adressen, ABCD und WXYZ, macht dir die ganze Sache einfacher.
Deine Dauerhafte DSL Verbindung nicht direkt etwas mit der Verbindungszeit des VPNs zu tun.
Ist dir klar, um welche VPN Verbindung es sich bei dir handelt (weis nicht ob du dich mit er Thematisch schon auseinander gesetzt hast).
Da du 2 Netzwerke, unterschiedlichen standortes, verbinden willst, willst du ein
Site-to-Site VPN aufbauen.
Frage eins: Unterstützen deine Router das überhaupt??
Frage zwei: Unterstützen deine Router NAT Traversal? bzw. "normales" NAT??
Frage drei: Welches VPN Protokoll, Verschlüsselung, etc willst du verwenden??
Falls du dich noch nicht näher mit der VPN Thematich beschäftigt hast, schau dir evtl. mal folgendes Links an:
http://www2.fh-fulda.de/~klingebiel/nbs-kolloquium/vpn/
http://www.uni-muenster.de/ZIV/Rechnernetz/VN/VPN/Allgemeine_Einfuehrun ...
http://www.fim.uni-linz.ac.at/Diplomarbeiten/diplomarbeit_hekerens/inha ...
http://www.tcp-ip-info.de/tcp_ip_und_internet/vpn.htm#Animation
denke das sollte reichen und dir etwas mehr als einen groben überblick verschafen
Mfg
Felix
Hat dir dieser Beitrage geholfen?
Über eine Bewertung als Feedback würde ich mich sehr freuen.
moin falcon.
der felix hat die problematik schon schön beschrieben.
allerdings würde ich noch gern einen link beisteuern, den ich für sehr hilfreich halte.
http://freifunk.net/wiki/OpenVPNHowtoDatenaustauschNachVerbindngsherste ...
gruss
core
der felix hat die problematik schon schön beschrieben.
allerdings würde ich noch gern einen link beisteuern, den ich für sehr hilfreich halte.
http://freifunk.net/wiki/OpenVPNHowtoDatenaustauschNachVerbindngsherste ...
gruss
core
Moin,
besorge die zwei Router welche per VPN eine site-to-site Verbindung unterstützen.
z.B. Lancom 1611+, etc..
Dort werden die Routen ins Internet und in den VPN Tunnel eingetragen und fertig ist der Lack und keine Probs mehr.
Grüße
PS.: Mit den Geräten ein echtes Kinderspiel und geht ohne Probleme.
besorge die zwei Router welche per VPN eine site-to-site Verbindung unterstützen.
z.B. Lancom 1611+, etc..
Dort werden die Routen ins Internet und in den VPN Tunnel eingetragen und fertig ist der Lack und keine Probs mehr.
Grüße
PS.: Mit den Geräten ein echtes Kinderspiel und geht ohne Probleme.
hi
also welche Geräte verwendet werden ist letztendlich fast egal, also der Hersteller.
Wichtig ist, dass sie in deinem Fall Site-to-Site VPN unterstützen, du wirst von der Vielfallt vermutlich erschlagen.
Interessant wird es erst, wenn du ein Client-to-Site VPN aufbauen willst, ohne einen besonderen Client verwenden zu wollen. Aber das ist eine andere Thematik.
Mfg
Felix
also welche Geräte verwendet werden ist letztendlich fast egal, also der Hersteller.
Wichtig ist, dass sie in deinem Fall Site-to-Site VPN unterstützen, du wirst von der Vielfallt vermutlich erschlagen.
Interessant wird es erst, wenn du ein Client-to-Site VPN aufbauen willst, ohne einen besonderen Client verwenden zu wollen. Aber das ist eine andere Thematik.
Mfg
Felix
Hi Leute,
was ich eigentlich will, ist ohne zusätzliche Software nur mit 2 Win2k3 Servern ein site2site-VPN aufbauen. Folglich unterstützen das die Router nicht.
Soweit ich das sehe gibt AVM das normale NAT als Portfreigabe aus. Dabei kann ich aber immer nur einzelne Ports auf einen Rechner weiterleiten.
Kann ich das damit überhaupt oder brauche ich NAT traversal?
Über Protokolle und Verschlüsselungen habe ich mir noch nicht den großen Kopf gemacht, weil ich erstmal dafür sorgen muss, dass es läuft.
Ich habe jetzt erstmal die Finger von RAS und Co gelassen und einfach den einen Server für eingehende Verbindungen freigeschaltet und den anderen dann darauf verbinden lassen.
Das geht zwar, aber nur die Server untereinander können in das Netzwerk des anderen zugreifen.
Ich schätze das Problem geht jetzt langsam in Richtung Routing, aber irgendwie habe ich schon einige Routen ausprobiert und es ging irgendwie nie.
Sollte ich auf der Basis dessen, was ich schon habe, irgendwas erreichen, bin ich erstmal happy, weil dann hätte ich genug Zeit mit ein ordentliches Konzept auszudenken.
Ich bin für alle Hinweise offen.
Danke nochmal
falcon
was ich eigentlich will, ist ohne zusätzliche Software nur mit 2 Win2k3 Servern ein site2site-VPN aufbauen. Folglich unterstützen das die Router nicht.
Soweit ich das sehe gibt AVM das normale NAT als Portfreigabe aus. Dabei kann ich aber immer nur einzelne Ports auf einen Rechner weiterleiten.
Kann ich das damit überhaupt oder brauche ich NAT traversal?
Über Protokolle und Verschlüsselungen habe ich mir noch nicht den großen Kopf gemacht, weil ich erstmal dafür sorgen muss, dass es läuft.
Ich habe jetzt erstmal die Finger von RAS und Co gelassen und einfach den einen Server für eingehende Verbindungen freigeschaltet und den anderen dann darauf verbinden lassen.
Das geht zwar, aber nur die Server untereinander können in das Netzwerk des anderen zugreifen.
Ich schätze das Problem geht jetzt langsam in Richtung Routing, aber irgendwie habe ich schon einige Routen ausprobiert und es ging irgendwie nie.
Sollte ich auf der Basis dessen, was ich schon habe, irgendwas erreichen, bin ich erstmal happy, weil dann hätte ich genug Zeit mit ein ordentliches Konzept auszudenken.
Ich bin für alle Hinweise offen.
Danke nochmal
falcon
Hi,
also du hast in deinem LAN einen Router (AVM ....)! D.h. auf deinen Clients ist dieser Router als Gateway eingetragen, das bedeutet du kannst auf deinem w2k3 Server Routen eintragen solange du lustig bist, alles was nicht in dein LAN gehört kommt zum Gateway und in deinem LAN ist Gateway != Router.
Also entweder du richtest deine w2k3 Server als Router ein und nutzt die AVM Kisten nur als Modem oder du richtest ein weiteres Subnetz zwischen Server und AVM Router ein (zweite NIC im Server notwendig) und routest dann dein LAN über deinen Server.
Ansonsten siehe mein Posting weiter oben.
Grüße
also du hast in deinem LAN einen Router (AVM ....)! D.h. auf deinen Clients ist dieser Router als Gateway eingetragen, das bedeutet du kannst auf deinem w2k3 Server Routen eintragen solange du lustig bist, alles was nicht in dein LAN gehört kommt zum Gateway und in deinem LAN ist Gateway != Router.
Also entweder du richtest deine w2k3 Server als Router ein und nutzt die AVM Kisten nur als Modem oder du richtest ein weiteres Subnetz zwischen Server und AVM Router ein (zweite NIC im Server notwendig) und routest dann dein LAN über deinen Server.
Ansonsten siehe mein Posting weiter oben.
Grüße
Hi,
sorry, aber so leicht ist es leider nicht.
Der Server ist der Gateway.
Die AVM-Kisten sollen schon als Router und Firewall funktionieren, da ich einfach den Microsoftschen Sicherheitsfunktionen nicht wirkliche traue.
Somit route ich mein komplettes LAN über den Server und von dem dann zum Router ins Netz. Auf der anderen Seite das Gleiche.
Gruß
falcon
sorry, aber so leicht ist es leider nicht.
Der Server ist der Gateway.
Die AVM-Kisten sollen schon als Router und Firewall funktionieren, da ich einfach den Microsoftschen Sicherheitsfunktionen nicht wirkliche traue.
Somit route ich mein komplettes LAN über den Server und von dem dann zum Router ins Netz. Auf der anderen Seite das Gleiche.
Gruß
falcon
hi falcon,
also du kannst ja die AVM Kisten tun und lassen was du willst, und konfigurieren in deinem gesamten LAN wo wann wie und warum auch immer, aber solange die Kisten nichtmal VPN
Fähig sind, hast du nicht mal den hauch einer Chance IRGENDWAS hinzubekommen.
BEIDE Router müssen SITE TO SITE VPNs Unterstützen.
BEIDE Router müssen NAT TRAVERSAL Unterstützen.
Beide Anforderungen unterstützen dein Router gar nicht erst
http://www.avm.de/de/Produkte/index.html
wenn du also an diesen Routern weiter machen willst, musst du ohne VPN auskommen!
Hoffe es ist dir klar woran dein Hauptproblem lieg!!
ps.: ob nun deine Server = gateway sind oder nicht, damit kannste dich später noch ausführlich rumschlagen, erstmal benötigst du VPN fähige Hardware
für die hardware:
u.a. Netgear, ZyXEL sind nur grad 2 die mir Einfallen, gibt aber noch weit mehr.
Mfg
Felix
also du kannst ja die AVM Kisten tun und lassen was du willst, und konfigurieren in deinem gesamten LAN wo wann wie und warum auch immer, aber solange die Kisten nichtmal VPN
Fähig sind, hast du nicht mal den hauch einer Chance IRGENDWAS hinzubekommen.
BEIDE Router müssen SITE TO SITE VPNs Unterstützen.
BEIDE Router müssen NAT TRAVERSAL Unterstützen.
Beide Anforderungen unterstützen dein Router gar nicht erst
http://www.avm.de/de/Produkte/index.html
wenn du also an diesen Routern weiter machen willst, musst du ohne VPN auskommen!
Hoffe es ist dir klar woran dein Hauptproblem lieg!!
ps.: ob nun deine Server = gateway sind oder nicht, damit kannste dich später noch ausführlich rumschlagen, erstmal benötigst du VPN fähige Hardware
für die hardware:
u.a. Netgear, ZyXEL sind nur grad 2 die mir Einfallen, gibt aber noch weit mehr.
Mfg
Felix
Danke an alle für eure Mühen.
So werde ich dann wohl ein paar andere Geräte anschaffen.
Für alle mit dem gleichen Problem, kann ich den DrayTek Vigor2600G ADSL Router als Suchansatz geben. Der kann so relativ alles.
Das andere Gerät war übrigens auch als VPN-fähig einzustufen, da eine Einzelanbindung möglich ist, jedoch ganze Netzwerke nicht angebunden werden können.
Vielen Dank nochmal an alle
the falcon
So werde ich dann wohl ein paar andere Geräte anschaffen.
Für alle mit dem gleichen Problem, kann ich den DrayTek Vigor2600G ADSL Router als Suchansatz geben. Der kann so relativ alles.
Das andere Gerät war übrigens auch als VPN-fähig einzustufen, da eine Einzelanbindung möglich ist, jedoch ganze Netzwerke nicht angebunden werden können.
Vielen Dank nochmal an alle
the falcon
hi
ja Draytek ist eine interessante Firma, mit der wir eigentlich auch in Kontakt treten wollten, dort jedoch niemand mit uns reden wollte.
Scheinbar als einziger Anbieter bekommt es DrayTek hin, Router herzustellen, die IPsecOverL2TP können, dies ist besonders wichtig, da somit auch eine Client-to-Site VPN Verbindung aufgebaut werden kann.
Reiche Site-to-Site Router können dies auch, benötigen jedoch einen "speziellen" VPN IPsec Client. Da Site-to-Site Router "reines" IPsec verwenden, und somit mit den standart Windows tools (bin mir grad nicht 100%ig sicher ob unter Linux standartmäßig ein IPsec Client bei liegt)
nicht verwendet werden können.
Nur mal so als kleinen Hinweis
Mfg
Felix
Hat euch dieser Beitrag geholfen?
Über eine Bewertung als Feedback würde ich mich freuen
ja Draytek ist eine interessante Firma, mit der wir eigentlich auch in Kontakt treten wollten, dort jedoch niemand mit uns reden wollte.
Scheinbar als einziger Anbieter bekommt es DrayTek hin, Router herzustellen, die IPsecOverL2TP können, dies ist besonders wichtig, da somit auch eine Client-to-Site VPN Verbindung aufgebaut werden kann.
Reiche Site-to-Site Router können dies auch, benötigen jedoch einen "speziellen" VPN IPsec Client. Da Site-to-Site Router "reines" IPsec verwenden, und somit mit den standart Windows tools (bin mir grad nicht 100%ig sicher ob unter Linux standartmäßig ein IPsec Client bei liegt)
nicht verwendet werden können.
Nur mal so als kleinen Hinweis
Mfg
Felix
Hat euch dieser Beitrag geholfen?
Über eine Bewertung als Feedback würde ich mich freuen
