the-falcon
Goto Top

VPN über zwei DSL-Leitungen mit AVM Fritz!Box WLAN und Windows 2003 Server

Hallo zusammen.
Ich betreue ein Netzwerk an zwei Standorten. Bisher waren diese durch eine direkte Leitung miteinander verbunden.
Das ist aber jetzt plötzlich nicht mehr der Fall.
Deshalb muss ich jetzt die Standorte per VPN verbinden.

Genau geht es um 2 LANs einmal mit den IP-Bereich 192.168.10.X und 192.168.11.X.

Beide habe einen 3Mbit downstream 406 kBit upstream DSL-Leitung, als sicherlich ausreichend.
Auf beiden Anschlüssen sind feste IPs A.B.C.D und W.X.Y.Z hinterlegt.

Ich könnte auch auf dyndns zurückgreifen würde es aber eher ungern.
In beiden Netzwerken steht ein Windows 2003 Server und beide Netzwerke sind Domänen, im 10er Netz HERE, im 11er Netz THERE.

Ich möchte jetzt eine dauerhafte Verbindung zwischen den beiden Standorten aufbauen, so, dass es im Endeffekt wieder ein Netzwerk wird, aber mit verschiedenen Subnetzen.

Ich habe mich die letzten 7 Stunden mit diversen Tutorials vom Microsoft und anderen herumgeschlagen und sehe irgendwie kein Land mehr. Irgendwie gehorcht mir aber weder RAS noch Routing so richtig und mit der Firewall sehe ich auch nicht mehr durch.

Wichtig ist noch: ich habe an beiden Standorten jeweils eine Fritz!Box WLAN im Einsatz und habe schon den Port 1723 TCP und GRE beiderseits freigegeben.
Irgendwie bringt das aber nicht, denn wenn ich die Verbindung aufbauen will, bietet er mir nur unter dem Fehler 629 (Verbindungstrennung vor Verbindungsaufbau) eine Rückrufoption an, die mir nicht bringt, weil ich ja keine Dial-Up-Verbindung habe, sondern eine dauerhafte DSL-Verbindung.

Ich hoffe ich habe jetzt alles gesagt, was nötig ist, wenn nicht BITTE FRAGEN.

Danke schonmal für jeden Hinweis
euer leicht verzweifelter falcon

Content-ID: 23737

Url: https://administrator.de/forum/vpn-ueber-zwei-dsl-leitungen-mit-avm-fritzbox-wlan-und-windows-2003-server-23737.html

Ausgedruckt am: 23.12.2024 um 17:12 Uhr

KH-AP
KH-AP 17.01.2006 um 08:25:25 Uhr
Goto Top
Morgen,

Bleib ruhig beiden deinen Statischen WAN Adressen, ABCD und WXYZ, macht dir die ganze Sache einfacher.
Deine Dauerhafte DSL Verbindung nicht direkt etwas mit der Verbindungszeit des VPNs zu tun.

Ist dir klar, um welche VPN Verbindung es sich bei dir handelt (weis nicht ob du dich mit er Thematisch schon auseinander gesetzt hast).
Da du 2 Netzwerke, unterschiedlichen standortes, verbinden willst, willst du ein
Site-to-Site VPN aufbauen.

Frage eins: Unterstützen deine Router das überhaupt??
Frage zwei: Unterstützen deine Router NAT Traversal? bzw. "normales" NAT??
Frage drei: Welches VPN Protokoll, Verschlüsselung, etc willst du verwenden??

Falls du dich noch nicht näher mit der VPN Thematich beschäftigt hast, schau dir evtl. mal folgendes Links an:
http://www2.fh-fulda.de/~klingebiel/nbs-kolloquium/vpn/
http://www.uni-muenster.de/ZIV/Rechnernetz/VN/VPN/Allgemeine_Einfuehrun ...
http://www.fim.uni-linz.ac.at/Diplomarbeiten/diplomarbeit_hekerens/inha ...
http://www.tcp-ip-info.de/tcp_ip_und_internet/vpn.htm#Animation

denke das sollte reichen und dir etwas mehr als einen groben überblick verschafen


Mfg
Felix

Hat dir dieser Beitrage geholfen?
Über eine Bewertung als Feedback würde ich mich sehr freuen.
coredump
coredump 17.01.2006 um 09:26:09 Uhr
Goto Top
moin falcon.

der felix hat die problematik schon schön beschrieben.
allerdings würde ich noch gern einen link beisteuern, den ich für sehr hilfreich halte.
http://freifunk.net/wiki/OpenVPNHowtoDatenaustauschNachVerbindngsherste ...

gruss
core
CouchCoach
CouchCoach 17.01.2006 um 09:27:45 Uhr
Goto Top
Moin,

besorge die zwei Router welche per VPN eine site-to-site Verbindung unterstützen.
z.B. Lancom 1611+, etc..

Dort werden die Routen ins Internet und in den VPN Tunnel eingetragen und fertig ist der Lack und keine Probs mehr.

Grüße

PS.: Mit den Geräten ein echtes Kinderspiel und geht ohne Probleme.
KH-AP
KH-AP 17.01.2006 um 09:50:58 Uhr
Goto Top
hi

also welche Geräte verwendet werden ist letztendlich fast egal, also der Hersteller.

Wichtig ist, dass sie in deinem Fall Site-to-Site VPN unterstützen, du wirst von der Vielfallt vermutlich erschlagen.
Interessant wird es erst, wenn du ein Client-to-Site VPN aufbauen willst, ohne einen besonderen Client verwenden zu wollen. Aber das ist eine andere Thematik.

Mfg
Felix
the-falcon
the-falcon 17.01.2006 um 12:25:19 Uhr
Goto Top
Hi Leute,

was ich eigentlich will, ist ohne zusätzliche Software nur mit 2 Win2k3 Servern ein site2site-VPN aufbauen. Folglich unterstützen das die Router nicht.

Soweit ich das sehe gibt AVM das normale NAT als Portfreigabe aus. Dabei kann ich aber immer nur einzelne Ports auf einen Rechner weiterleiten.
Kann ich das damit überhaupt oder brauche ich NAT traversal?

Über Protokolle und Verschlüsselungen habe ich mir noch nicht den großen Kopf gemacht, weil ich erstmal dafür sorgen muss, dass es läuft.

Ich habe jetzt erstmal die Finger von RAS und Co gelassen und einfach den einen Server für eingehende Verbindungen freigeschaltet und den anderen dann darauf verbinden lassen.
Das geht zwar, aber nur die Server untereinander können in das Netzwerk des anderen zugreifen.

Ich schätze das Problem geht jetzt langsam in Richtung Routing, aber irgendwie habe ich schon einige Routen ausprobiert und es ging irgendwie nie.

Sollte ich auf der Basis dessen, was ich schon habe, irgendwas erreichen, bin ich erstmal happy, weil dann hätte ich genug Zeit mit ein ordentliches Konzept auszudenken.

Ich bin für alle Hinweise offen.

Danke nochmal
falcon
CouchCoach
CouchCoach 17.01.2006 um 12:41:22 Uhr
Goto Top
Hi,

also du hast in deinem LAN einen Router (AVM ....)! D.h. auf deinen Clients ist dieser Router als Gateway eingetragen, das bedeutet du kannst auf deinem w2k3 Server Routen eintragen solange du lustig bist, alles was nicht in dein LAN gehört kommt zum Gateway und in deinem LAN ist Gateway != Router.

Also entweder du richtest deine w2k3 Server als Router ein und nutzt die AVM Kisten nur als Modem oder du richtest ein weiteres Subnetz zwischen Server und AVM Router ein (zweite NIC im Server notwendig) und routest dann dein LAN über deinen Server.

Ansonsten siehe mein Posting weiter oben.

Grüße
the-falcon
the-falcon 17.01.2006 um 12:51:58 Uhr
Goto Top
Hi,

sorry, aber so leicht ist es leider nicht.

Der Server ist der Gateway.

Die AVM-Kisten sollen schon als Router und Firewall funktionieren, da ich einfach den Microsoftschen Sicherheitsfunktionen nicht wirkliche traue.

Somit route ich mein komplettes LAN über den Server und von dem dann zum Router ins Netz. Auf der anderen Seite das Gleiche.

Gruß
falcon
KH-AP
KH-AP 17.01.2006 um 12:58:58 Uhr
Goto Top
hi falcon,

also du kannst ja die AVM Kisten tun und lassen was du willst, und konfigurieren in deinem gesamten LAN wo wann wie und warum auch immer, aber solange die Kisten nichtmal VPN
Fähig sind, hast du nicht mal den hauch einer Chance IRGENDWAS hinzubekommen.

BEIDE Router müssen SITE TO SITE VPNs Unterstützen.
BEIDE Router müssen NAT TRAVERSAL Unterstützen.

Beide Anforderungen unterstützen dein Router gar nicht erst
http://www.avm.de/de/Produkte/index.html

wenn du also an diesen Routern weiter machen willst, musst du ohne VPN auskommen!
Hoffe es ist dir klar woran dein Hauptproblem lieg!!

ps.: ob nun deine Server = gateway sind oder nicht, damit kannste dich später noch ausführlich rumschlagen, erstmal benötigst du VPN fähige Hardware

für die hardware:
u.a. Netgear, ZyXEL sind nur grad 2 die mir Einfallen, gibt aber noch weit mehr.

Mfg
Felix
the-falcon
the-falcon 18.01.2006 um 12:03:29 Uhr
Goto Top
Danke an alle für eure Mühen.

So werde ich dann wohl ein paar andere Geräte anschaffen.

Für alle mit dem gleichen Problem, kann ich den DrayTek Vigor2600G ADSL Router als Suchansatz geben. Der kann so relativ alles.

Das andere Gerät war übrigens auch als VPN-fähig einzustufen, da eine Einzelanbindung möglich ist, jedoch ganze Netzwerke nicht angebunden werden können.

Vielen Dank nochmal an alle
the falcon
KH-AP
KH-AP 19.01.2006 um 08:12:31 Uhr
Goto Top
hi
ja Draytek ist eine interessante Firma, mit der wir eigentlich auch in Kontakt treten wollten, dort jedoch niemand mit uns reden wollte.

Scheinbar als einziger Anbieter bekommt es DrayTek hin, Router herzustellen, die IPsecOverL2TP können, dies ist besonders wichtig, da somit auch eine Client-to-Site VPN Verbindung aufgebaut werden kann.
Reiche Site-to-Site Router können dies auch, benötigen jedoch einen "speziellen" VPN IPsec Client. Da Site-to-Site Router "reines" IPsec verwenden, und somit mit den standart Windows tools (bin mir grad nicht 100%ig sicher ob unter Linux standartmäßig ein IPsec Client bei liegt)
nicht verwendet werden können.

Nur mal so als kleinen Hinweis

Mfg
Felix

Hat euch dieser Beitrag geholfen?
Über eine Bewertung als Feedback würde ich mich freuen