VPN weiterleiten über zwei Router im Netzwerk
Hallo zusammen,
ich habe mir einen VPN Router mit Linux eingerichtet.
Bisher stand dieser hinter dem Router und der Router hat den Port 1723 einfach zum Linux Rechner
durchgeschleift, was nie Probleme gemacht hat.
Nun habe ich folgende Anleitung im Netz gefunden um das ganze noch etwas mehr abzusichern,
da PPTP wohl nicht mehr ganz so sicher ist.
http://dozent.maruweb.de/material/firewall.shtml
Auf dem Speicher habe ich noch einen alten Router gefunden (10-15 Jahre alt) und habe mir
das zweite Szenario eingerichtet (unter Firewall Konzepte)
Die innere und äußere Firewall (Router) haben unterschiedliche Netze
Außen: 192.168.15.1/255.255.255.128 WAN IP: feste IP vom ISP
Innen: 192.168.16.1/255.255.255.128 WAN IP: 192.168.15.23/255.255.255.128
Die Verbindung von innen ins Internet klappt tadellos von jedem Rechner, jedoch möchte ich
gern wieder mein VPN nutzen und müsste es ja durch beide Router weiterleiten.
Der Zielrechner wäre: 192.168.16.23/255.255.255.128
Versucht habe ich folgendes:
Router (außen) leitet per Portweiterleitung die Daten an die IP 192.168.15.23 = WAN Router innen.
Der Router (innen) leitet die Daten dann per Static Route weiter an 192.168.16.23.
Ebenso habe ich auch mal eine WAN-to-LAN Regel erstellt, aber auch hier ohne erfolgreicher Verbindung.
Was mir noch bleibt ist durch den innen Router eine DMZ einzurichten, aber die gehört ja
zum außen Router.
Hat jemand einen Tipp zum konfigurieren der Routen?
Router außen: Netgear1000v3
Router innen: LanConnection (ca. 15 Jahre alt, mehr steht nicht drauf)
Für Hilfe bin ich wie immer dankbar
Nicky
ich habe mir einen VPN Router mit Linux eingerichtet.
Bisher stand dieser hinter dem Router und der Router hat den Port 1723 einfach zum Linux Rechner
durchgeschleift, was nie Probleme gemacht hat.
Nun habe ich folgende Anleitung im Netz gefunden um das ganze noch etwas mehr abzusichern,
da PPTP wohl nicht mehr ganz so sicher ist.
http://dozent.maruweb.de/material/firewall.shtml
Auf dem Speicher habe ich noch einen alten Router gefunden (10-15 Jahre alt) und habe mir
das zweite Szenario eingerichtet (unter Firewall Konzepte)
Die innere und äußere Firewall (Router) haben unterschiedliche Netze
Außen: 192.168.15.1/255.255.255.128 WAN IP: feste IP vom ISP
Innen: 192.168.16.1/255.255.255.128 WAN IP: 192.168.15.23/255.255.255.128
Die Verbindung von innen ins Internet klappt tadellos von jedem Rechner, jedoch möchte ich
gern wieder mein VPN nutzen und müsste es ja durch beide Router weiterleiten.
Der Zielrechner wäre: 192.168.16.23/255.255.255.128
Versucht habe ich folgendes:
Router (außen) leitet per Portweiterleitung die Daten an die IP 192.168.15.23 = WAN Router innen.
Der Router (innen) leitet die Daten dann per Static Route weiter an 192.168.16.23.
Ebenso habe ich auch mal eine WAN-to-LAN Regel erstellt, aber auch hier ohne erfolgreicher Verbindung.
Was mir noch bleibt ist durch den innen Router eine DMZ einzurichten, aber die gehört ja
zum außen Router.
Hat jemand einen Tipp zum konfigurieren der Routen?
Router außen: Netgear1000v3
Router innen: LanConnection (ca. 15 Jahre alt, mehr steht nicht drauf)
Für Hilfe bin ich wie immer dankbar
Nicky
Please also mark the comments that contributed to the solution of the article
Content-ID: 273544
Url: https://administrator.de/contentid/273544
Printed on: October 4, 2024 at 05:10 o'clock
7 Comments
Latest comment
moin supernicky!
du hast eine routerkaskade gebaut. warum? steht etwas hinter router 1 (wan), was vom internen netz getrennt sein soll und aus dem internet erreichbar sein soll? (ein webserver?) jaja, ein vpn-server, aber der routet immer zwischen internem und externem netz und:
warum sollte pptp sicherer werden, wenn ich 2 x nat mache?
setze auf deiner linux büchse ein ipsec oder ein open vpn auf und gut ists.
wenn du pptp absichern willst, geht das noch mit zertifikaten. (zumindest bei den ms servern) alternativ bleibt auch ein l2tp over ipsec um den microsoft einwahlclient weiter nutzen zu können. (das geht sogar gut!) freebsd basierte lösungen wie die pfsense unterstützen das auch.
oder du sagst: "### drauf", denn das pptp zu hacken ist nicht ganz trivial und erfordert eine "man-in-the-midlle-attacke", die, wenn kein wlan mitgesnifft werden kann in deinem netz oder im providernetz stattfinden muss. der hacker hat die technik nicht veröfentlicht, sondern bietet für 200$ den key aus gesnifften eingeschickten paketen.
also: zurückbauen, oder den grund das 2 router-prinzip erklären.
was für eine lösung auf welchem linux verschweigst du ja leider, so kann dir keiner der linux spezialisten antworten. (was i.a. auch nicht nötig ist, denn es geht ums konzeptionelle)
gruß
buc
du hast eine routerkaskade gebaut. warum? steht etwas hinter router 1 (wan), was vom internen netz getrennt sein soll und aus dem internet erreichbar sein soll? (ein webserver?) jaja, ein vpn-server, aber der routet immer zwischen internem und externem netz und:
warum sollte pptp sicherer werden, wenn ich 2 x nat mache?
setze auf deiner linux büchse ein ipsec oder ein open vpn auf und gut ists.
wenn du pptp absichern willst, geht das noch mit zertifikaten. (zumindest bei den ms servern) alternativ bleibt auch ein l2tp over ipsec um den microsoft einwahlclient weiter nutzen zu können. (das geht sogar gut!) freebsd basierte lösungen wie die pfsense unterstützen das auch.
oder du sagst: "### drauf", denn das pptp zu hacken ist nicht ganz trivial und erfordert eine "man-in-the-midlle-attacke", die, wenn kein wlan mitgesnifft werden kann in deinem netz oder im providernetz stattfinden muss. der hacker hat die technik nicht veröfentlicht, sondern bietet für 200$ den key aus gesnifften eingeschickten paketen.
also: zurückbauen, oder den grund das 2 router-prinzip erklären.
was für eine lösung auf welchem linux verschweigst du ja leider, so kann dir keiner der linux spezialisten antworten. (was i.a. auch nicht nötig ist, denn es geht ums konzeptionelle)
gruß
buc
TCP 1723 weiterzuleiten ist ja nur die halbe Miete ! Jeder Netzwerker weiss das bei PPTP die Daten in GRE getunnelt werden ! PPTP besteht aus TCP 1723 und dem GRE Protokoll. GRE ist ein eigenständiges IP Protokoll mit der Nummer 47 (nicht TCP oder UDP 47 !!)
Wenn du das in beiden FWs forwardest dann funktioniert das auch fehlerfrei...sofern du denn bei deinem PPTP bleiben willst als VPN Protokoll ?!
Andere VPN Protokolle nutzen natürlich wieder andere Ports, klar.
Was da zu beachten ist bei PPTP hinter NAT Firewalls kannst du hier nachlesen:
VPNs einrichten mit PPTP
Speziell im Kapitel "Hinter NAT Firewalls..." !
P.S.: Deine Shift Taste ist defekt. Solltest du beizeiten mal reparieren.
Wenn du das in beiden FWs forwardest dann funktioniert das auch fehlerfrei...sofern du denn bei deinem PPTP bleiben willst als VPN Protokoll ?!
Andere VPN Protokolle nutzen natürlich wieder andere Ports, klar.
Was da zu beachten ist bei PPTP hinter NAT Firewalls kannst du hier nachlesen:
VPNs einrichten mit PPTP
Speziell im Kapitel "Hinter NAT Firewalls..." !
P.S.: Deine Shift Taste ist defekt. Solltest du beizeiten mal reparieren.
einfach "forwarden" auf den WAN Port von Router2 und dieser "forwardet" dann weiter an den Vpn-Server?
Ganz genau so ist es ! Du betreibst ja eine Router Kaskade.Router oder Firewall 1 die direkt am Internet ist forwardet eingehend TCP 1723 und das GRE Protokoll (47) an die WAN Port IP von Router oder Firewall 2 der ja am LAN Port angeschlossen ist.
Der wiederum forwardet beide Protokollkomponenten auf die lokale LAN IP des PPTP VPN Servers....fertig ist der Lack.
Sagt einem ja auch schon der gesunde Menschenverstand wenn man sich mal vorstellt WIE ein PPTP VPN Paket das Ziel, nämlich den Server, von außen erreichen muss damits klappt !
Also logisch denken...
Router 1:
Incoming Source = any, Destination Port = TCP 1723 ==>> Outgoing IP = <WAN IP Router>, Destination Port = TCP 1723
Incoming Source = any, Protocoll = GRE (47) ==>> Outgoing IP = <WAN IP Router>
Router 2:
Incoming Source = any, Destination Port = TCP 1723 ==>> Outgoing IP = <VPN Server>, Destination Port = TCP 1723
Incoming Source = any, Protocoll = GRE (47) ==>> Outgoing IP = <VPN Server>
konsequente kleinschreibung ist ein statement. punkt.
habe leider nix zur einrichtung auf linux. nur pfsense oder windows server. das findest du aber sicher im netz. wenn es freebsd kann (pfsense) sollte es auch für andere derivate was geben. ich würd mich aber auch noch mit pptp entspannen, wenn ich keinen gezielten angriff erwarten würde.
lg
buck
@aqui: logisch denken bei vpn funktioniert so lange, bis man sich fragt, welche drogen die entwickler nehmen, die es nicht schaffen, ein klar definiertes protokoll wie ipsec kompatibel zu implementieren, das ist aber eine andere baustelle ..
@Freibeuter
Da hast du ganz zweifelsohne Recht mit dem letzten Satz !
Da hast du ganz zweifelsohne Recht mit dem letzten Satz !