supernicky
Goto Top

VPN weiterleiten über zwei Router im Netzwerk

Hallo zusammen,

ich habe mir einen VPN Router mit Linux eingerichtet.
Bisher stand dieser hinter dem Router und der Router hat den Port 1723 einfach zum Linux Rechner
durchgeschleift, was nie Probleme gemacht hat.

Nun habe ich folgende Anleitung im Netz gefunden um das ganze noch etwas mehr abzusichern,
da PPTP wohl nicht mehr ganz so sicher ist.

http://dozent.maruweb.de/material/firewall.shtml
Auf dem Speicher habe ich noch einen alten Router gefunden (10-15 Jahre alt) und habe mir
das zweite Szenario eingerichtet (unter Firewall Konzepte)

Die innere und äußere Firewall (Router) haben unterschiedliche Netze
Außen: 192.168.15.1/255.255.255.128 WAN IP: feste IP vom ISP
Innen: 192.168.16.1/255.255.255.128 WAN IP: 192.168.15.23/255.255.255.128

Die Verbindung von innen ins Internet klappt tadellos von jedem Rechner, jedoch möchte ich
gern wieder mein VPN nutzen und müsste es ja durch beide Router weiterleiten.

Der Zielrechner wäre: 192.168.16.23/255.255.255.128

Versucht habe ich folgendes:
Router (außen) leitet per Portweiterleitung die Daten an die IP 192.168.15.23 = WAN Router innen.
Der Router (innen) leitet die Daten dann per Static Route weiter an 192.168.16.23.

Ebenso habe ich auch mal eine WAN-to-LAN Regel erstellt, aber auch hier ohne erfolgreicher Verbindung.
Was mir noch bleibt ist durch den innen Router eine DMZ einzurichten, aber die gehört ja
zum außen Router.

Hat jemand einen Tipp zum konfigurieren der Routen?

Router außen: Netgear1000v3
Router innen: LanConnection (ca. 15 Jahre alt, mehr steht nicht drauf)

Für Hilfe bin ich wie immer dankbar

Nicky

Content-ID: 273544

Url: https://administrator.de/contentid/273544

Ausgedruckt am: 14.11.2024 um 15:11 Uhr

the-buccaneer
the-buccaneer 01.06.2015, aktualisiert am 02.06.2015 um 01:37:48 Uhr
Goto Top
moin supernicky!

du hast eine routerkaskade gebaut. warum? steht etwas hinter router 1 (wan), was vom internen netz getrennt sein soll und aus dem internet erreichbar sein soll? (ein webserver?) jaja, ein vpn-server, aber der routet immer zwischen internem und externem netz und:

warum sollte pptp sicherer werden, wenn ich 2 x nat mache?
setze auf deiner linux büchse ein ipsec oder ein open vpn auf und gut ists.

wenn du pptp absichern willst, geht das noch mit zertifikaten. (zumindest bei den ms servern) alternativ bleibt auch ein l2tp over ipsec um den microsoft einwahlclient weiter nutzen zu können. (das geht sogar gut!) freebsd basierte lösungen wie die pfsense unterstützen das auch.

oder du sagst: "### drauf", denn das pptp zu hacken ist nicht ganz trivial und erfordert eine "man-in-the-midlle-attacke", die, wenn kein wlan mitgesnifft werden kann in deinem netz oder im providernetz stattfinden muss. der hacker hat die technik nicht veröfentlicht, sondern bietet für 200$ den key aus gesnifften eingeschickten paketen.

also: zurückbauen, oder den grund das 2 router-prinzip erklären.

was für eine lösung auf welchem linux verschweigst du ja leider, so kann dir keiner der linux spezialisten antworten. (was i.a. auch nicht nötig ist, denn es geht ums konzeptionelle)

gruß
buc
supernicky
supernicky 02.06.2015 um 07:47:57 Uhr
Goto Top
hallo,

hinter wan1 steht ein linux-server (web, cloud, mail, xmpp).
wieso ich das mache ist im link aus dem ersten beitrag ersichtlich.
sollte es möglich sein den linux-servert(centos) anzugreifen,
sollte das übrige netzwerk geschützt bleiben.

pptpd ist bis jetzt die einzige vpn lösung die ich zum laufen bekommen habe (mit boardmitteln unter win7).

hast du eine anleitung für l2tp/ipsec?

nicky
aqui
aqui 02.06.2015 aktualisiert um 08:24:38 Uhr
Goto Top
TCP 1723 weiterzuleiten ist ja nur die halbe Miete ! Jeder Netzwerker weiss das bei PPTP die Daten in GRE getunnelt werden ! PPTP besteht aus TCP 1723 und dem GRE Protokoll. GRE ist ein eigenständiges IP Protokoll mit der Nummer 47 (nicht TCP oder UDP 47 !!)
Wenn du das in beiden FWs forwardest dann funktioniert das auch fehlerfrei...sofern du denn bei deinem PPTP bleiben willst als VPN Protokoll ?!
Andere VPN Protokolle nutzen natürlich wieder andere Ports, klar.
Was da zu beachten ist bei PPTP hinter NAT Firewalls kannst du hier nachlesen:
VPNs einrichten mit PPTP
Speziell im Kapitel "Hinter NAT Firewalls..." !

P.S.: Deine Shift Taste ist defekt. Solltest du beizeiten mal reparieren.
supernicky
supernicky 02.06.2015 um 09:29:18 Uhr
Goto Top
Hallo aqui,

Shift-Taste geht, nur am Pad sehr lästig.

Also wie mit einem Router einfach "forwarden" auf den WAN Port von Router2
und dieser "forwardet" dann weiter an den Vpn-Server?
Da Router2 über das WAN Interface mit Router1 verbunden ist, nutze ich da
Wan-to-Lan oder das Forwarding?

Im Forwarding Menü von Router2 habe ich zudem für mich unverständliche Einstellmöglichkeiten.

Source from: __.__.__.__
to: __.__.__.__

Destination from: __.__.__.__
to: __.__.__.__

Normalerweise trage ich nur die Zieladresse ein oder nicht?
Wie mache ich das hier?
Kann ich hier auf mehrere IP's "umleiten"?

Und den Linux Server richte ich hinter Router1 als DMZ ein.

Gruss, Nicky
aqui
Lösung aqui 02.06.2015 aktualisiert um 17:27:02 Uhr
Goto Top
einfach "forwarden" auf den WAN Port von Router2 und dieser "forwardet" dann weiter an den Vpn-Server?
Ganz genau so ist es ! Du betreibst ja eine Router Kaskade.
Router oder Firewall 1 die direkt am Internet ist forwardet eingehend TCP 1723 und das GRE Protokoll (47) an die WAN Port IP von Router oder Firewall 2 der ja am LAN Port angeschlossen ist.
Der wiederum forwardet beide Protokollkomponenten auf die lokale LAN IP des PPTP VPN Servers....fertig ist der Lack.
Sagt einem ja auch schon der gesunde Menschenverstand wenn man sich mal vorstellt WIE ein PPTP VPN Paket das Ziel, nämlich den Server, von außen erreichen muss damits klappt !
Also logisch denken...

Router 1:
Incoming Source = any, Destination Port = TCP 1723 ==>> Outgoing IP = <WAN IP Router>, Destination Port = TCP 1723
Incoming Source = any, Protocoll = GRE (47) ==>> Outgoing IP = <WAN IP Router>

Router 2:
Incoming Source = any, Destination Port = TCP 1723 ==>> Outgoing IP = <VPN Server>, Destination Port = TCP 1723
Incoming Source = any, Protocoll = GRE (47) ==>> Outgoing IP = <VPN Server>
the-buccaneer
the-buccaneer 04.06.2015 um 02:04:15 Uhr
Goto Top
face-wink

konsequente kleinschreibung ist ein statement. punkt.

habe leider nix zur einrichtung auf linux. nur pfsense oder windows server. das findest du aber sicher im netz. wenn es freebsd kann (pfsense) sollte es auch für andere derivate was geben. ich würd mich aber auch noch mit pptp entspannen, wenn ich keinen gezielten angriff erwarten würde.
lg
buck

@aqui: logisch denken bei vpn funktioniert so lange, bis man sich fragt, welche drogen die entwickler nehmen, die es nicht schaffen, ein klar definiertes protokoll wie ipsec kompatibel zu implementieren, das ist aber eine andere baustelle ..
aqui
aqui 04.06.2015 um 10:12:53 Uhr
Goto Top
@Freibeuter
Da hast du ganz zweifelsohne Recht mit dem letzten Satz !