superarnie
Goto Top

(Wie) Kann ich aus einem LAN mehrere VPN Verbindungen zu verschiedenen VPN-Servern realisieren?

Im LAN befinden sich mehrere PCs von denen zwei per VPN auf zwei verschiedene VPN-Server zugreifen sollen. Zusätzlich soll eine VoIP Verbindung über VPN zu einer TK-Anlage in einem der beiden Netze geschaffen werden.

PC1 und PC2 befinden sich in einem privaten LAN. Von PC1 wird mittels NetGEAR VPN-Client eine VPN-Verbindung zu einem Terminalserver aufgebaut. Diese Verbindung existiert und funktioniert bereits. Der PC2 soll jetzt ebenfalls eine VPN-Verbindung nach draußen aufbauen - allerdings zu einem Citrix-Server in einem anderen Netz als PC1. Außerdem soll ein VoIP Telefon genutzt werden, das über eine TK-Anlage im gleichen Netz wie der Citrix-Server über VPN erreicht werden soll.

Lässt sich das realisieren und wenn ja, wie?

Content-ID: 114508

Url: https://administrator.de/contentid/114508

Ausgedruckt am: 25.11.2024 um 01:11 Uhr

madlj
madlj 23.04.2009 um 15:53:30 Uhr
Goto Top
Wie soll der PC2 denn die VPN-Verbindung herstellen? Über MS VPN oder auch über einen eigenen VPN Client?
SuperArnie
SuperArnie 23.04.2009 um 18:32:16 Uhr
Goto Top
Das ist (noch) nicht festgelegt. Für die bereits existierende VPN-Verbindung von PC1 muss zwingend der NetGEAR Client verwendet werden. An dieser Verbindung kann und darf ich nichts ändern. Für die VPN-Verbindung des PC2 gibt es noch keine Vorgaben. Ich möchte erst einmal wissen, ob das überhaupt funktionieren wird und was ich dafür beachten muss.
aqui
aqui 25.04.2009 um 20:51:12 Uhr
Goto Top
Das ist doch eine Point to Point Verbindung ! Warum sollte das nicht funktionieren ???

Knackpunkt ist dein Router ! Der muss mit separaten VPN Sessions umgehen können also das Feature VPN Passthrough supporten und dabei auch noch die Session IDs im GRE oder ESP Tunnel tracken können je nachdem was für ein VPN Protokoll du verwendest.
Diese Information teilst du uns intelligenterweise aber leider nicht mit, so das eine qualifizierte Antwort schwierig ist und in Raterei abgleitet !!

Technisch spricht nichts gegen ein solchens Szenario !!
madlj
madlj 27.04.2009 um 08:05:19 Uhr
Goto Top
Dem kann ich nichts mehr hinzufügen. Manche Router können das manch andere nicht. Manche beschränken das noch auf 10 maximal gleichzeitige Sessions usw.

Generell ist es aber möglich
SuperArnie
SuperArnie 27.04.2009 um 16:04:15 Uhr
Goto Top
Die fehlenden Informationen sind nicht mangelnder Intelligenz, sondern fehlenden Informationen. Auf der Seite des Servers, zu dem PC2 und das VoIP-Telefon eine Verbindung aufbauen sollen, ist jetzt ein Draytek 2820 angeschafft worden. Dieser Router sollte das doch sicher können.

Meine bisherige Erfahrung zeigt leider, dass ich wohl auch auf der Seite des LANs, dem PC1 und PC2 sowie das VoIP-Telefon angehören, einen neuen Router brauche. Gibt es dazu - außer der naheliegenden Variante Draytek face-wink - eine Empfehlung?
aqui
aqui 27.04.2009 um 16:15:20 Uhr
Goto Top
Das ist ja selber ein VPN Router, damit kannst du die VPN Verbindungen direkt vom Router machen bzw. durch den Router erledigen egal ob PPTP oder IPsec. Der Draytek supportet beide Protokolle:

http://www.draytek.de/Beispiele_html/VPN/LAN-LAN-PPTP.htm
bzw.
http://www.draytek.de/Beispiele_html/VPN/LAN-LAN-IPSec.htm

Damit hast du dann generell keinerlei Probleme mehr mit NAT und VPN Sessiontracking, da der Router dann die VPN Verbindungen hält und nicht mehr der Client.

Generell ist das technisch die allerbeste Methode sowas zu realisieren, denn so ist das VPN routerbasierend und nicht abhängig von Clients oder Servern !!
Es ist naheliegend das dann auch die 2te Seite am besten ein Draytek sein sollte....
SuperArnie
SuperArnie 27.04.2009 um 18:41:37 Uhr
Goto Top
Danke für die Antworten bis hierher.

Bekomme ich Schwierigkeiten mit der VPN-Verbindung für PC1 bei dieser Konstruktion? Die Gestaltung dieser Verbindung bestimmt ja ausschließlich der Betreiber des Terminalservers und der schreibt den NetGear VPN-Client zwingend vor. Es ist hier wohl nicht vorgesehen, die Konfiguration dieser VPN-Verbindung freizugeben, um sie z.B. im DrayTek einzurichten.
aqui
aqui 28.04.2009 um 10:26:14 Uhr
Goto Top
Die Vorschrift eines VPN Clients ist natürlich Blödsinn, denn damit will der Betreiber sich nur den "Service Rücken" freihalten, das ist klar !
Der NetGear Client benutzt ganz schlicht und einfach IPsec ESP im Agressive Modus wie zig andere VPN Clients auch.
Vermutlich wird er es nichtmal merken wenn du die VPN Verbindung auf den Router umstellst wie so oft, denn der Router supportet diese Protokoll auch....

Aber auch wenn du es so lässt funktioniert es. Das Konzept ist etwas blödsinning denn du machst es eigentlich richtig indem du alle VPN Verbindungen auf den Router ziehst nur aus politischen Gründen müsstest du dann eine einzige VPN Session endgerätebezogen betreiben mit VPN Passthrough.
Technisch nicht das Gelbe vom Ei ums mal vorsichtig zu formulieren aber durchaus machbar....
SuperArnie
SuperArnie 28.04.2009 um 14:44:16 Uhr
Goto Top
Zitat von @aqui:
Die Vorschrift eines VPN Clients ist natürlich Blödsinn,
denn damit will der Betreiber sich nur den "Service
Rücken"
freihalten, das ist klar !
Der NetGear Client benutzt ganz schlicht und einfach IPsec ESP im
Agressive Modus wie zig andere VPN Clients auch.
Vermutlich wird er es nichtmal merken wenn du die VPN Verbindung auf
den Router umstellst wie so oft, denn der Router supportet diese
Protokoll auch....

So gern ich auch diese VPN-Verbindung auf den Router auslagern würde - ich bin sicher es würde niemand bemerken - fürchte ich, dass das nicht funktionieren wird. Da ich nur ein Config-File für den NetGear VPN-Client habe, verfüge ich wohl nicht über die notwendigen Informationen, um sie am Router einzupflegen.

Aber auch wenn du es so lässt funktioniert es. Das Konzept ist
etwas blödsinning denn du machst es eigentlich richtig indem du
alle VPN Verbindungen auf den Router ziehst nur aus politischen
Gründen müsstest du dann eine einzige VPN Session
endgerätebezogen betreiben mit VPN Passthrough.
Technisch nicht das Gelbe vom Ei ums mal vorsichtig zu formulieren
aber durchaus machbar....

"Machbar" klingt schwierig ... Ist es das, oder beschränkt es sich darauf, zusätzlich zum originären VPN ein VPN-Passthrough dafür einzurichten? Soll heißen: Sind in dieser Konstellation besondere Probleme zu erwarten, und wenn ja, welche?
aqui
aqui 29.04.2009 um 12:24:41 Uhr
Goto Top
Das Problem ist das der VPN Router selber auf VPN Verbindunge hört.
Vermutlich macht er dann kein paralleles VPN Passthrough mehr, denn wie soll er unterscheiden ob eingehender VPN Traffic für ihn selber oder den Client hinter der NAT Firewall ist.
Du hättest damit diesen VPN Mischbetrieb.

Das ist ein Risikofaktor in deinem Szenario....
Es ist aber möglich das wenn der Client die VPN Session initiiert der Router die IPsec oder GRE Session ID cacht und so merkt ob es Passthrough ist oder eine VPN Session für ihn selber.

Das müsste man sicherheitshalber testen um ganz sicher zu gehen !!
SuperArnie
SuperArnie 04.05.2009 um 11:18:56 Uhr
Goto Top
Genau diese Problematik hatte ich befürchtet. "Mal eben" testen wird schon deswegen schwierig, weil beide VPN-Verbindungen nicht dem Privatvergnügen, sondern dem Broterwerb dienen. D.h. funktioniert eine der Verbindungen nicht, verdient einer kein Geld. Für Experimente ist in diesem Szenario wenig Raum.

Ich muss zusehen, ob die Konfiguration auf PC1 von NetGear Client auf eine routerbasierende VPN umgestellt werden kann. Sonst wird wohl eine alternative Konstruktion her müssen. Entweder müssen alle VPN-Verbindungen auf dem lokalen Router gebündelt werden, um ausschließlich routerbasierende VPN-Verbindungen zu nutzen und den Mischbetrieb (VPN und VPN-Passthrough) zu vermeiden, oder die weiteren VPN-Verbindungen müssen über einen zusätzlichen DSL-Anschluss mit eigenem Router laufen.

[EDITH: typos]
aqui
aqui 04.05.2009 um 17:42:00 Uhr
Goto Top
Die Konzentration der VPN Verbindungen auf einen VPN Router ist technisch gesehen der richtige Weg !!