Wie VPN Gateway hinter Router und UTM erreichen?
Hallo,
wir haben eine Lancom Router mit VPN im Einsatz, der direkt mit dem Internet verbunden war.
Von unserem Provider haben wir eine feste IP und der Verbindungsaufbau von Außen hat geklappt.
Nun haben wir eine UTM (auch Lancom) vor unseren Router geschaltet. Da sich diese nicht einwählen kann ist davor auch noch ein weiteres Modem, das per PPPoE beim Provider einwählt.
Internet -> Router1 (als DMZ) -> UTM -> Router2 (mit VPN)
feste IP -> 192.168.20.1 -> 192.168.30.1 -> 192.168.40.1
Auch ohne aktivierten Proxy bekommen wir nun keinen VPN Verbindungsaufbau von extern (Gateway antwortet nicht).
In der UTM haben wir die Ports für IPSec bzw. IKEv2 frei geschaltet.
Was habe ich vergessen?
wir haben eine Lancom Router mit VPN im Einsatz, der direkt mit dem Internet verbunden war.
Von unserem Provider haben wir eine feste IP und der Verbindungsaufbau von Außen hat geklappt.
Nun haben wir eine UTM (auch Lancom) vor unseren Router geschaltet. Da sich diese nicht einwählen kann ist davor auch noch ein weiteres Modem, das per PPPoE beim Provider einwählt.
Internet -> Router1 (als DMZ) -> UTM -> Router2 (mit VPN)
feste IP -> 192.168.20.1 -> 192.168.30.1 -> 192.168.40.1
Auch ohne aktivierten Proxy bekommen wir nun keinen VPN Verbindungsaufbau von extern (Gateway antwortet nicht).
In der UTM haben wir die Ports für IPSec bzw. IKEv2 frei geschaltet.
Was habe ich vergessen?
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1523774431
Url: https://administrator.de/forum/wie-vpn-gateway-hinter-router-und-utm-erreichen-1523774431.html
Ausgedruckt am: 26.04.2025 um 21:04 Uhr
6 Kommentare
Neuester Kommentar
Hallo,
Du musst eine Portweiterleitung auf das VPN-Gateway einstellen (NAT). UDP 500 und ESP
Wobei bei IPSec eine Routerkaskade immer mal problematisch werden kann (von instabil bis geht gar nicht).
Grüße
lcer
Was habe ich vergessen?
Du musst eine Portweiterleitung auf das VPN-Gateway einstellen (NAT). UDP 500 und ESP
Wobei bei IPSec eine Routerkaskade immer mal problematisch werden kann (von instabil bis geht gar nicht).
Grüße
lcer
Moin,
wäre es nicht sinnvoller, den VPN-Tunnel schon am Router 1 terminieren zu lassen?
Von dort kannst du mit Firewall-Regeln und Routing-Einträgen ja alles reglementieren. Zudem wäre euer VPN-Server dann auch in der DMZ angesiedelt und nicht im sensiblen LAN!?
Gruß
em-pie
wäre es nicht sinnvoller, den VPN-Tunnel schon am Router 1 terminieren zu lassen?
Von dort kannst du mit Firewall-Regeln und Routing-Einträgen ja alles reglementieren. Zudem wäre euer VPN-Server dann auch in der DMZ angesiedelt und nicht im sensiblen LAN!?
Gruß
em-pie
noch ein weiteres Modem, das per PPPoE beim Provider einwählt.
Dann ist das kein Modem sondern ein Router. Ein reines NUR Modem kann kein PPPoE, da es ein IP Feature ist was nur ein Router hat. Wieder mal eine laienhafte Verwechslung des Begriffs Modem und Router. Technisch 2 völlig verschiedene Dinge.Du machst also eine recht unsinnige 3er Kaskade mit 3 Mal NAT und 3 mal Firewalling. Technisch gesehen eine mehr als miese Konstruktion und eigentlich völlig überflüssig und aus Performance Sicht kontraproduktiv. Die Kollegen oben haben das ja schon zu recht angemerkt ! Aber nundenn...
Du musst also ein 3faches Port Forwarding machen um das Gerät zu erreichen.
Die ganze Thematik ist HIER im Detail genau erklärt.
Halte dich daran das umzusetzen, dann klappt das auch sofort.
Noch besser und sinnvoller wäre es diese mehr als kranke Kaskaden Design zu überdenken und neu zu machen.
Das sind ja schon einige Antworten die mich auf die richtige Spur bringen.
Werde dann mal das Forwarding einrichten.
Das Konstrukt zu vereinfachen wäre mir auch lieber, geht aber wegen diversen anderen Gegebenheiten / Vorgaben leider nicht ( 2 getrennte Firmen, die sich aber die UTM und die TK-Anlage teilen; der Rest soll getrennt sein).
Dazu alles gewachsen und wenn mal was nicht geht ist der Teufel los...
Werde dann mal das Forwarding einrichten.
Das Konstrukt zu vereinfachen wäre mir auch lieber, geht aber wegen diversen anderen Gegebenheiten / Vorgaben leider nicht ( 2 getrennte Firmen, die sich aber die UTM und die TK-Anlage teilen; der Rest soll getrennt sein).
Dazu alles gewachsen und wenn mal was nicht geht ist der Teufel los...
vLANs?! Haben wir hier auch so gelöst.
@aqui hat auch da mal was vorbereitet:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Dein Setup wird Dir doch spätestens dann um die Ohren fliegen, wenn auch aus "der anderen Firma" jemand die gleichen Ports nutzen möchte?!
@aqui hat auch da mal was vorbereitet:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Dein Setup wird Dir doch spätestens dann um die Ohren fliegen, wenn auch aus "der anderen Firma" jemand die gleichen Ports nutzen möchte?!
Mit der Portweiterleitung in den Routern und in der UTM an die Hosts hats dann wieder geklappt.
