132
VPN Einrichtung (PPTP) mit DSL Routern und DD-WRT Firmware
Das folgende Tutorial gibt einen Kurzüberblick über die Einrichtung eines PPTP VPNs bzw. VPN Zugriff und VPN Kopplung von Netzen mit einem Router auf dem die freie Open-Source DD-WRT Firmware anwendbar ist.
Vorteil eines solchen PPTP VPNs ist die Verwendung bordeigener Clients bei Windows, Apple, Linux und den meisten mobilen Telefonen wie Android, iPhone etc.
Die unkomplizierte Installation eines VPNs für remote Mitarbeiter oder Fernwartung etc. ist damit in wenigen Minuten erledigt !
Für OpenVPN Benutzer wird auf das folgende Tutorial verwiesen, das die OpenVPN Integration auf einem DD-WRT Router und auch auf den freien Router/Firewall Lösungen Monowall und Pfsense im Detail beschreibt:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Dieses VPN Tutorial befasst sich mit der Konfiguration eines PPTP (Point to Point Tunneling Protocol) VPNs auf DD-WRT Firmware.
Generell ist bei PPPoE DSL Netzen oder solchen mit Kabel TV Modem mit NAT Routern die Terminierung von VPNs direkt auf den Routern von erheblichem Vorteil, da damit alle Probleme komplett entfallen, die sich mit dem Betrieb von VPN Servern und auch Clients hinter dem NAT (Network Adress Translation) Router im lokalen Netzwerk ergeben.
Generelle Hinweise zum Betrieb von PPTP basierten VPNs liefert dieses_Tutorial bei Administrator.de.
Ein weiterer, wichtiger Vorteil ist die stabile und sichere VPN Kopplung OHNE das Vorhandensein eines PC basierten Servers im Hintergrund ! Ganz abgesehen von den höheren anfallenden Strom- und Betriebskosten im 24 Std. Betrieb !
Die VPN Kopplung ist also weiterhin immer vorhanden sollte ein Server im lokalen LAN einmal ausfallen oder zur Wartung vom Netz genommen werden.
Grund für häufige VPN Verbindungsprobleme ohne VPN Router Terminierung ist meist das Packet Port Forwarding, das dann zwingend auf einem vorgeschalteten NAT Router eingerichtet werden muss wenn der VPN Server im lokalen LAN betrieben wird. Dies ist dann notwendig um dessen NAT Firewall mit den entsprechenden VPN Protokollen zu überwinden. Meist als sog. VPN Passthrough von den Router Herstellern bezeichnet.
Die alternative Firmware DD-WRT erweitert eine Reihe von Routern kostenfrei um diese routerbasierenden VPN Funktionen, so das eine komfortable und einfach einzurichtende VPN Lösung für diese Routersysteme problemlos nachgerüstet werden kann !
Dieses Tutorial beschreibt in der Hauptsache die Konfiguration dieser VPNs mit DD-WRT Firmware und streift das Flashen der Hardware (Router) mit der DD-WRT Firmware nur am Anfang kurz.
Details dazu kann auf dem Wiki zur DD-WRT Firmware sehr ausführlich nachgelesen werden.
Am Anfang steht, wie bereits oben bemerkt, das Flashen des Routers mit der aktuellen DD-WRT Firmware. Ob die vorhandene Router Hardware geeignet für DD-WRT ist kann man hier:
http://www.dd-wrt.com/wiki/index.php/Supported_Devices
oder in Deutsch hier:
http://www.dd-wrt.com/wiki/index.php/DD-WRT_Doku_%28DE%29#Unterst.C3.BC ...
detailiert nachlesen !
Der gesamte Installationsprozess ist hier:
http://www.dd-wrt.com/wiki/index.php/DD-WRT_Doku_%28DE%29
sehr genau erläutert und muss an dieser Stelle nicht nochmal beschrieben werden.
Wichtig ist das man beim Flashen immer das VPN Image auswählt, denn nur das hat den VPN Support mit dem Microsoft kompatiblem PPTP Protokoll !
Beispielhaft für alle DD-WRT fähige Hardware wird das Setup hier an einem preiswerten Linksys WRT54GL Router mit ca. 50 Euro Strassenpreis dokumentiert.
Weiterhin zu empfehlen sind Router von Buffalo wie z.B. der WZR HP-G300-NH, die DD-WRT Firmware ebenfalls gut supporten.
Folgende 4 Netzwerk VPN Szenarien sind denk- und realisierbar:
Ist der Router erfolgreich geflasht und mit Hilfe des Reset Knopfes auf die Werkseinstellungen zurückversetzt worden, sieht man nach dem Weblogin auf die default IP Adresse http://192.168.1.1 (Buffalo Router verwenden die 192.168.11.1) das folgende Konfigurationsmenü im Webbrowser der Wahl (z.B. Firefox):
Alle Einrichtungseinstellungen (Setup) zu VPNs befinden sich ausschliesslich im Menü Administration -> Services, das hier als Screenshot Ausschnitt oben schon zu sehen ist.
Für die Einwahl mit einem VPN Client oder bei einer VPN Netz zu Netz Kopplung wo ein Client Router sich einwählt, muss der PPTP Server Modus aktiv geschaltet werden mit einem Klick auf den Button Einschalten.
Als Server IP trägt man eine freie LAN IP Adresse aus dem lokalen LAN Interfaces des Routers ein !
Für die Client IPs , das ist die IP Adresse die einwählenden VPN Clients automatisch zugeordnet wird aus dem lokalen IP Netz, definiert man nun einen gesonderten lokalen IP Adressbereich wie im u.a. Screenshot zu sehen ist.
(Einwählende VPN Clients sind bei erfolgter Einwahl ja Teil des lokalen LAN Netzes und bekommen natürlich IP Adressen dieses Bereichs..),
Achtung: Dieser Client Bereich und auch die lokale VPN Server IP Adresse darf keinesfalls im lokalen LAN DHCP Bereich sein, sondern muss außerhalb dessen liegen ! Zusätzlich darf er NICHT statisch an andere geräte im lokalen LAN vergeben sein !
Nochmals: Dieser Bereich darf sich mit dem IP Adresspool des lokalen DHCP Servers im Router NICHT überschneiden !
Auch darf dieser Bereich keinesfalls mit evtl. statisch konfigurierten IP Adressen im lokalen Netz (wie z.B. Server, Print Server etc.) kollidieren bzw. sich überschneiden und muss immer separat und unbenutzt sein !
Ist nur ein einziger VPN Client vorhanden, wie z.B. nur ein einziger Außenstellen Router, reicht hier auch die Angabe einer einzelnen freien IP Adresse aus dem lokalen Netz mit den o.a. Bedingungen.
Unter Chap Secrets werden dann die Usernamen und Passwörter für die Clients nach dem u.a. Muster <benutzername> * <passwort> * eingetragen.
Entweder kann dies pro User passieren oder einmalig, was dann für alle User gilt.
Die folgende Abbildung zeigt dir korrekte Konfiguration des PPTP Servers auf einem Buffalo Router mit DD-WRT Firmware:
Man kann hier sehen das als VPN Server IP Adresse die 192.168.11.254 ("ganz oben" im IP Adressbereich) benutzt wurde. So liegt diese IP nicht irgendwo mitten drin im Host Adressbereich und ist einfach zu merken !
Der VPN Client Bereich wird dynamisch aus dem Pool 192.168.1.250 bis 192.168.1.250 vergeben. Es können hier im Beispiel also gleichzeitig 4 VPN Clients bedient werden. (Ggf. ist das auf eigene Belange anzupassen wenn mehr oder weniger Clients vorhanden sind !)
Als DNS Server wird die lokale LAN IP des Routers verwendet, denn diese ist auch lokal DNS Proxy.
Achtung: wer hier einen lokalen DNS Server betreibt sollte diesen hier angeben, damit lokale Namen aufgelöst werden können !
Fürs korrekte Routing bei der Kopplung zweier DD-WRT Router in einer Netz zu Netz Kopplung ist noch unbedingt eine statische Route einzutragen !:
Die genaue Vorgehensweise findet man Schritt für Schritt nochmal hier:
http://www.dd-wrt.com/wiki/index.php/Point-to-Point_PPTP_Tunneling_with ...
Die dedizierte Einrichtung der bordeigenen VPN Clients in unterschiedlichen Betriebssystemen beschreibt das allgemeine PPTP VPN Tutorial hier bei Administrator.de unter:
VPNs einrichten mit PPTP
Als Beispiel hier einmal ein Screenshot eines aktiven VPN Clients am Windows Beispiel nach der Eingabe von ipconfig -all:
Hier sieht man die korrekte Vergabe der oben konfigurierten IP Adressen
Ein anschliessender Ping auf einem im lokalen Netzwerk befindlichen Server mit der IP Adresse 192.168.11.126 funktioniert ebenfalls problemlos !
Soll der Router sich bei einer VPN Netz zu Netz Kopplung z.B. als Client System in einen anderen VPN Server Router mit DD-WRT oder PPTP Windows/Linux Server (z.B. IPCop oder WinServer 2003) oder einen anderen PPTP fähigen Router einwählen, muß auf diesem System der PPTP Client aktiviert sein, denn dieser Router verhält sich dann ja wie ein VPN Client gegenüber seinem remoten VPN Server.
Auch in einer reinen DD-WRT Umgebung muss immer ein System ein Server System sein (meist der zentrale Router) wo sich die anderen (PPTP) Clients einwählen.
Dazu wird wie im u.a. Screenshot zu sehen der Client aktiviert mit Klick auf Einschalten. Folgende Einstellungen sind dort zu machen:
Server IP oder DNS Name: Hier kommt die Ziel IP Adresse oder der DNS Name des Ziel VPN Servers rein.
Entferntes Subnetz: Hier wird die IP Netzadresse ! des remoten, lokalen Netzwerkes eingetragen. Achtung bei einem Netzwerk ist der Hostteil der IP Adresse immer 0 wie z.B. bei 172.16.1.0 ! (24 Bit Maske)
Entfernet Subnetzmaske: Hier kommt die zugehörige Subnetzmaske des remoten, lokalen Netzwerkes rein. Gemäß dem o.a. Beispiel ist das für z.B. 172.16.1.0 dann 255.255.255.0
MPPE-Verschlüsselung: Achtung hier sind nach Zielsystem unterschiedliche Einträge zu tätigen:
NAT: Hier kann man Einstellen ob der Router NAT, also Network Adress Translation, zum entfernten Netz machen soll. Aus Sicherheitsgründen kann das durchaus sinnvoll sein wenn man z.B. ausschliesslich nur Dienste im entfernten Netz nutzen möchte aber gleichzeitig sein lokales Netz durch eine NAT Firewall schützen möchte.
Der Nachteil ist, das damit aus dem remoten Netz heraus keine Rechner im lokalen Netz erreicht werden können. Ist eine transparente Netzkopplung, wo jeder mit jedem kann gefordert, muss NAT ausgeschaltet sein wie im Beispiel !
Nutzername/Passwort: Hier ist der entsprechnde Nutzername und das Passwort des VPN Clients einzutragen, so wie es am Server oben beschrieben für den Zugang konfiguriert wurde.
Für eine VPN Einwahl auf einem Server macht es Sinn den dynamischen DNS Service zu aktivieren. Der Grund ist die sich zyklisch ändernde IP Adresse des VPN Server Routers auf der DSL Providerseite bei PPPoE Betrieb. (Sog. Provider Zwangslogout )
Ohne einen dynamischen DNS Service müsste man immer erst umständlich ermitteln wie diese dynamische IP Adresse aktuell lautet um sie dem Client dann zu konfigurieren. Eine umständliche Prozedur und für einen störungsfreien VPN Betrieb nicht akzeptabel !
Mit einem dynamischen DNS Service entfällt dieses Problem, da die IP Adresse immer aktuell zum dafür eingerichteten Hostnamen wie z.B. meinrouter.dyndns.org konfiguriert wird und der Router permanent über diesen festen Hostnamen erreichbar ist trotz variabler IP Adresse.
Im Internet gibt es viele Anbieter die diesen DNS Service für Privatpersonen kostenfrei zur Verfügung stellen. Der wohl Bekannteste ist dynDNS.org aber der DD-WRT Router ist universell für fast alle Anbieter konfigurierbar wie man im Auswahlmenü hier sehen kann:
Das entsprechende Setup findet man im Bereich Setup -> DDNS
Dort sind dann die Daten einzutragen die man bei der Einrichtung eines privaten Accounts beim jeweiligen Anbieter für sich persönlich festgelegt hat.
Ein Eintrag kann dann als beispiel ggf. so aussehen:
Eien Anleitung zum Einrichten eines DynDNS Accounts findet man HIER.
Mit diesen schnellen Einstellungen steht dem Betrieb eines eingerichteten VPNs mit PPTP nichts mehr im Wege !
PPTP ist vom Protokoll nicht ganz so sicher wie IPsec, bietet aber für die Vielzahl der privaten oder kleinen VPNs eine leicht zu managen und leicht einzurichtende Alternative bei der Anwendung von VPNs und remote Verbindungen über das Internet. Die Sicherheit bei PPTP steht und fällt mit der Verwendung eines entsprechend langen Passwortes das keine Banalwörter enthalten sollte !
Außerdem sind PPTP basierte VPN Clients auf vielen Betriebssystemen wie Windows, Mac OS-X und Linux vom Betriebssystem her ohne lästige Zusatzsoftware verfügbar.
Die Einrichtung eines VPN Clients kann man hier nachlesen:
Windows unter Einrichtung des Clients
Mac OS-X
Linux
Es gehört zu den goldenen Regeln eines vorausschauenden VPN Designs das lokales und remotes Netzwerk NIEMALS gleich sein dürfen !!
Ist ja auch logisch, da so ein Routing der remoten Netze bei Gleichheit vollkommen unmöglich wird.
Viele Laien wählen als IP Netzwerk die allseits bekannten IP Netze 192.168.1.0 /24 oder 192.168.2.0 /24 usw. da diese oft per Default von allen Consumer DSL (Speedport usw.) und Kabelroutern verwendet werden und zuhauf im Einsatz sind.
192.168.178.0 /24 scheidet ebenfalls aus, da jede FritzBox dieses Netz lokal verwendet ! Niemand macht sich die Mühe das umzustellen und übernimmt oft kritiklos und häufig auch aus Unwissen diese Standard Einstellungen !
Die Folge davon ist das diese IP Netze in vielen öffentlichen Netzen wie in Hotels, Hotspots, Flughäfen und (leider) auch zahllosen Firmennetzen benutzt werden.
Tritt dann IP Adress Gleichheit der remoten und lokalen VPN Netze ein, macht das einen VPN Betrieb technisch unmöglich !
Es ist daher dringend angeraten beim Aufbau und Planung von VPN Zugängen etwas exotischere IP Netze zu wählen die einen IP Adresskonflikt dadurch nahezu unmöglich machen und einen störungsfreien VPN Betrieb ermöglichen bzw. fast garantieren.
Sieht man sich einmal den RFC-1918 etwas genauer an der die IP Adresskontingente für Private Netze global festlegt:
http://de.wikipedia.org/wiki/Private_IP-Adresse
erkennt man sehr schnell das man sich nicht mit den immer wiederkehrenden banalen 192.168er IP Adressen abfinden muss, sondern auch noch den Block im 172er und 10er Bereich zur freien Verfügung hat.
Wählt man nun bei der VPN Planung etwas IP netztechnisch "Exotisches" für die Adressierung wie z.B.
192.168.217.0 /24
oder
172.24.1.0 /24
oder
10.168.70.0 /24
oder auch
10.1.68.1.0 /24
oder oder oder....
kann man sich relativ sicher sein das ein IP Adresskonflikt durch gleiche IP Netze doch sehr sehr selten ist und man sich VPN Probleme gleich von Anfang an aus der (IP) Welt schafft und so einen störungsfreien Betrieb des VPNs auf Dauer erreicht !
Vorteil eines solchen PPTP VPNs ist die Verwendung bordeigener Clients bei Windows, Apple, Linux und den meisten mobilen Telefonen wie Android, iPhone etc.
Die unkomplizierte Installation eines VPNs für remote Mitarbeiter oder Fernwartung etc. ist damit in wenigen Minuten erledigt !
Inhaltsverzeichnis
Für OpenVPN Benutzer wird auf das folgende Tutorial verwiesen, das die OpenVPN Integration auf einem DD-WRT Router und auch auf den freien Router/Firewall Lösungen Monowall und Pfsense im Detail beschreibt:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Dieses VPN Tutorial befasst sich mit der Konfiguration eines PPTP (Point to Point Tunneling Protocol) VPNs auf DD-WRT Firmware.
Generell ist bei PPPoE DSL Netzen oder solchen mit Kabel TV Modem mit NAT Routern die Terminierung von VPNs direkt auf den Routern von erheblichem Vorteil, da damit alle Probleme komplett entfallen, die sich mit dem Betrieb von VPN Servern und auch Clients hinter dem NAT (Network Adress Translation) Router im lokalen Netzwerk ergeben.
Generelle Hinweise zum Betrieb von PPTP basierten VPNs liefert dieses_Tutorial bei Administrator.de.
Ein weiterer, wichtiger Vorteil ist die stabile und sichere VPN Kopplung OHNE das Vorhandensein eines PC basierten Servers im Hintergrund ! Ganz abgesehen von den höheren anfallenden Strom- und Betriebskosten im 24 Std. Betrieb !
Die VPN Kopplung ist also weiterhin immer vorhanden sollte ein Server im lokalen LAN einmal ausfallen oder zur Wartung vom Netz genommen werden.
Grund für häufige VPN Verbindungsprobleme ohne VPN Router Terminierung ist meist das Packet Port Forwarding, das dann zwingend auf einem vorgeschalteten NAT Router eingerichtet werden muss wenn der VPN Server im lokalen LAN betrieben wird. Dies ist dann notwendig um dessen NAT Firewall mit den entsprechenden VPN Protokollen zu überwinden. Meist als sog. VPN Passthrough von den Router Herstellern bezeichnet.
Die alternative Firmware DD-WRT erweitert eine Reihe von Routern kostenfrei um diese routerbasierenden VPN Funktionen, so das eine komfortable und einfach einzurichtende VPN Lösung für diese Routersysteme problemlos nachgerüstet werden kann !
Dieses Tutorial beschreibt in der Hauptsache die Konfiguration dieser VPNs mit DD-WRT Firmware und streift das Flashen der Hardware (Router) mit der DD-WRT Firmware nur am Anfang kurz.
Details dazu kann auf dem Wiki zur DD-WRT Firmware sehr ausführlich nachgelesen werden.
Die ersten Schritte zur Einrichtung eines DD-WRT VPN Zugangs
Am Anfang steht, wie bereits oben bemerkt, das Flashen des Routers mit der aktuellen DD-WRT Firmware. Ob die vorhandene Router Hardware geeignet für DD-WRT ist kann man hier:http://www.dd-wrt.com/wiki/index.php/Supported_Devices
oder in Deutsch hier:
http://www.dd-wrt.com/wiki/index.php/DD-WRT_Doku_%28DE%29#Unterst.C3.BC ...
detailiert nachlesen !
Der gesamte Installationsprozess ist hier:
http://www.dd-wrt.com/wiki/index.php/DD-WRT_Doku_%28DE%29
sehr genau erläutert und muss an dieser Stelle nicht nochmal beschrieben werden.
Wichtig ist das man beim Flashen immer das VPN Image auswählt, denn nur das hat den VPN Support mit dem Microsoft kompatiblem PPTP Protokoll !
Beispielhaft für alle DD-WRT fähige Hardware wird das Setup hier an einem preiswerten Linksys WRT54GL Router mit ca. 50 Euro Strassenpreis dokumentiert.
Weiterhin zu empfehlen sind Router von Buffalo wie z.B. der WZR HP-G300-NH, die DD-WRT Firmware ebenfalls gut supporten.
Folgende 4 Netzwerk VPN Szenarien sind denk- und realisierbar:
Ist der Router erfolgreich geflasht und mit Hilfe des Reset Knopfes auf die Werkseinstellungen zurückversetzt worden, sieht man nach dem Weblogin auf die default IP Adresse http://192.168.1.1 (Buffalo Router verwenden die 192.168.11.1) das folgende Konfigurationsmenü im Webbrowser der Wahl (z.B. Firefox):
Alle Einrichtungseinstellungen (Setup) zu VPNs befinden sich ausschliesslich im Menü Administration -> Services, das hier als Screenshot Ausschnitt oben schon zu sehen ist.
Einrichtung eines VPN (PPTP) Servers zur Einwahl von Clients auf dem Router
Für die Einwahl mit einem VPN Client oder bei einer VPN Netz zu Netz Kopplung wo ein Client Router sich einwählt, muss der PPTP Server Modus aktiv geschaltet werden mit einem Klick auf den Button Einschalten.Als Server IP trägt man eine freie LAN IP Adresse aus dem lokalen LAN Interfaces des Routers ein !
Für die Client IPs , das ist die IP Adresse die einwählenden VPN Clients automatisch zugeordnet wird aus dem lokalen IP Netz, definiert man nun einen gesonderten lokalen IP Adressbereich wie im u.a. Screenshot zu sehen ist.
(Einwählende VPN Clients sind bei erfolgter Einwahl ja Teil des lokalen LAN Netzes und bekommen natürlich IP Adressen dieses Bereichs..),
Achtung: Dieser Client Bereich und auch die lokale VPN Server IP Adresse darf keinesfalls im lokalen LAN DHCP Bereich sein, sondern muss außerhalb dessen liegen ! Zusätzlich darf er NICHT statisch an andere geräte im lokalen LAN vergeben sein !
Nochmals: Dieser Bereich darf sich mit dem IP Adresspool des lokalen DHCP Servers im Router NICHT überschneiden !
Auch darf dieser Bereich keinesfalls mit evtl. statisch konfigurierten IP Adressen im lokalen Netz (wie z.B. Server, Print Server etc.) kollidieren bzw. sich überschneiden und muss immer separat und unbenutzt sein !
Ist nur ein einziger VPN Client vorhanden, wie z.B. nur ein einziger Außenstellen Router, reicht hier auch die Angabe einer einzelnen freien IP Adresse aus dem lokalen Netz mit den o.a. Bedingungen.
Unter Chap Secrets werden dann die Usernamen und Passwörter für die Clients nach dem u.a. Muster <benutzername> * <passwort> * eingetragen.
Entweder kann dies pro User passieren oder einmalig, was dann für alle User gilt.
Die folgende Abbildung zeigt dir korrekte Konfiguration des PPTP Servers auf einem Buffalo Router mit DD-WRT Firmware:
Man kann hier sehen das als VPN Server IP Adresse die 192.168.11.254 ("ganz oben" im IP Adressbereich) benutzt wurde. So liegt diese IP nicht irgendwo mitten drin im Host Adressbereich und ist einfach zu merken !
Der VPN Client Bereich wird dynamisch aus dem Pool 192.168.1.250 bis 192.168.1.250 vergeben. Es können hier im Beispiel also gleichzeitig 4 VPN Clients bedient werden. (Ggf. ist das auf eigene Belange anzupassen wenn mehr oder weniger Clients vorhanden sind !)
Als DNS Server wird die lokale LAN IP des Routers verwendet, denn diese ist auch lokal DNS Proxy.
Achtung: wer hier einen lokalen DNS Server betreibt sollte diesen hier angeben, damit lokale Namen aufgelöst werden können !
Fürs korrekte Routing bei der Kopplung zweier DD-WRT Router in einer Netz zu Netz Kopplung ist noch unbedingt eine statische Route einzutragen !:
- Setup > Advanced Routing
- Route Name auf "pptp-dialin" setzen
- Metric auf "0"
- Destination LAN NET to "172.16.1.0" (172.16.1.0 / 24 hier als Beispiel IP fürs remote Netzwerk
- Subnet Mask auf "255.255.255.0"
- Gateway auf "172.16.1.1" (Anpassen wenn remotes IP Netz anders ist !)
- Interface auf "ANY"
- Save
Die genaue Vorgehensweise findet man Schritt für Schritt nochmal hier:
http://www.dd-wrt.com/wiki/index.php/Point-to-Point_PPTP_Tunneling_with ...
Einrichtung der VPN (PPTP) Clients zur Einwahl auf dem VPN Server
Die dedizierte Einrichtung der bordeigenen VPN Clients in unterschiedlichen Betriebssystemen beschreibt das allgemeine PPTP VPN Tutorial hier bei Administrator.de unter:VPNs einrichten mit PPTP
Als Beispiel hier einmal ein Screenshot eines aktiven VPN Clients am Windows Beispiel nach der Eingabe von ipconfig -all:
Ein anschliessender Ping auf einem im lokalen Netzwerk befindlichen Server mit der IP Adresse 192.168.11.126 funktioniert ebenfalls problemlos !
Einrichtung eines VPN Router Clients bei einer Netz zu Netz Kopplung
Soll der Router sich bei einer VPN Netz zu Netz Kopplung z.B. als Client System in einen anderen VPN Server Router mit DD-WRT oder PPTP Windows/Linux Server (z.B. IPCop oder WinServer 2003) oder einen anderen PPTP fähigen Router einwählen, muß auf diesem System der PPTP Client aktiviert sein, denn dieser Router verhält sich dann ja wie ein VPN Client gegenüber seinem remoten VPN Server.Auch in einer reinen DD-WRT Umgebung muss immer ein System ein Server System sein (meist der zentrale Router) wo sich die anderen (PPTP) Clients einwählen.
Dazu wird wie im u.a. Screenshot zu sehen der Client aktiviert mit Klick auf Einschalten. Folgende Einstellungen sind dort zu machen:
Server IP oder DNS Name: Hier kommt die Ziel IP Adresse oder der DNS Name des Ziel VPN Servers rein.
Entferntes Subnetz: Hier wird die IP Netzadresse ! des remoten, lokalen Netzwerkes eingetragen. Achtung bei einem Netzwerk ist der Hostteil der IP Adresse immer 0 wie z.B. bei 172.16.1.0 ! (24 Bit Maske)
Entfernet Subnetzmaske: Hier kommt die zugehörige Subnetzmaske des remoten, lokalen Netzwerkes rein. Gemäß dem o.a. Beispiel ist das für z.B. 172.16.1.0 dann 255.255.255.0
MPPE-Verschlüsselung: Achtung hier sind nach Zielsystem unterschiedliche Einträge zu tätigen:
- Anderer DD-WRT Router: mppe required (default Einstellung)
- Windows PPTP VPN Server: mppe required,no40,no56,stateless
NAT: Hier kann man Einstellen ob der Router NAT, also Network Adress Translation, zum entfernten Netz machen soll. Aus Sicherheitsgründen kann das durchaus sinnvoll sein wenn man z.B. ausschliesslich nur Dienste im entfernten Netz nutzen möchte aber gleichzeitig sein lokales Netz durch eine NAT Firewall schützen möchte.
Der Nachteil ist, das damit aus dem remoten Netz heraus keine Rechner im lokalen Netz erreicht werden können. Ist eine transparente Netzkopplung, wo jeder mit jedem kann gefordert, muss NAT ausgeschaltet sein wie im Beispiel !
Nutzername/Passwort: Hier ist der entsprechnde Nutzername und das Passwort des VPN Clients einzutragen, so wie es am Server oben beschrieben für den Zugang konfiguriert wurde.
Aktivieren der dynamischen DNS Namensauflösung (DynDNS) bei VPN Verbindungen
Für eine VPN Einwahl auf einem Server macht es Sinn den dynamischen DNS Service zu aktivieren. Der Grund ist die sich zyklisch ändernde IP Adresse des VPN Server Routers auf der DSL Providerseite bei PPPoE Betrieb. (Sog. Provider Zwangslogout )
Ohne einen dynamischen DNS Service müsste man immer erst umständlich ermitteln wie diese dynamische IP Adresse aktuell lautet um sie dem Client dann zu konfigurieren. Eine umständliche Prozedur und für einen störungsfreien VPN Betrieb nicht akzeptabel !
Mit einem dynamischen DNS Service entfällt dieses Problem, da die IP Adresse immer aktuell zum dafür eingerichteten Hostnamen wie z.B. meinrouter.dyndns.org konfiguriert wird und der Router permanent über diesen festen Hostnamen erreichbar ist trotz variabler IP Adresse.
Im Internet gibt es viele Anbieter die diesen DNS Service für Privatpersonen kostenfrei zur Verfügung stellen. Der wohl Bekannteste ist dynDNS.org aber der DD-WRT Router ist universell für fast alle Anbieter konfigurierbar wie man im Auswahlmenü hier sehen kann:
Das entsprechende Setup findet man im Bereich Setup -> DDNS
Dort sind dann die Daten einzutragen die man bei der Einrichtung eines privaten Accounts beim jeweiligen Anbieter für sich persönlich festgelegt hat.
Ein Eintrag kann dann als beispiel ggf. so aussehen:
Eien Anleitung zum Einrichten eines DynDNS Accounts findet man HIER.
Mit diesen schnellen Einstellungen steht dem Betrieb eines eingerichteten VPNs mit PPTP nichts mehr im Wege !
PPTP ist vom Protokoll nicht ganz so sicher wie IPsec, bietet aber für die Vielzahl der privaten oder kleinen VPNs eine leicht zu managen und leicht einzurichtende Alternative bei der Anwendung von VPNs und remote Verbindungen über das Internet. Die Sicherheit bei PPTP steht und fällt mit der Verwendung eines entsprechend langen Passwortes das keine Banalwörter enthalten sollte !
Außerdem sind PPTP basierte VPN Clients auf vielen Betriebssystemen wie Windows, Mac OS-X und Linux vom Betriebssystem her ohne lästige Zusatzsoftware verfügbar.
Die Einrichtung eines VPN Clients kann man hier nachlesen:
Windows unter Einrichtung des Clients
Mac OS-X
Linux
Allgemeine Tipps zum VPN Design
Es gehört zu den goldenen Regeln eines vorausschauenden VPN Designs das lokales und remotes Netzwerk NIEMALS gleich sein dürfen !!Ist ja auch logisch, da so ein Routing der remoten Netze bei Gleichheit vollkommen unmöglich wird.
Viele Laien wählen als IP Netzwerk die allseits bekannten IP Netze 192.168.1.0 /24 oder 192.168.2.0 /24 usw. da diese oft per Default von allen Consumer DSL (Speedport usw.) und Kabelroutern verwendet werden und zuhauf im Einsatz sind.
192.168.178.0 /24 scheidet ebenfalls aus, da jede FritzBox dieses Netz lokal verwendet ! Niemand macht sich die Mühe das umzustellen und übernimmt oft kritiklos und häufig auch aus Unwissen diese Standard Einstellungen !
Die Folge davon ist das diese IP Netze in vielen öffentlichen Netzen wie in Hotels, Hotspots, Flughäfen und (leider) auch zahllosen Firmennetzen benutzt werden.
Tritt dann IP Adress Gleichheit der remoten und lokalen VPN Netze ein, macht das einen VPN Betrieb technisch unmöglich !
Es ist daher dringend angeraten beim Aufbau und Planung von VPN Zugängen etwas exotischere IP Netze zu wählen die einen IP Adresskonflikt dadurch nahezu unmöglich machen und einen störungsfreien VPN Betrieb ermöglichen bzw. fast garantieren.
Sieht man sich einmal den RFC-1918 etwas genauer an der die IP Adresskontingente für Private Netze global festlegt:
http://de.wikipedia.org/wiki/Private_IP-Adresse
erkennt man sehr schnell das man sich nicht mit den immer wiederkehrenden banalen 192.168er IP Adressen abfinden muss, sondern auch noch den Block im 172er und 10er Bereich zur freien Verfügung hat.
Wählt man nun bei der VPN Planung etwas IP netztechnisch "Exotisches" für die Adressierung wie z.B.
192.168.217.0 /24
oder
172.24.1.0 /24
oder
10.168.70.0 /24
oder auch
10.1.68.1.0 /24
oder oder oder....
kann man sich relativ sicher sein das ein IP Adresskonflikt durch gleiche IP Netze doch sehr sehr selten ist und man sich VPN Probleme gleich von Anfang an aus der (IP) Welt schafft und so einen störungsfreien Betrieb des VPNs auf Dauer erreicht !
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Kommentar vom Moderator Dani am 26.02.2010 um 19:56:42 Uhr
Moin,
die Anleitung hat sich bewährt und ist auch entsprechend der Kommentaranzahl gewachsen. Bitte in Zukunft einen Fragebeitrag eröffnen und per Link auf diese Anleitung verweisen. Sonst wird es hier einfach unübersichtlich!
die Anleitung hat sich bewährt und ist auch entsprechend der Kommentaranzahl gewachsen. Bitte in Zukunft einen Fragebeitrag eröffnen und per Link auf diese Anleitung verweisen. Sonst wird es hier einfach unübersichtlich!
Content-ID: 67666
Url: https://administrator.de/contentid/67666
Ausgedruckt am: 21.11.2024 um 09:11 Uhr
132 Kommentare
Neuester Kommentar
Abend aqui!
genau sowas hat es hier noch gefehlt....sehr schön. Ich hätte es aber gerne vor 4 Wochen gehabt.
Mach weiter so....
Grüße
Dani
genau sowas hat es hier noch gefehlt....sehr schön. Ich hätte es aber gerne vor 4 Wochen gehabt.
Mach weiter so....Grüße
Dani
Moin, eine Frage noch zu der Anleitung: Würde das auch mit 3 Router Clients gehen?
Und kann ich dan in Netzwerk auf jeden PC zugreifen???
Und kann ich dan in Netzwerk auf jeden PC zugreifen???
Ja, natürlich klappt das auch mit mehreren Router Clients. Alle diese Router Clients verhalten sich dann wie lokal am Netz angeschlossen und natürlich kannst du dann auf jeden PC in so einem Netzverbund zugreifen ! Genau das ist ja der Sinn eines VPN
Danke für die Antwort!
Hätte noch ne kleine frage zur Konfig:
Hier meine Konfig:
---Nertzwerk 1 mit vpn Server---
IP:10.71.1.254
Subnetz:255.255.255.0
DHCP IPs:10.71.1.10 -50
VPN IPs:10.71.1.100 -110
---Nertzwerk 2 Client---
IP:10.72.1.254
Sunetz:255.255.255.0
DHCP:10.72.1.10 -50
Nun die Frage: Was muss ich beim PPPT-Client bei "entfernter Subnetz" und bei Entfernte Subnetz Maske eingeben? und was kommt bei MPPE-Verschlüsselung rein? mppe required,no40,no56,stateless oder mppe required? was ist besser?
So wie ich das verstanden habe geht der Cient immernoch bei sich ins Internet und nur wen anfragen im Clientnetzwerk kommen die nicht vom Internet beantwortet werden gehen diese über vpn zu server?!?!?
Danke für eure Anwort
Hätte noch ne kleine frage zur Konfig:
Hier meine Konfig:
---Nertzwerk 1 mit vpn Server---
IP:10.71.1.254
Subnetz:255.255.255.0
DHCP IPs:10.71.1.10 -50
VPN IPs:10.71.1.100 -110
---Nertzwerk 2 Client---
IP:10.72.1.254
Sunetz:255.255.255.0
DHCP:10.72.1.10 -50
Nun die Frage: Was muss ich beim PPPT-Client bei "entfernter Subnetz" und bei Entfernte Subnetz Maske eingeben? und was kommt bei MPPE-Verschlüsselung rein? mppe required,no40,no56,stateless oder mppe required? was ist besser?
So wie ich das verstanden habe geht der Cient immernoch bei sich ins Internet und nur wen anfragen im Clientnetzwerk kommen die nicht vom Internet beantwortet werden gehen diese über vpn zu server?!?!?
Danke für eure Anwort
Wie im Tutorial beschrieben !
Bei entferntes Subnetz kommt immer das Subnetz auf der anderen Seite rein. Bei deinem Client mit der 10.72.1.254 wäre das dann die 10.71.1.0 , Maske 255.255.255.0 das ist ja dein Subnetz auf der anderen Seite...
Bei einer reinen Linksys zu Linksys Kopplung reicht mppe required was auch als Default drinsteht. Nur wenn der Client ein Windows Rechner oder der Server ein Windows System ist muss dort zwingend mppe required,no40,no56,stateless rein.
Bei entferntes Subnetz kommt immer das Subnetz auf der anderen Seite rein. Bei deinem Client mit der 10.72.1.254 wäre das dann die 10.71.1.0 , Maske 255.255.255.0 das ist ja dein Subnetz auf der anderen Seite...
Bei einer reinen Linksys zu Linksys Kopplung reicht mppe required was auch als Default drinsteht. Nur wenn der Client ein Windows Rechner oder der Server ein Windows System ist muss dort zwingend mppe required,no40,no56,stateless rein.
Danke, das hört sich gut an.
Mir ist bei VPN aber L2TP mit IPSec lieber. Kann man das ähnlich günstig implementieren?
Der Wiki-Link
<<in Deutsch hier:
http://www.dd-wrt.com/wiki/index.php/DD-WRT_Doku_%28DE%29#Unterst. ...
detailiert nachlesen !>>
wird dort als veraltet bezeichnet. Muss man da noch was extra beachten?
Mir ist bei VPN aber L2TP mit IPSec lieber. Kann man das ähnlich günstig implementieren?
Der Wiki-Link
<<in Deutsch hier:
http://www.dd-wrt.com/wiki/index.php/DD-WRT_Doku_%28DE%29#Unterst. ...
detailiert nachlesen !>>
wird dort als veraltet bezeichnet. Muss man da noch was extra beachten?
Deine URL Angabe ist etwas verwirrend und unklar was du damit ausdrücken willst ??
Ein aktiver L2TP Server lässt sich nicht implementieren ! Das kannst du anhand der dd-wrt Featureliste auch nachlesen:
http://www.dd-wrt.com/wiki/index.php/DD-WRT_Doku_%28DE%29#Komplette_Fea ...
Aktiv ist derzeit nur PPTP supportet !
Lediglich L2TP Passthrough ist supported also einen L2TP Weiterleitung auf VPN Endgeräte hinter dem NAT Router im lokalen Segment. Allerdings ist das immer die schlechtere Lösung eines VPN Zugangngs. Da L2TP auf IPsec basiert und das sehr CPU intensiv ist und durch die zusätzliche Begrenzung des Flash Speichers auf dem Linksys muss man derzeit leider mit dieser Limitierung leben. Für kleinere Firmen VPNs oder private Lösungen ist es aber eine einfache und zudem kostenfreie Implementation die mit einer Vielzahl von Clients und Servern genutzt werden kann da so gut wie alle Betriebsysteme PPTP mit an Bord haben.
Für einen L2TP oder IPsec VPN Implementation solltest du VPN Router benutzen die das mit an Bord haben und auch entsprechnede Hardware Resourcen dafür haben wie z.B. die Modelle von Draytek (www.draytek.de) und anderen.
Ein aktiver L2TP Server lässt sich nicht implementieren ! Das kannst du anhand der dd-wrt Featureliste auch nachlesen:
http://www.dd-wrt.com/wiki/index.php/DD-WRT_Doku_%28DE%29#Komplette_Fea ...
Aktiv ist derzeit nur PPTP supportet !
Lediglich L2TP Passthrough ist supported also einen L2TP Weiterleitung auf VPN Endgeräte hinter dem NAT Router im lokalen Segment. Allerdings ist das immer die schlechtere Lösung eines VPN Zugangngs. Da L2TP auf IPsec basiert und das sehr CPU intensiv ist und durch die zusätzliche Begrenzung des Flash Speichers auf dem Linksys muss man derzeit leider mit dieser Limitierung leben. Für kleinere Firmen VPNs oder private Lösungen ist es aber eine einfache und zudem kostenfreie Implementation die mit einer Vielzahl von Clients und Servern genutzt werden kann da so gut wie alle Betriebsysteme PPTP mit an Bord haben.
Für einen L2TP oder IPsec VPN Implementation solltest du VPN Router benutzen die das mit an Bord haben und auch entsprechnede Hardware Resourcen dafür haben wie z.B. die Modelle von Draytek (www.draytek.de) und anderen.
Hallo habe es wie in der anleitung gemacht aber es geht nicht. Was mache ich verkert?
Bei den Client steht immer PPTP-Status Getrennt.
Konfig:
Server Linksys WRT54GL v1.1 IP: 10.71.1.254 255.255.255.0
Client Linksys WRT54GL v1.1 IP: 10.72.1.254 255.255.255.0
Hier meine Konfig als Bilder:
http://www.vw-scene-leipzig.de/data/anja1.jpg
http://www.vw-scene-leipzig.de/data/anja2.jpg
http://www.vw-scene-leipzig.de/data/home.jpg
Hoffe ihr könnt mir da Helfen!
Bei den Client steht immer PPTP-Status Getrennt.
Konfig:
Server Linksys WRT54GL v1.1 IP: 10.71.1.254 255.255.255.0
Client Linksys WRT54GL v1.1 IP: 10.72.1.254 255.255.255.0
Hier meine Konfig als Bilder:
http://www.vw-scene-leipzig.de/data/anja1.jpg
http://www.vw-scene-leipzig.de/data/anja2.jpg
http://www.vw-scene-leipzig.de/data/home.jpg
Hoffe ihr könnt mir da Helfen!
habe noch mal ein ping von einen client PC zum server gemacht da kommt der fehler
C:\Dokumente und Einstellungen\Anja>ping 10.71.1.254
Ping wird ausgeführt für 10.71.1.254 mit 32 Bytes Daten:
Zeitüberschreitung der Anforderung.
Antwort von 10.5.64.1: Zielnetz nicht erreichbar.
Zeitüberschreitung der Anforderung.
Antwort von 10.5.64.1: Zielnetz nicht erreichbar.
Ping-Statistik für 10.71.1.254:
Pakete: Gesendet = 4, Empfangen = 2, Verloren = 2 (50% Verlust),
Ca. Zeitangaben in Millisek.:
Minimum = 0ms, Maximum = 0ms, Mittelwert = 0ms
C:\Dokumente und Einstellungen\Anja>tracert 10.71.1.254
Routenverfolgung zu 10.71.1.254 über maximal 30 Abschnitte
1 <1 ms <1 ms <1 ms Router [10.72.1.254]
2 10.5.64.1 meldet: Zielnetz nicht erreichbar.
Ablaufverfolgung beendet.
C:\Dokumente und Einstellungen\Anja>ping 10.71.1.254
Ping wird ausgeführt für 10.71.1.254 mit 32 Bytes Daten:
Zeitüberschreitung der Anforderung.
Antwort von 10.5.64.1: Zielnetz nicht erreichbar.
Zeitüberschreitung der Anforderung.
Antwort von 10.5.64.1: Zielnetz nicht erreichbar.
Ping-Statistik für 10.71.1.254:
Pakete: Gesendet = 4, Empfangen = 2, Verloren = 2 (50% Verlust),
Ca. Zeitangaben in Millisek.:
Minimum = 0ms, Maximum = 0ms, Mittelwert = 0ms
C:\Dokumente und Einstellungen\Anja>tracert 10.71.1.254
Routenverfolgung zu 10.71.1.254 über maximal 30 Abschnitte
1 <1 ms <1 ms <1 ms Router [10.72.1.254]
2 10.5.64.1 meldet: Zielnetz nicht erreichbar.
Ablaufverfolgung beendet.
Mmmhhh, unerklärlich. Normalerweise wird die PPTP Verbindung sofort aufgebaut. Wenn du Tippfehler bei der Username/Passwort Kombination ausschliessen kannst und auch alle IP Adressen richtig hast (was laut Screenshots so aussieht..) dann solltest du mal einen Wireshark Sniffer (www.wireshark.org) in die WAN Leitung einschleifen und dir den PPTP Verbindungsaufbau ansehen. Dort kann man dann meistens sofort anhand der Packete sehen wo das Problem liegt.
Ferner solltest du mal die Ping Unterdrückung auf dem WAN Interface wegnehmen temporär und nochmal verifizieren das die Gegenüber sich sowohl mit dem DynDNS Namen als auch über die native IP Adresse pingen können. Ggf. solltest du nochmal einen Test mit der nativen DSL IP Adresse machen statt Hostnamen um DynDNS Probleme sicher auszuschliessen...
Ferner solltest du mal die Ping Unterdrückung auf dem WAN Interface wegnehmen temporär und nochmal verifizieren das die Gegenüber sich sowohl mit dem DynDNS Namen als auch über die native IP Adresse pingen können. Ggf. solltest du nochmal einen Test mit der nativen DSL IP Adresse machen statt Hostnamen um DynDNS Probleme sicher auszuschliessen...
Ich kann bei beiden Routen das dns auflösen und von windows pc aus zu beiden Routern einen vpn verbindung aufbaun.
Der VPN-Server hängt an einer Telekom-Leitung
Der VPN-Client an der Primacom-Leitung,
könnte es da sein das die primacom da irgentwelsche Ports blockt?
Oder was muss ich noch für einstellungen beim Router machen?
Der VPN-Server hängt an einer Telekom-Leitung
Der VPN-Client an der Primacom-Leitung,
könnte es da sein das die primacom da irgentwelsche Ports blockt?
Oder was muss ich noch für einstellungen beim Router machen?
Nein bei PPTP wäre das sehr ungewöhnlich !
Vermutlich ist das dann doch die PPP Verschlüsselung. Vielleicht solltest du auf der Serverseite dann mal mppe required,no40,no56,stateless oder mppe required,no40,no56,stateful lassen und dann nur auf der Clientseite mppe required oder auch auf beiden seiten mppe required,no40,no56,stateless probieren. Einfach mal etwas experimentieren damit. Normalerwesie sollte es problemlos mit mppe required klappen wenn auf beiden Seiten Linksys Maschinen sind. Das kannst du ganz einfach mal testen, indem du beide Router mal Rücken an Rücken mit der WAN Verbindung und statischen IPs verbindest.
So kannst du die Funktion auch immer generell sicher austesten !!!
Ansonsten einfach mal den Wireshark (www.wireshark.org) in die WAN Verbindung schleifen und den PPP Verbindungsaufbau mitsniffern. Da siehst du dann meistens sofort wo der fehler liegt...
Vermutlich ist das dann doch die PPP Verschlüsselung. Vielleicht solltest du auf der Serverseite dann mal mppe required,no40,no56,stateless oder mppe required,no40,no56,stateful lassen und dann nur auf der Clientseite mppe required oder auch auf beiden seiten mppe required,no40,no56,stateless probieren. Einfach mal etwas experimentieren damit. Normalerwesie sollte es problemlos mit mppe required klappen wenn auf beiden Seiten Linksys Maschinen sind. Das kannst du ganz einfach mal testen, indem du beide Router mal Rücken an Rücken mit der WAN Verbindung und statischen IPs verbindest.
So kannst du die Funktion auch immer generell sicher austesten !!!
Ansonsten einfach mal den Wireshark (www.wireshark.org) in die WAN Verbindung schleifen und den PPP Verbindungsaufbau mitsniffern. Da siehst du dann meistens sofort wo der fehler liegt...
Wie soll ich auf der Clientseite mppe required eintragen?
das zusammenstellen der geräte ist nicht möglich weil sie einige 100km auseinander sind. ich muss alles per fernconfig machen.
Könnte es sein das es noch irgendwelsche eintragungen beim rauter machen muss?
siehe bild
http://www.vw-scene-leipzig.de/Data/111.jpg
Dank dir
das zusammenstellen der geräte ist nicht möglich weil sie einige 100km auseinander sind. ich muss alles per fernconfig machen.
Könnte es sein das es noch irgendwelsche eintragungen beim rauter machen muss?
siehe bild
http://www.vw-scene-leipzig.de/Data/111.jpg
Dank dir
Sorry, das mit dem Client war natürlich Unsinn.... Nein, eigentlich brauchst du keine Eintrageungen zu machen. WDS im WLAN bzw.der MAC Access Liste dort aus deinem Bild hat mit einem PPTP Dialin überhaupt nichts zu tun...
Wie gesagt schleife mal einen Wireshark in die Client oder Serverseit ein und sieh dir mal den VPN Verbindungsaufbau an. Da siehst du dann sofort wo es hakt...
Wie gesagt schleife mal einen Wireshark in die Client oder Serverseit ein und sieh dir mal den VPN Verbindungsaufbau an. Da siehst du dann sofort wo es hakt...
Also verstehe ich dir richtig ich soll einen pc mit zwei Netzwerkkarten nehmen an einen den wan Port des Routers machen und an den anderen das dsl Moden. Und bei den pc einen Netzwerkbrücke machen und da mit der software schaun was passiert!?!?
Nein, nein ! Viel einfacher: Einen kleinen Hub nehmen (kein Switch !) an den Hub einmal den WAN Port vom Linksys anschliessen, das DSL Modem und den Wireshark und dann mit dem Wireshark mitlesen was beim Verbindungsaufbau passiert !
Anhand des PPTP Verbindungsaufbaus und dessen Verhalten kannst du sofort sehen wo der Fehler liegt !
Anhand des PPTP Verbindungsaufbaus und dessen Verhalten kannst du sofort sehen wo der Fehler liegt !
Moin, habe nun das Problem beim Verbindungsaufbau gelöst. --> mein DSL-Modem hatte ein Problem nun ist das neue Modem dran und es geht.
Aber ich sehe aus den Client-Netzwerk nur den Vpn-Server und nicht die pcs hinter dem Vpn-Router ! Wo liegt jetzt das Problem?
Aber ich sehe aus den Client-Netzwerk nur den Vpn-Server und nicht die pcs hinter dem Vpn-Router ! Wo liegt jetzt das Problem?
Kannst du diese PC pingen (ahte auf die Firewall dort muss ping erlaubt sein !) ?
Was ergibt ein Zwangsconnect mit Start -> Ausführen -> \\<ip_adresse_pc> ?
Was ergibt ein Zwangsconnect mit Start -> Ausführen -> \\<ip_adresse_pc> ?
also ich komme von dem Client Netzwerk jetzt auf mein win2k pc im VPN-Server lan.
Aber von server-lan nicht auf die pcs in Clientlan. bis zum Router in client lan komm ich aber nicht dahinter. Firewall habe ich beim router testweise mal ausgemacht.
Aber von server-lan nicht auf die pcs in Clientlan. bis zum Router in client lan komm ich aber nicht dahinter. Firewall habe ich beim router testweise mal ausgemacht.
Hast du beim Router in den PPTP Settings NAT aktiviert ?? Das muss ggf. raus, sonst kommst du bei Verbindungsaufbau in diese Richtung nicht über den NAT Prozess im VPN !
So habe ein bischen mit dem NAT rumgespielt aber ich sehe vom Server-Lan(10.71.1.x) nur den Router im Client-Lan(10.72.1.x, VPN hat die 10.71.1.100), was dahinter steht sehe ich nicht und kann das auch nicht anpingen.
Die leute die im Client-Lan sind können im Server-Lan alles sehen und anpingen.
Hat jemand da noch ne idee??
Die leute die im Client-Lan sind können im Server-Lan alles sehen und anpingen.
Hat jemand da noch ne idee??
darf ich mich hier einklinken?
Habe alles so eingerichtet für zwei WRT54GL. Funktioniert aber nur in eine Richtung. Warum? Kann auch nicht anpingen? Andere Richtung geht aber perfekt. Woran könnte das liegen? Ich dachte, wenn es geht, dann auch in beide Richtungen?!
Habe alles so eingerichtet für zwei WRT54GL. Funktioniert aber nur in eine Richtung. Warum? Kann auch nicht anpingen? Andere Richtung geht aber perfekt. Woran könnte das liegen? Ich dachte, wenn es geht, dann auch in beide Richtungen?!
Genau das selbe Problem habe ich auch! geht bloß in eine Richtung aber scheinbar weiß keiner warum oder kennt ne abhilfe.
meines wissen nach muss man da noch ne route angeben.
meines wissen nach muss man da noch ne route angeben.
Danke für die Antwort. Werde das mit der Route mal probieren, obwohl ich da wenig Chancen sehe...
kannst ja bescheidsagen wen de was raus bekommen hast
bin leider etwas enttäuscht! Geht immer noch nicht. habe erst verschiedene Routen eingetragen und dann den Router komplett neu aufgesetzt. Alles ohne Erfolg! Verstehe das nciht, wenn es in eine Richtung geht, warum dann nicht auch in die andere?
Irgendwas machst du noch falsch. Vermutlich was du meinst mit "...Routen einrichten". Das ist natürlich Unsinn, denn alle Netze sind am Router direkt dran. Extra Routen müssen deshalb in keinem Falle eingerichtet werden !
Hier laufen mehrere diese Netze problemlos... Sei es LAN LAN oder remote VPN Dialin.
Hier laufen mehrere diese Netze problemlos... Sei es LAN LAN oder remote VPN Dialin.
Man ich bim doch nicht blod. soviel kann man da ja nicht verkert machen. da gibt man ja bloß den vpn server die ip und benutzernamen und pw ein. wen ich mich per windows vpn auf das teile konneckt gehts, aber per linksys nicht. PS habe die v24 RC6 drauf
habe es ja mit touten auch nur ausprobiert und dann neu aufgesetzt, also keine änderungen an der firmware vorgenommen, trotzdem geht das netz nur in eine richtung
Hallo!
Hoffe ihr könnt mir weiterhelfen habe auch so ein komisches poblem???!!!!!????
Also habe auf den VPN Linksys WRT45GL denn VPN zum 2003 Server aufgebaut haut ja einwandfrei hin und ich sehe ihn auch im Routing und RemoteAccess.
Aber ich komme einfach nicht aufn Server und wenn ich die Clients in die Domain einbinden will geht das auch nicht.
Pingen geht auch nicht da jammert er immer Zeitüberschreitung der anforderung.....
Also was mach ich falsch????
Danke schon für eure Antwort
Blackheart
Hoffe ihr könnt mir weiterhelfen habe auch so ein komisches poblem???!!!!!????
Also habe auf den VPN Linksys WRT45GL denn VPN zum 2003 Server aufgebaut haut ja einwandfrei hin und ich sehe ihn auch im Routing und RemoteAccess.
Aber ich komme einfach nicht aufn Server und wenn ich die Clients in die Domain einbinden will geht das auch nicht.
Pingen geht auch nicht da jammert er immer Zeitüberschreitung der anforderung.....
Also was mach ich falsch????
Danke schon für eure Antwort
Blackheart
genau so habe ich die config auch. aber es geht bloß in eine richtung. habe auch noch keine lösung gefunden
bei mir das gleiche
Hy Leute!
Bin zwar gerade nicht vorort habe aber totzdem ne interessante entdeckung gemacht!!!!!!
Wenn ihr denn VPN Tunnel stehen habt dann geht noch mal auf euren Linksys in die Administration und dort aktiviert ihr dann PPTP Server dann die Lokale IP des Routers und die Externe (Client IP) des Server dann wird es warscheinlich funzn.
Mit freundlichen Grüßen
Blackheart
P.S. gebt mal Bitte hier im Forum bescheid
Bin zwar gerade nicht vorort habe aber totzdem ne interessante entdeckung gemacht!!!!!!
Wenn ihr denn VPN Tunnel stehen habt dann geht noch mal auf euren Linksys in die Administration und dort aktiviert ihr dann PPTP Server dann die Lokale IP des Routers und die Externe (Client IP) des Server dann wird es warscheinlich funzn.
Mit freundlichen Grüßen
Blackheart
P.S. gebt mal Bitte hier im Forum bescheid
habe die v24 RC6 drauf aber ich finde die option bei mir nicht.
Das ist doch die BETA oder????
Is das VPN oder Standard????
Ich verwende sie V23 SP2 VPN Edition!!!!
Is das VPN oder Standard????
Ich verwende sie V23 SP2 VPN Edition!!!!
jo ist beta. habe sie hat vpn und openvpn
-wen ich dich richtig verstehe soll ich der server und den client aktivieren.
-wen ich dich richtig verstehe soll ich der server und den client aktivieren.
Dann muss es ganz normal drin sein!!!!!
Administration -> Services -> PPTP (Das ist dann der PPTP Server)
Administration -> Services -> PPTP (Das ist dann der PPTP Server)
ja klar aber du sagst ich soll beide (server und client) aktivieren.
richtig?
richtig?
Ja genau
Ich habe leider noch keine gelegnheit gehabt es zu testen aber es sieht dann so aus
PPTP (Server) -> Server IP = Lokale IP
Client IP = Server IP
PPTP (Client) -> Server IP (ÖFFENTLICHE DIE ZUM SERVER GEHT)
User und PW, NAT UMLEITUNG DEAKTIVIEREN
Ich habe leider noch keine gelegnheit gehabt es zu testen aber es sieht dann so aus
PPTP (Server) -> Server IP = Lokale IP
Client IP = Server IP
PPTP (Client) -> Server IP (ÖFFENTLICHE DIE ZUM SERVER GEHT)
User und PW, NAT UMLEITUNG DEAKTIVIEREN
aber was ich nicht verstehe ist das sich ja dann der win2003 server auch eine verbindung zum router aufbauen soll. dann würden ja zwei vpn verbindungen pro router offen sein
Ja das wäre ja an und fürsich ja nicht so schlimm oder hast du keine Firewall
aufn 2003 hast ja sicher NAT und aufn WRT dann die tolle Linux Firewall
Ich probiers halt mal denn er Routet mir ja ins Netz des SBS das ist kein Problem aber wenn ich dann Zugreiffn will komm ich genau aufn Router WRT
ich kann keine Client einbinden bzw. Laufwerkfreigaben sehen
Wenn ich das aber z.B. mit der Wolke Manage also Start-> Systemsteuerung-> Neue Verbindung-> VPN funktioniert das einwandfrei und so schwer kann das ja denk ich mal nicht sein so ein dämliches VPN einzurichten
Oder was sagst du dazu??????????????
aufn 2003 hast ja sicher NAT und aufn WRT dann die tolle Linux Firewall
Ich probiers halt mal denn er Routet mir ja ins Netz des SBS das ist kein Problem aber wenn ich dann Zugreiffn will komm ich genau aufn Router WRT
ich kann keine Client einbinden bzw. Laufwerkfreigaben sehen
Wenn ich das aber z.B. mit der Wolke Manage also Start-> Systemsteuerung-> Neue Verbindung-> VPN funktioniert das einwandfrei und so schwer kann das ja denk ich mal nicht sein so ein dämliches VPN einzurichten
Oder was sagst du dazu??????????????
Laufwerkfreigaben basieren auf UDP Broadcasts die generell nicht über eine geroutete Verbindungen übertragen werden, egal welchen Router man hat.
Ein Zwangsconnect über Start --> Ausführen -> \\<ip_addr_zielrechner> verbindet das Laufwerk aber immer oder eben in der Autostart mit dem net Kommando.
Ein Zwangsconnect über Start --> Ausführen -> \\<ip_addr_zielrechner> verbindet das Laufwerk aber immer oder eben in der Autostart mit dem net Kommando.
aber grade das ist doch der sinn von vpn?! oder
Von was ?? Das UDP Broadcast übertragen werden ?? Nein, natürlich ist DAS nicht der Sinn eines VPNs sondern eine unschöne Eigenschaft der CIFS bzw. SMB Implementation von Windows, hat aber mit VPNs nicht das geringste zu tun !
Abgesehen davon kann man es mit Win Bordmitteln auch immer hinbekommen.
Abgesehen davon kann man es mit Win Bordmitteln auch immer hinbekommen.
gibts zu diesem problem schon neuigkeiten?
habe selber gerade versucht, dd-wrt mit win2k3 zu verbinden, die verbindung klappt, der linksys router bekommt eine ip vom server, aber man erreicht dem server vom router-netzwerk nicht...
hängt das vielleicht damit zusammen, das der win2k3 server selbst hinter einem router steht?
habe selber gerade versucht, dd-wrt mit win2k3 zu verbinden, die verbindung klappt, der linksys router bekommt eine ip vom server, aber man erreicht dem server vom router-netzwerk nicht...
hängt das vielleicht damit zusammen, das der win2k3 server selbst hinter einem router steht?
nein leider keine Neuigkeiten. ping geht auch nicht?
ne kein ping...
hab jetzt mal dd-wrt direkt mit einem pptp fähigen router verbunden, da kann ich den pptp router anpingen, aber die pcs selbst sind nicht anpingbar!
hab jetzt mal dd-wrt direkt mit einem pptp fähigen router verbunden, da kann ich den pptp router anpingen, aber die pcs selbst sind nicht anpingbar!
Hast du dein Firewall in den PCs entsprechend eingestellt ???
- ICMP echo reply Packete erlaubt ?
- Das Fremdnetz in der FW eintragen bzw. zulassen oder FW temporär zum Testen mal abschalten !
hab keine firewall am win-server derzeit aktiviert... nachdem dies nur mal zum testen ist...
werd das mal mit einem anderen pptp-router testen...
werd das mal mit einem anderen pptp-router testen...
Hy Leute!
Werde demnächst mit dieser Anleitung mal probieren
http://www.dd-wrt.com/wiki/index.php/OpenVPN_-_Site-to-Site_Bridged_VPN ...
mfg. Blackheart
Werde demnächst mit dieser Anleitung mal probieren
http://www.dd-wrt.com/wiki/index.php/OpenVPN_-_Site-to-Site_Bridged_VPN ...
mfg. Blackheart
Hallo,
ich habe einen Linksys WRT54GL und DD-WRT VPN installiert. Dort habe ich den Server wie hier beschrieben eingerichtet. PPTP-Passthrough an, Firewall aus ....
Mit Win XP Pro SP2 möchte ich per VPN über den Router per PPTP auf das dahinter liegende Netz zugreifen.
Server config :
IP : 192.168.100.1
Client: 192.168.100.20 ( nicht belegt und nicht im DHCP-Pool enthalten)
user * passwort *
Dyndns funktioniert auf Router und pingbar.
Versuche ich mich jetzt zu Testzwecken aus meinem eigenen Netz per VPN auf die interne IP zu verbinden ( 192.168.100.1) geht alles gut. Die DyndnsAdresse und auch die Internet-IP selbst funktionieren nicht, wenn ich diese per VPN anwähle.
Habe gelesen, dass für VPN PPTP der Port 1723 TCP offen sein muss. Das sollte doch eigentlich PPTP-Pass Through erledigen. Port-Scanner sagt - port zu.
Also habe ich folgendes gemacht : /usr/sbin/iptables -I INPUT -p tcp --dport 1723 -j ACCEPT
Port immer noch zu. Kann mir jemand helfen? Intern gehts - von außen nicht.
Danke
Thomas
ich habe einen Linksys WRT54GL und DD-WRT VPN installiert. Dort habe ich den Server wie hier beschrieben eingerichtet. PPTP-Passthrough an, Firewall aus ....
Mit Win XP Pro SP2 möchte ich per VPN über den Router per PPTP auf das dahinter liegende Netz zugreifen.
Server config :
IP : 192.168.100.1
Client: 192.168.100.20 ( nicht belegt und nicht im DHCP-Pool enthalten)
user * passwort *
Dyndns funktioniert auf Router und pingbar.
Versuche ich mich jetzt zu Testzwecken aus meinem eigenen Netz per VPN auf die interne IP zu verbinden ( 192.168.100.1) geht alles gut. Die DyndnsAdresse und auch die Internet-IP selbst funktionieren nicht, wenn ich diese per VPN anwähle.
Habe gelesen, dass für VPN PPTP der Port 1723 TCP offen sein muss. Das sollte doch eigentlich PPTP-Pass Through erledigen. Port-Scanner sagt - port zu.
Also habe ich folgendes gemacht : /usr/sbin/iptables -I INPUT -p tcp --dport 1723 -j ACCEPT
Port immer noch zu. Kann mir jemand helfen? Intern gehts - von außen nicht.
Danke
Thomas
PPTP Passthrough darf nicht !! ausgeschaltet werden !!! Der VPN Einwahlrouter hier ist ja der PPTP Server der die eingehende PPTP VPN Session terminiert.
PPTP Passthrough ist dafür gedacht PPTP Session durch die Firewall des Routers auf dahinterliegende PPTP Server im lokalen Netz durchzuschleifen (Passthrough).
Das ist natürlich unsinning wenn der wie hier Router selber der VPN Server ist, folglich gehört PPTP Passthrough ausgeschaltet ! Auf der PPTP Serverseite muss auch nichts geforwardet werden, denn der Router ist ja selber direkt am Internet.
Ferner schreibst du das du mit einem Client der in einem lokalen Netz ist (192.168.100.1) versuchst dich auf diesem VPN Router einzuwählen...
Dafür musst du zwingend sicherstellen, das auch an diesem Netz, bzw. am Router an dem sich dein PPTP VPN Client befindet Port TCP 1723 und das GRE Protokoll in die Port Forwarding Liste auf die lokale IP 192.168.100.1 eingetragen ist !!! Sonst funktioniert kein PPTP.
PPTP Passthrough ist dafür gedacht PPTP Session durch die Firewall des Routers auf dahinterliegende PPTP Server im lokalen Netz durchzuschleifen (Passthrough).
Das ist natürlich unsinning wenn der wie hier Router selber der VPN Server ist, folglich gehört PPTP Passthrough ausgeschaltet ! Auf der PPTP Serverseite muss auch nichts geforwardet werden, denn der Router ist ja selber direkt am Internet.
Ferner schreibst du das du mit einem Client der in einem lokalen Netz ist (192.168.100.1) versuchst dich auf diesem VPN Router einzuwählen...
Dafür musst du zwingend sicherstellen, das auch an diesem Netz, bzw. am Router an dem sich dein PPTP VPN Client befindet Port TCP 1723 und das GRE Protokoll in die Port Forwarding Liste auf die lokale IP 192.168.100.1 eingetragen ist !!! Sonst funktioniert kein PPTP.
Danke, jetzt weiß ich wenigstens wie das mit passthrough funktioniert. Weiter hilft mir das leider aber auch nicht. ICh kann den VPN-Tunnel zu dem Router mit interner LAN-IP aufbauen. ZU der DynDns oder Internetadresse funktioniert der VPN nicht Fehler 800! Der Router ist direkt am Modem dran und Portforwarding ist nicht nötig! Muss ich die Firewall vom Router aufbohren?
Ja, am Router wo der Client dran ist musst du im Portforwarding TCP 1723 und das GRE Protokoll auf die lokale Client IP einstellen. PPTP Passthrough muss aktiv sein !
Hier wird vermutlich TCP 1723 geblockt:
http://support.microsoft.com/kb/319108/de
Der VPN PPTP Server, also das Ziel für diesen Client ist ja der Router selber. Hier auf dieser Seite ist nichts einzustellen nur PPTP Passthrough muss hier auf der VPN Serverseite ausgeschaltet sein !
Denk dran das du hier auf diesem VPN Einwahl Router den PPTP Client ausschaltest und auch OpenVPN deaktivierst, wie oben im Tutorial beschrieben. Diese Seite darf nur als PPTP Server arbeiten !
Hier wird vermutlich TCP 1723 geblockt:
http://support.microsoft.com/kb/319108/de
Der VPN PPTP Server, also das Ziel für diesen Client ist ja der Router selber. Hier auf dieser Seite ist nichts einzustellen nur PPTP Passthrough muss hier auf der VPN Serverseite ausgeschaltet sein !
Denk dran das du hier auf diesem VPN Einwahl Router den PPTP Client ausschaltest und auch OpenVPN deaktivierst, wie oben im Tutorial beschrieben. Diese Seite darf nur als PPTP Server arbeiten !
Danke vorab für die Hilfe. Wir reden scheinbar aneinander vorbei und ich drücke mich nicht klar aus.
Ich habe einen Router als PPTP VPN Server eingerichtet. config hier wie folgt:
IP: 192.168.100.1
client:192.168.100.20
PPTP-Passthrough ist aus. Firewall aus.
/config Router ende
In das netz des Routers möchte ich mich später von außen einwählen und teste die Verbindung aus dem VPNServer eigenem Netz 192.168.100.0 . Mein Rechner kann die Verbindung zu dem VPNserver über IP 192.168.100.1 wunderbar aufbauen und erhält auch die Client-IP 192.168.100.20. Die Verbindung über DynDNS misslingt.
Portforwarding macht meiner Meinung nach in meinem Fall keinen Sinn. Der Router als VPN-Server hängt direkt am Netz. Der Port 1723 TCP sollte offen sein, da ich unter Commands / Firewall folgendes zu stehen habe:/usr/sbin/iptables -I INPUT -p tcp --dport 1723 -j ACCEPT
Portscan sagt aber, dass der Port am Router zu ist und damit auch nicht erreichbar für den Client. Trotzdem funktioniert es intern! Verstehe das alles irgendwie nicht.
Was ist dieses GRE-Protokol und wie schalte ich es frei/weiter? Danke für die Geduld.
Ich habe einen Router als PPTP VPN Server eingerichtet. config hier wie folgt:
IP: 192.168.100.1
client:192.168.100.20
PPTP-Passthrough ist aus. Firewall aus.
/config Router ende
In das netz des Routers möchte ich mich später von außen einwählen und teste die Verbindung aus dem VPNServer eigenem Netz 192.168.100.0 . Mein Rechner kann die Verbindung zu dem VPNserver über IP 192.168.100.1 wunderbar aufbauen und erhält auch die Client-IP 192.168.100.20. Die Verbindung über DynDNS misslingt.
Portforwarding macht meiner Meinung nach in meinem Fall keinen Sinn. Der Router als VPN-Server hängt direkt am Netz. Der Port 1723 TCP sollte offen sein, da ich unter Commands / Firewall folgendes zu stehen habe:/usr/sbin/iptables -I INPUT -p tcp --dport 1723 -j ACCEPT
Portscan sagt aber, dass der Port am Router zu ist und damit auch nicht erreichbar für den Client. Trotzdem funktioniert es intern! Verstehe das alles irgendwie nicht.
Was ist dieses GRE-Protokol und wie schalte ich es frei/weiter? Danke für die Geduld.
OK, da hast du dich in der Tat verwirrend ausgedrückt. Ein Test aus dem internen Netz ist nicht möglich, da PPTP Passthrough ausgeschaltet ist aber auch ohne das wird es nicht klappen.
Das kannst du nur von extern testen, aber das ist auch einfach sofern du einen Laptop oder PC mit Analogmodem hast.
Das schliesst du schnell mal an die Telefondose an und richtest dir schnell einen Dialin bei einem Internet by Call Provider wie z.B. Arcor mit folgenden Daten ein:
Rufnummer: 01920791
Benutzername: arcor
Passwort: internet
Steht diese Verbindung kannst du darüber problemlos deinen VPN Zugang testen ! Das LAN muss dafür natürlich deaktiviert sein oder nicht angeschlossen sein !
Das kannst du nur von extern testen, aber das ist auch einfach sofern du einen Laptop oder PC mit Analogmodem hast.
Das schliesst du schnell mal an die Telefondose an und richtest dir schnell einen Dialin bei einem Internet by Call Provider wie z.B. Arcor mit folgenden Daten ein:
Rufnummer: 01920791
Benutzername: arcor
Passwort: internet
Steht diese Verbindung kannst du darüber problemlos deinen VPN Zugang testen ! Das LAN muss dafür natürlich deaktiviert sein oder nicht angeschlossen sein !
Ein Bekannter hat es soeben versucht. Er bekommt Fehler 678! Ich 800! Werde jetzt eine neue FW auf dem Router installieren zur Zeit ist noch DD-WRT v24 Beta (06/20/07) vpn drauf.
Der Test von innen klappt aber auf die interne Routeradresse mit VPN!!!! Es ist von Innen also doch möglich.
Der Test von innen klappt aber auf die interne Routeradresse mit VPN!!!! Es ist von Innen also doch möglich.
Habs nun endlich hinbekommen. Lag an der Beta-Firmware. Nun habe ich 2 Linksys WRT54GL mit OpenVPN verbunden siehe http://www.dd-wrt.com/wiki/index.php/OpenVPN-Site-to-Site-Bridged
Habe hier von Problemen beim bridgen von 2 Routern und PPTP gelesen und deshalb gleich OpenVPN genommen. PPTP-Server läuft noch parallel für die gute alte Win-VPN Einwahl. Keine Performanceprobleme.
Die genannte Arcor-NUmmer konnte ich auf der HP nicht finden, aber diese By-Call von Arcor 0192070.
Danke für die Geduld
Habe hier von Problemen beim bridgen von 2 Routern und PPTP gelesen und deshalb gleich OpenVPN genommen. PPTP-Server läuft noch parallel für die gute alte Win-VPN Einwahl. Keine Performanceprobleme.
Die genannte Arcor-NUmmer konnte ich auf der HP nicht finden, aber diese By-Call von Arcor 0192070.
Danke für die Geduld
Die Arcor Nummer steht auf der Arcor Homepage unter Produkte -> Privat -> Internet ohne DSL
Stimmt. Finde es nun auch. Jedoch konnte ich mit der Nummer nichts ansurfen, weil DNS irgendwie nicht funktionierte. Egal. Works fine now. Thanks a lot!
Hi,
funktioniert das auch mit FONera mit DD-WRT?
Ich habe auf meinem FONera DD-WRT.
Gruß.
funktioniert das auch mit FONera mit DD-WRT?
Ich habe auf meinem FONera DD-WRT.
Gruß.
Sollte meiner Meinung nach funktionieren. Ob nun Fonera, Linksys oder Asus-Router ist doch egal, da alles über die Firmware realisiert wird.
Hi,
ich möchte folgendes realsieren:
Ein DD-WRT-Gerät arbeitet als WLAN-Client.
Es soll sich automatisch mit einem WLAN-AP verbinden der unverschlüsselt ist.
Dann sich mit einem PPTP-VPN-Server verbinden.
Und so aus dem LAN hinten www liefern was durch den PPTP-VPN-Server zur Verfügung gestellt wird.
Ist das möglich mit DD-WRT?
Als Beispiel:
Der WLAN-AP vergibt IPs aus dem Bereich 192.168.100.100 bis 192.168.100.200.
So erhält der DD-WRT-WLAN-Client zum Beispiel die IP 192.168.100.101.
Der PPTP-VPN-Server vergibt Adressen aus dem Bereich von 172.168.100.100 bin 172.168.100.200.
Wenn sich jetzt der DD-WRT-WLAN-Client mit seinem PPTP-Client einwählt bekommt er die IP 172.168.100.109 zum Beispiel.
Was für ein Netz kann ich hinten zum LAN-Port rausgeben lassen?
Muß es ein 172.168.100.xxx Netz sein, sprich das PPTP-VPN-Netz?
Ode kann ich in dem DD-WRT-WLAN-Client-Gerät sagen das es mir eine NAT machen soll und so zum Beispiel ein Netz 10.10.10.yyy ausgebe soll?
Wie verhält sich DD-WRT wenn das VPN mal abreist weil das WLAN kurzzeitig unterbrochen wurde?
Wieviel mal versucht es sich in welchen Abständen neu beim WLAN und dann beim VPN-Server einzubuchen?
Danke.
PS:
Super HowTo.
ich möchte folgendes realsieren:
Ein DD-WRT-Gerät arbeitet als WLAN-Client.
Es soll sich automatisch mit einem WLAN-AP verbinden der unverschlüsselt ist.
Dann sich mit einem PPTP-VPN-Server verbinden.
Und so aus dem LAN hinten www liefern was durch den PPTP-VPN-Server zur Verfügung gestellt wird.
Ist das möglich mit DD-WRT?
Als Beispiel:
Der WLAN-AP vergibt IPs aus dem Bereich 192.168.100.100 bis 192.168.100.200.
So erhält der DD-WRT-WLAN-Client zum Beispiel die IP 192.168.100.101.
Der PPTP-VPN-Server vergibt Adressen aus dem Bereich von 172.168.100.100 bin 172.168.100.200.
Wenn sich jetzt der DD-WRT-WLAN-Client mit seinem PPTP-Client einwählt bekommt er die IP 172.168.100.109 zum Beispiel.
Was für ein Netz kann ich hinten zum LAN-Port rausgeben lassen?
Muß es ein 172.168.100.xxx Netz sein, sprich das PPTP-VPN-Netz?
Ode kann ich in dem DD-WRT-WLAN-Client-Gerät sagen das es mir eine NAT machen soll und so zum Beispiel ein Netz 10.10.10.yyy ausgebe soll?
Wie verhält sich DD-WRT wenn das VPN mal abreist weil das WLAN kurzzeitig unterbrochen wurde?
Wieviel mal versucht es sich in welchen Abständen neu beim WLAN und dann beim VPN-Server einzubuchen?
Danke.
PS:
Super HowTo.
Der DD-WRT WLAN Client Modus und der PPTP Server schiessen sich vermutlich gegenseitig aus. Sicher ist das allerdings nicht.
Diese Konfig ist aber auch vollkommen unsinnig auch wenn nicht. Warum sollte denn unbedingt der WRT im Client Modus auch einen PPTP Client haben. Das ist doch so oder so überflüssig.
Der von dir zitierte AP wird ja vermutlich ein Router sein. Es reicht doch vollkommen dort den PPTP Client zu aktivieren, der dann eine Verbindung mit dem 172.168er Netz herstellt und die Packete vom WLAN Client dahin routet.
Der Witz eines VPN Routers ist ja gerade das Endgeräte sich NICHT um VPN Verbindungen kümmern sollten !
Gut, vermutlich wirst du auf dem Fonera Router keinen Zugriff haben, was dich zu dieser grauseligen Konfig führt.
Es ist dann aber besser einen NAT Router mit dem WAN Interface im Fonera Netz zu betreiben und dort kabelbasierend die VPN Verbindung zu realisieren.
Letztlich scheitert das aber so oder so an der mangelnden Möglichkeit ein Port Forwarding auf dies IP für die VPN Verbindung zu konfigurieren, was zwingend nötig ist. Andererseit ist so oder so keine VPN Verbindung möglich. Auch nicht wie du es dir vorstellst, denn ein WLAN Client ist nur eine transparente Layer 2 Bridge, hat also mit der Adressierung im WLAN rein gar nichts zu tun. Die relevanten IP Adressen werden vom am Client angeschlossenen PC gehalten.
Wenn, dann müsste der VPN Client schon direkt auf dem PC laufen, was dann ggf. funktionieren könnte.
Nochwas: Deine 172.168er Adressen sind KEINE privaten und freinen RFC 1918 Adressen !!! Dieser Bereich geht von 172.16.0.0 bis 172.31.255.255 !!
Siehe hier:
http://de.wikipedia.org/wiki/Private_IP-Adresse
Diese Konfig ist aber auch vollkommen unsinnig auch wenn nicht. Warum sollte denn unbedingt der WRT im Client Modus auch einen PPTP Client haben. Das ist doch so oder so überflüssig.
Der von dir zitierte AP wird ja vermutlich ein Router sein. Es reicht doch vollkommen dort den PPTP Client zu aktivieren, der dann eine Verbindung mit dem 172.168er Netz herstellt und die Packete vom WLAN Client dahin routet.
Der Witz eines VPN Routers ist ja gerade das Endgeräte sich NICHT um VPN Verbindungen kümmern sollten !
Gut, vermutlich wirst du auf dem Fonera Router keinen Zugriff haben, was dich zu dieser grauseligen Konfig führt.
Es ist dann aber besser einen NAT Router mit dem WAN Interface im Fonera Netz zu betreiben und dort kabelbasierend die VPN Verbindung zu realisieren.
Letztlich scheitert das aber so oder so an der mangelnden Möglichkeit ein Port Forwarding auf dies IP für die VPN Verbindung zu konfigurieren, was zwingend nötig ist. Andererseit ist so oder so keine VPN Verbindung möglich. Auch nicht wie du es dir vorstellst, denn ein WLAN Client ist nur eine transparente Layer 2 Bridge, hat also mit der Adressierung im WLAN rein gar nichts zu tun. Die relevanten IP Adressen werden vom am Client angeschlossenen PC gehalten.
Wenn, dann müsste der VPN Client schon direkt auf dem PC laufen, was dann ggf. funktionieren könnte.
Nochwas: Deine 172.168er Adressen sind KEINE privaten und freinen RFC 1918 Adressen !!! Dieser Bereich geht von 172.16.0.0 bis 172.31.255.255 !!
Siehe hier:
http://de.wikipedia.org/wiki/Private_IP-Adresse
Hi,
es sieht im Momemt so aus:
Windows-PPTP-Client auf PC => FONera im WLAN-Client-Modus => AP => PPTP-Server => www
nur mit Zugang zum PPTP-Server bekommst du Zugang zum www.
Ziel:
PC => FONera im WLAN-Client-Modus mit PPTP-Client => AP => PPTP-Server => www
ist das möglich?
Gruß.
es sieht im Momemt so aus:
Windows-PPTP-Client auf PC => FONera im WLAN-Client-Modus => AP => PPTP-Server => www
nur mit Zugang zum PPTP-Server bekommst du Zugang zum www.
Ziel:
PC => FONera im WLAN-Client-Modus mit PPTP-Client => AP => PPTP-Server => www
ist das möglich?
Gruß.
Das kann man so nicht beantworten, da man wissen muesste ob die Fonera SW diesen Doppelmodus supportet !
Vermutlich aber NICHT, denn der PC muesste den PPTP Client halten, denn dessen IP ist relevant fuer die Kommunikation. Der WLAN Client arbeitet nur als Bridge oder gewissermassen als Medienwandler Kabel - WLAN. Dessen IP spielt also gar keine Rolle und ist nur fuer die Administration. Ein PPTP Client hier ist allso vollkommen nutzlos. Deshalb sehr wahrscheinlich ein NO GO !
Vermutlich aber NICHT, denn der PC muesste den PPTP Client halten, denn dessen IP ist relevant fuer die Kommunikation. Der WLAN Client arbeitet nur als Bridge oder gewissermassen als Medienwandler Kabel - WLAN. Dessen IP spielt also gar keine Rolle und ist nur fuer die Administration. Ein PPTP Client hier ist allso vollkommen nutzlos. Deshalb sehr wahrscheinlich ein NO GO !
Hi,
kann die FONera nicht auch auch einen echten WLAN-Client-Modus mit NAT oder echtem Routing?
Und dann noch einen PPTP-Client auf die FONera zwischen WLAN und NAT.
Gruß.
kann die FONera nicht auch auch einen echten WLAN-Client-Modus mit NAT oder echtem Routing?
Und dann noch einen PPTP-Client auf die FONera zwischen WLAN und NAT.
Gruß.
Die Frage müsstest du als Fonera User selber beantworten oder mal in der Feature Beschreibung von Fonera nachlesen !
Es ist aber auch egal... Wie bereits gesagt ein WLAN Client ist NICHT an der IP Kommunikation beteiligt sondern nur ein WLAN Adapter. Die IP Kommunikation findet aktiv transparent über diesen Client mit dem Gerät dahinter statt. Der PPTP Client ist also vermutlich eh nutzlos auf dem WLAN Client Device und gehört auf den PC dahinter als aktives Endgerät.
Einzige Ausnahme wäre der WLAN Client supportet selber aktiv die WLAN Verbindung. Das ist der sog. WISP Modus. Das die Fonera Kiste das aber auch noch kann so quasi als eierlegende Wollmilchsau ist aber mehr als fraglich....
Die Fonera Doku sollte da eindeutig sein !
Es ist aber auch egal... Wie bereits gesagt ein WLAN Client ist NICHT an der IP Kommunikation beteiligt sondern nur ein WLAN Adapter. Die IP Kommunikation findet aktiv transparent über diesen Client mit dem Gerät dahinter statt. Der PPTP Client ist also vermutlich eh nutzlos auf dem WLAN Client Device und gehört auf den PC dahinter als aktives Endgerät.
Einzige Ausnahme wäre der WLAN Client supportet selber aktiv die WLAN Verbindung. Das ist der sog. WISP Modus. Das die Fonera Kiste das aber auch noch kann so quasi als eierlegende Wollmilchsau ist aber mehr als fraglich....
Die Fonera Doku sollte da eindeutig sein !
Hi... mir grossem Interesse habe ich den Thread gelesen und mit meinem WRT54GL rumprobiert. (mittlerweile seit 3 Tagen)
Aber ich habe ein riesen Problem.
Mein VPN Einwahlserver ist eine Routing und RAS Server auf Win 2003 Server Enterprise. Die Einwahl durch Win-Clients gelingt problemlos.
Konfiguriere ich jedoch alles wie hier für einen WRT54G-PPTP Client vorgesehen, verbindet der WRT (FW v24 vpn) kurzzeitig... und nach 30 sek fliege ich wieder raus.
Folgender Eintrag im Eventlog des Servers:
Der Benutzer "ABC\abc" hat eine Verbindung mit Port VPN3-127 am 27.05.2008 um 11:24 hergestellt und diese am 27.05.2008 um 11:25 getrennt. Verbindungszeit: 0 Min. 41 Sek., 871 Bytes wurden gesendet und 912 Bytes empfangen. Der Grund für das Trennen war: Administrative Einstellungen oder expli.
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
Kann mir da jemand weiterhelfen ? - Die Verbindung per Windows Client funktioniert Fehlerfrei mit der Anzeige: Gerätename: (PPTP), Servertyp: PPP, Authentifizierrung: MS CHAP V2, Verschlüsselung: MPPE 128
Vielen Dank für die Hilfe im Voraus... Gruss Steve
Aber ich habe ein riesen Problem.
Mein VPN Einwahlserver ist eine Routing und RAS Server auf Win 2003 Server Enterprise. Die Einwahl durch Win-Clients gelingt problemlos.
Konfiguriere ich jedoch alles wie hier für einen WRT54G-PPTP Client vorgesehen, verbindet der WRT (FW v24 vpn) kurzzeitig... und nach 30 sek fliege ich wieder raus.
Folgender Eintrag im Eventlog des Servers:
Der Benutzer "ABC\abc" hat eine Verbindung mit Port VPN3-127 am 27.05.2008 um 11:24 hergestellt und diese am 27.05.2008 um 11:25 getrennt. Verbindungszeit: 0 Min. 41 Sek., 871 Bytes wurden gesendet und 912 Bytes empfangen. Der Grund für das Trennen war: Administrative Einstellungen oder expli.
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
Kann mir da jemand weiterhelfen ? - Die Verbindung per Windows Client funktioniert Fehlerfrei mit der Anzeige: Gerätename: (PPTP), Servertyp: PPP, Authentifizierrung: MS CHAP V2, Verschlüsselung: MPPE 128
Vielen Dank für die Hilfe im Voraus... Gruss Steve
Hast du mal etwas mit den mppe required,no40,no56,stateless Parametern rumgespielt ??? Also z.B. mal
mppe required,no40,no56,statefull
mppe required,stateless
mppe required,statefull
usw. versucht.
Vermutlich wird er deshalb rausgeschmissen...
Wichtig ist das was im Windows PPTP VPN Server im Log steht !!! Der zeigt genau an was ihm nicht gefällt in den PPPTP Parametern !! Der erste Blick sollte also hier hineingehen...
mppe required,no40,no56,statefull
mppe required,stateless
mppe required,statefull
usw. versucht.
Vermutlich wird er deshalb rausgeschmissen...
Wichtig ist das was im Windows PPTP VPN Server im Log steht !!! Der zeigt genau an was ihm nicht gefällt in den PPPTP Parametern !! Der erste Blick sollte also hier hineingehen...
Sorry... habe deine Antwort jetzt erst gesehen... irgendwie hat das mit der Benachrichtigungsmail nicht funktioniert.
Bin immer noch dran und probiere die wildesten Sachen aus.... das kann doch nicht so schwer sein
Ich prüfe die von dir genannten Optionen mal durch und melde mich wieder.
Bis gleich....
Bin immer noch dran und probiere die wildesten Sachen aus.... das kann doch nicht so schwer sein
Ich prüfe die von dir genannten Optionen mal durch und melde mich wieder.
Bis gleich....
So....
also mit folgenden Varianten ist folgendes passiert (Server Eventlog):
mppe required,no40,no56,statefull --> Fehlermeldung bzgl. des GRE Protokolls --> Keine Verbindung
mppe required,no40,no56,stateless --> Login / Logout --> Keine stabile Verbindung aber keinerlei Fehlermeldungen im Log, daher Problem wie bisher beschrieben
mppe required,stateless --> Login / Logout --> Keine stabile Verbindung aber keinerlei Fehlermeldungen im Log, daher Problem wie bisher beschrieben
mppe required,statefull --> --> Fehlermeldung bzgl. des GRE Protokolls --> Keine Verbindung
Das gibts doch nicht.... wieso hält der Router die Verbindung nicht ?
Bin für alle Vorschläge offen
also mit folgenden Varianten ist folgendes passiert (Server Eventlog):
mppe required,no40,no56,statefull --> Fehlermeldung bzgl. des GRE Protokolls --> Keine Verbindung
mppe required,no40,no56,stateless --> Login / Logout --> Keine stabile Verbindung aber keinerlei Fehlermeldungen im Log, daher Problem wie bisher beschrieben
mppe required,stateless --> Login / Logout --> Keine stabile Verbindung aber keinerlei Fehlermeldungen im Log, daher Problem wie bisher beschrieben
mppe required,statefull --> --> Fehlermeldung bzgl. des GRE Protokolls --> Keine Verbindung
Das gibts doch nicht.... wieso hält der Router die Verbindung nicht ?
Bin für alle Vorschläge offen
... ich sagte: " Ich bin für ALLE Vorschläge offen !!"
CU St.
CU St.
ich habe das problem, dass ich bei eingeschaltetem vpn-passthrough in dem DD-WRT router (was ich für ausgehende VPN-Verbindungen aus winXP benötige?!) von außen nicht per VPN zum router connecten kann.
denke mal, weil er die anfrage dann ja durchstellt. hat irgendwer ne ahnung, wie ich das hinbiegen soll?
mfg
denke mal, weil er die anfrage dann ja durchstellt. hat irgendwer ne ahnung, wie ich das hinbiegen soll?
mfg
Nein, er stellt die Anfrage definitiv nicht durch, denn das wäre ein simples Port Forwarding was mehr oder weniger jeder Router kann und nichts mit dieser VPN Router Lösung zu tun hat ! VPN Passthrough darf also in dieser Lösung niemals aktiviert sein ! (Ist es auch nicht wenn der Router wie oben beschrieben PPTP VPN Server ist)
Wie du oben im Tutorial ja lesen kannst ist der Router selber VPN Server !!! D.h. der Router selber terminiert die VPN Verbindung und nicht ein Rechner oder was auch immer dahinter.
In dieser Beziehung machst du wohl vermutlich einen Denkfehler oder hast eine falsche Konfiguration aufgesetzt !!!
Wie du oben im Tutorial ja lesen kannst ist der Router selber VPN Server !!! D.h. der Router selber terminiert die VPN Verbindung und nicht ein Rechner oder was auch immer dahinter.
In dieser Beziehung machst du wohl vermutlich einen Denkfehler oder hast eine falsche Konfiguration aufgesetzt !!!
hi und erstmal danke für die antwort, jedoch war mir das soweit schon lange klar...
mein problem ist, dass ich von zu hause mit dem windows vpn client (der hinter besagtem router sitzt, auf den sich ja auch eingewählt wird) nicht rauskomme, wenn ich kein passthrough in besagtem router an habe.
mit aktiviertem passthrough kann sich ja aber keiner auf dem router einwählen...
mein problem ist, dass ich von zu hause mit dem windows vpn client (der hinter besagtem router sitzt, auf den sich ja auch eingewählt wird) nicht rauskomme, wenn ich kein passthrough in besagtem router an habe.
mit aktiviertem passthrough kann sich ja aber keiner auf dem router einwählen...
Beides parallel ist nicht möglich
Ich habe eine Verständnisfrage.
Mein Heim-LAN: 192.168.1.0/24
Router: 192.168.1.1
DHCP vergibt von .2 - .50
PPTP-Server Konfiguration:
PPTP-Server: 192.168.1.1
Client IPs: 192.168.1.60-70
Dann noch die CHAP-Secrets, und schon kann ich mit einem VPN Client mein Heimnetz nutzen, indem ich mich mit dem Client zu meiner externen IP (die statisch ist) verbinde? Habe ich das so richtig aufgefasst, stimmt das so?
Mein Heim-LAN: 192.168.1.0/24
Router: 192.168.1.1
DHCP vergibt von .2 - .50
PPTP-Server Konfiguration:
PPTP-Server: 192.168.1.1
Client IPs: 192.168.1.60-70
Dann noch die CHAP-Secrets, und schon kann ich mit einem VPN Client mein Heimnetz nutzen, indem ich mich mit dem Client zu meiner externen IP (die statisch ist) verbinde? Habe ich das so richtig aufgefasst, stimmt das so?
Du würfelst hier ziemlich was durcheinander.... 2 Punkte sind falsch:
1.) "Mein Heim-LAN: 192.168.1.1/24 " ist erstmal schon falsch, denn "192.168.1.1" ist eine Host Adresse wie du weisst aber bezeichnet kein Netzwerk !! Das Netzwerk bezeichent immer die Adresse bei denen die Hostbits der IP alle 0 (Null) sind !!
Richtig wäre also hier : 192.168.1.0/24
2.) "...Client zu meiner externen IP (die statisch ist) verbinde?.."
Nein, das ist falsch. Deine externe IP (DSL Interface) muss nicht statisch sein !! Eine dynamische geht auch. Damit du die dann nicht immer nachsehen musst empfiehlt es sich bei DynDNS einen kostenlosen Account einzurichten und den auf dem Router einzurichten !
Nun kannst du von überallher mit dem PPTP Client und als Ziel IP dann: /meinrouter.dyndns.org auf den Router zugreifen per PPTP VPN.
Wenn du eine statische IP hast kannst du dir das DynDNS natürlich sparen und gibst dann nur die satische DSL IP an...
Der Rest ist aber richtig !!
1.) "Mein Heim-LAN: 192.168.1.1/24 " ist erstmal schon falsch, denn "192.168.1.1" ist eine Host Adresse wie du weisst aber bezeichnet kein Netzwerk !! Das Netzwerk bezeichent immer die Adresse bei denen die Hostbits der IP alle 0 (Null) sind !!
Richtig wäre also hier : 192.168.1.0/24
2.) "...Client zu meiner externen IP (die statisch ist) verbinde?.."
Nein, das ist falsch. Deine externe IP (DSL Interface) muss nicht statisch sein !! Eine dynamische geht auch. Damit du die dann nicht immer nachsehen musst empfiehlt es sich bei DynDNS einen kostenlosen Account einzurichten und den auf dem Router einzurichten !
Nun kannst du von überallher mit dem PPTP Client und als Ziel IP dann: /meinrouter.dyndns.org auf den Router zugreifen per PPTP VPN.
Wenn du eine statische IP hast kannst du dir das DynDNS natürlich sparen und gibst dann nur die satische DSL IP an...
Der Rest ist aber richtig !!
Hallo,
vielen Dank für deine Antwort.
zu 1.) Das ist natürlich völlig richtig - Flüchtigkeitsfehler meinerseits.
zu 2.) Ich habe aber eine statische externe IP - von daher ließ ich DynDNS in meiner Ausführung aus.
Also passts ja so - vielen Dank! Werde es demnächst testen.
vielen Dank für deine Antwort.
zu 1.) Das ist natürlich völlig richtig - Flüchtigkeitsfehler meinerseits.
zu 2.) Ich habe aber eine statische externe IP - von daher ließ ich DynDNS in meiner Ausführung aus.
Also passts ja so - vielen Dank! Werde es demnächst testen.
Hallo,
hatte auch das Problem daß die VPN-Kopplung zwischen 2 DDWRT-Routern nicht klappen wollte.
Windows Clients konnten sich am Server problemlos anmelden und die Verbindung aufbauen.
Nur der DDWRT - Client wollte nicht so richtig.
Offensichtlich bekam der Client vom Server keine IP zugeteilt.
Abhilfe hat dann folgende Einstellung im Client gebracht:
noipdefault mppe required
Vielleicht hilfts ja jemanden weiter.
Habe 2 Tage gebraucht die Verbindung zum laufen zu bringen...
Hardware: D-Link DIR300 mit V24SP1
Mfg
Michael
hatte auch das Problem daß die VPN-Kopplung zwischen 2 DDWRT-Routern nicht klappen wollte.
Windows Clients konnten sich am Server problemlos anmelden und die Verbindung aufbauen.
Nur der DDWRT - Client wollte nicht so richtig.
Offensichtlich bekam der Client vom Server keine IP zugeteilt.
Abhilfe hat dann folgende Einstellung im Client gebracht:
noipdefault mppe required
Vielleicht hilfts ja jemanden weiter.
Habe 2 Tage gebraucht die Verbindung zum laufen zu bringen...
Hardware: D-Link DIR300 mit V24SP1
Mfg
Michael
Nabend zusammen,
ich habe leider das gleiche Problem wie Steve. Ich versuche per pptp client (DD WRT) an einen Windows 2008 VPN zu kommen, und die Verbindung wird auch aufgebaut, aber leider bleibt sie nur für ca 10 sek bestehen. Ich bekomme eine dynamische IP zugewiesen und die Logons sind ordnungsgemäß im VPN Server zu finden. Mit "stateful" und "stateless" bzw. den anderen Optionen spiele ich nun seit 2 Tagen rum, und bin leider nur zu diesem ergebnis gekommen. Der Router ist nicht mein einwahlrouter und bekommst seine adressen + gateway per DHCP (nach den tipps ettlicher anderer tutorials).
Kann mir irgendjemand dazu weiterhelfen?
Danke im voraus, mfg,
daniel
ich habe leider das gleiche Problem wie Steve. Ich versuche per pptp client (DD WRT) an einen Windows 2008 VPN zu kommen, und die Verbindung wird auch aufgebaut, aber leider bleibt sie nur für ca 10 sek bestehen. Ich bekomme eine dynamische IP zugewiesen und die Logons sind ordnungsgemäß im VPN Server zu finden. Mit "stateful" und "stateless" bzw. den anderen Optionen spiele ich nun seit 2 Tagen rum, und bin leider nur zu diesem ergebnis gekommen. Der Router ist nicht mein einwahlrouter und bekommst seine adressen + gateway per DHCP (nach den tipps ettlicher anderer tutorials).
Kann mir irgendjemand dazu weiterhelfen?
Danke im voraus, mfg,
daniel
Hallo!
Ich bin auf diesen Beitrag gestossen und habe einige Fragen bezüglich meines Problems.
In meiner unten angeführten Konfiguration funktioniert kein Portforwarding und ich denke das folgende aussage das Problem sein könnte:
ZITAT:
NAT: Hier kann man Einstellen ob der Router NAT, also Network Adress Translation, zum entfernten Netz machen soll. Aus Sicherheitsgründen kann das durchaus sinnvoll sein wenn man z.B. ausschliesslich nur Dienste im entfernten Netz nutzen möchte aber gleichzeitig sein lokales Netz durch eine NAT Firewall schützen möchte.
Der Nachteil ist, das damit aus dem remoten Netz heraus keine Rechner im lokalen Netz erreicht werden können. Ist eine transparente Netzkopplung, wo jeder mit jedem kann gefordert, muss NAT ausgeschaltet sein wie im Beispiel !
Leider funktioniert mein Zugriff auf den PPTP-Server nicht wenn ich NAT deaktiviere.
Meine Konfiguration:
2 mal Lynksys WRTG Router (einmal orig. software vom provider "mywave.at" und einmel mit ddwrt v24)
konfiguriert nach dieser anleitung:
***.overclockers.at/showthread.php?s=&postid=2244589#post2244589
einen laptop per wlan am ddwrt router!
ip´s:
Router1 (mywave) 172.24.0.1 (webif zugriff auf: 172.24.0.1:32000)
Router2 (ddwrt) wan 172.24.0.2
Router2 (ddwrt) lan 192.168.1.1
laptop 192.168.1.2
Die Verbindung zwischen R1 und R2 erfolgt mittels eines 1:1 Kabels von einem der LAN-Ports des R1 auf den WAN-Port des R2
Die Portforwards hab ich auf R2 auf die IP des Laptops eingestellt, leider ohne erfolg!
Wenn ich mich mittels VPN vom Laptop direkt einwähle sind alle Ports geöffnet.
Sobald R2 die Verbindung aufbaut, sind nur Port 80, 53 frei!
Gibt es da eine Lösung?
mfg,
CH
Ich bin auf diesen Beitrag gestossen und habe einige Fragen bezüglich meines Problems.
In meiner unten angeführten Konfiguration funktioniert kein Portforwarding und ich denke das folgende aussage das Problem sein könnte:
ZITAT:
NAT: Hier kann man Einstellen ob der Router NAT, also Network Adress Translation, zum entfernten Netz machen soll. Aus Sicherheitsgründen kann das durchaus sinnvoll sein wenn man z.B. ausschliesslich nur Dienste im entfernten Netz nutzen möchte aber gleichzeitig sein lokales Netz durch eine NAT Firewall schützen möchte.
Der Nachteil ist, das damit aus dem remoten Netz heraus keine Rechner im lokalen Netz erreicht werden können. Ist eine transparente Netzkopplung, wo jeder mit jedem kann gefordert, muss NAT ausgeschaltet sein wie im Beispiel !
Leider funktioniert mein Zugriff auf den PPTP-Server nicht wenn ich NAT deaktiviere.
Meine Konfiguration:
2 mal Lynksys WRTG Router (einmal orig. software vom provider "mywave.at" und einmel mit ddwrt v24)
konfiguriert nach dieser anleitung:
***.overclockers.at/showthread.php?s=&postid=2244589#post2244589
einen laptop per wlan am ddwrt router!
ip´s:
Router1 (mywave) 172.24.0.1 (webif zugriff auf: 172.24.0.1:32000)
Router2 (ddwrt) wan 172.24.0.2
Router2 (ddwrt) lan 192.168.1.1
laptop 192.168.1.2
Die Verbindung zwischen R1 und R2 erfolgt mittels eines 1:1 Kabels von einem der LAN-Ports des R1 auf den WAN-Port des R2
Die Portforwards hab ich auf R2 auf die IP des Laptops eingestellt, leider ohne erfolg!
Wenn ich mich mittels VPN vom Laptop direkt einwähle sind alle Ports geöffnet.
Sobald R2 die Verbindung aufbaut, sind nur Port 80, 53 frei!
Gibt es da eine Lösung?
mfg,
CH
Das NAT bezieht sich auf ein NAT innerhalb des VPNs, NICHT auf das NAT in Richtung Internet. Normalerweise ist das unsinnig das einzuschalten und gehört deaktiviert. Das NAT in Richtung Internet muss natürlich bestehen bleiben !!
Auch bei einer VPN Kopplung 2er Router sind dann deren lokale Netze durch den VPN Tunnel direkt verbunden. Es findest also ein direktes Routing zw. diesen Netzen statt.
Ein Filter ist da nicht aktiv, das ist unrichtig oder du hast die Firewall entsprechend eingestellt.
Beide Netze hängen transparent zusammen, was du auch eindeutig mit einem Ping verifizieren kannst !
Wichtig ist das beide lokalen Netze unterschiedliche IP Adressen haben bei einer VPN Kopplung.
Das die lokalen Firewalls auf den Endgeräten entsprechende Zugriffe aus dem Fremdnetz zulassen müssen sollte ebenfalls klar sein.
Ansonsten ist nichts zu beachten und das o.a. Szenario funktioniert fehlerlos !
Auch bei einer VPN Kopplung 2er Router sind dann deren lokale Netze durch den VPN Tunnel direkt verbunden. Es findest also ein direktes Routing zw. diesen Netzen statt.
Ein Filter ist da nicht aktiv, das ist unrichtig oder du hast die Firewall entsprechend eingestellt.
Beide Netze hängen transparent zusammen, was du auch eindeutig mit einem Ping verifizieren kannst !
Wichtig ist das beide lokalen Netze unterschiedliche IP Adressen haben bei einer VPN Kopplung.
Das die lokalen Firewalls auf den Endgeräten entsprechende Zugriffe aus dem Fremdnetz zulassen müssen sollte ebenfalls klar sein.
Ansonsten ist nichts zu beachten und das o.a. Szenario funktioniert fehlerlos !
Hi!
Wo kann ich prüfen ob das NAT innerhalb des VPNs deaktiviert ist?
Firewalls sind deaktiviert (zumindest bei Router2 und Windows) Router1 hat keine Firewalleinstellungen.
Weis auch nicht weiter.
Gibt es irgendwo ein Log wo ich nachsehen kann wo die "Ports" bei der Weiterleitung hängenbleiben?
mfg,
CH
Wo kann ich prüfen ob das NAT innerhalb des VPNs deaktiviert ist?
Firewalls sind deaktiviert (zumindest bei Router2 und Windows) Router1 hat keine Firewalleinstellungen.
Weis auch nicht weiter.
Gibt es irgendwo ein Log wo ich nachsehen kann wo die "Ports" bei der Weiterleitung hängenbleiben?
mfg,
CH
"Wo kann ich prüfen ob das NAT innerhalb des VPNs deaktiviert ist? "
A.: Sieh dir den Screenshot oben an !!!
Auf der PPTP Client Seite muus der Konfig Button bei NAT auf Abschalten stehen.
Ist oben im Kringel auch so ersichtlich !!
Auf der PPTP Server Seite ist nichts zusätzlich einzustellen !
A.: Sieh dir den Screenshot oben an !!!
Auf der PPTP Client Seite muus der Konfig Button bei NAT auf Abschalten stehen.
Ist oben im Kringel auch so ersichtlich !!
Auf der PPTP Server Seite ist nichts zusätzlich einzustellen !
Sobald ich das NAT deaktiviere wählt sich mein Router nicht mehr ins Internet ein!
Das kann eigentlich nicht sein. Vermutlich hast du das DSL NAT genommen und nicht das PPTP NAT.
Der PPTP Prozess ist doch vollkommen unabhängig von der Internet Einwahl !!
Da ist es vollkommen egal ob im PPTP Client Router NAT angeklickt ist oder nicht !
Die PPPoE Einwahl funktioniert unabhängig davon. Wäre ja auch schlimm wenn nicht !!!
Mit 2 mal Linksys WRT54 und DD-WRT funktioniert das wenigstens vollkommen problemlos egal ob NAT im VPN Tunnel gemacht wird oder nicht.
Wer weiss was du da rumkonfigurierst ???
Scheinbar nicht das was im o.a. Tutorial beschrieben ist !
Der PPTP Prozess ist doch vollkommen unabhängig von der Internet Einwahl !!
Da ist es vollkommen egal ob im PPTP Client Router NAT angeklickt ist oder nicht !
Die PPPoE Einwahl funktioniert unabhängig davon. Wäre ja auch schlimm wenn nicht !!!
Mit 2 mal Linksys WRT54 und DD-WRT funktioniert das wenigstens vollkommen problemlos egal ob NAT im VPN Tunnel gemacht wird oder nicht.
Wer weiss was du da rumkonfigurierst ???
Scheinbar nicht das was im o.a. Tutorial beschrieben ist !
Router mit DDWRT: Services->PPTP>NAT auf Disable und Neustart des Routers = keine Einwahl
Stelle ich NAT auf Enable erfolg die Einwahl nach 2-3 min.
ZITAT:
"Mit 2 mal Linksys WRT54 und DD-WRT funktioniert das wenigstens vollkommen problemlos egal ob NAT im VPN Tunnel gemacht wird oder nicht"
Beim Router1 ist devinitiv kein DDWRT drauf! Es ist eine Eigene Software des Providers wo man nur folgendes einstellen bzw. einsehen kann:
KAP Status
Portforward
Reboot
Auf dem Router wo der PPTP-Server läuft hab ich natürlich keinen Zugriff da der beim Provider steht.
Stelle ich NAT auf Enable erfolg die Einwahl nach 2-3 min.
ZITAT:
"Mit 2 mal Linksys WRT54 und DD-WRT funktioniert das wenigstens vollkommen problemlos egal ob NAT im VPN Tunnel gemacht wird oder nicht"
Beim Router1 ist devinitiv kein DDWRT drauf! Es ist eine Eigene Software des Providers wo man nur folgendes einstellen bzw. einsehen kann:
KAP Status
Portforward
Reboot
Auf dem Router wo der PPTP-Server läuft hab ich natürlich keinen Zugriff da der beim Provider steht.
Nur nochmal zur Klarstellung:
DDWRT: Services->PPTP>NAT Server -> AUS
DDWRT: Services->PPTP>NAT Client -> AN und Konfig wie oben beschrieben (NAT off)
Das ist dann ein ganz anderes Szenario wenn das 2te System kein dd-wrt ist aber letztlich egal, denn das kann jeglicher PPTP Server sein. Mit 2 mal DD-WRT klappt das einwandfrei !
Ist aber trotzdem vollkommen unverständlich, denn ob du im PPTP Client NAT machst oder nicht hat bei dd-wrt keinerlei Einfluss auf die PPPoE Einwahl zum Provider.
Der Router wählt sich trotzdem beim Provider ein egal ob NAT im PPTP Client aktiviert ist oder nicht !!
Der PPTP Server muss natürlich ausgeschaltet sein !!!
Ggf. ist das ein Bug in deiner Version.
Letztlich ist es aber egal ob die NAT im VPN Tunnel machst oder nicht sofern du Endgeräte im remoten Netz erreichen willst bzw. derjenige bist der eine Verbindung initiiert.
Andersrum wird es natürlich nicht gehen, denn wenn jemand aus dem remoten Netz zu dir eine Session aufbauen will kommt er über die NAT Firewall nicht rüber.
Deshalb sollte man ja auch tunlichst NAT im VPN Tunnel ausschalten um nicht in diese Falle zu rennen !!!
DDWRT: Services->PPTP>NAT Server -> AUS
DDWRT: Services->PPTP>NAT Client -> AN und Konfig wie oben beschrieben (NAT off)
Das ist dann ein ganz anderes Szenario wenn das 2te System kein dd-wrt ist aber letztlich egal, denn das kann jeglicher PPTP Server sein. Mit 2 mal DD-WRT klappt das einwandfrei !
Ist aber trotzdem vollkommen unverständlich, denn ob du im PPTP Client NAT machst oder nicht hat bei dd-wrt keinerlei Einfluss auf die PPPoE Einwahl zum Provider.
Der Router wählt sich trotzdem beim Provider ein egal ob NAT im PPTP Client aktiviert ist oder nicht !!
Der PPTP Server muss natürlich ausgeschaltet sein !!!
Ggf. ist das ein Bug in deiner Version.
Letztlich ist es aber egal ob die NAT im VPN Tunnel machst oder nicht sofern du Endgeräte im remoten Netz erreichen willst bzw. derjenige bist der eine Verbindung initiiert.
Andersrum wird es natürlich nicht gehen, denn wenn jemand aus dem remoten Netz zu dir eine Session aufbauen will kommt er über die NAT Firewall nicht rüber.
Deshalb sollte man ja auch tunlichst NAT im VPN Tunnel ausschalten um nicht in diese Falle zu rennen !!!
Zwischendurch mal "Danke" das du dich um mein Problem kümmerst!
Es ist leider so das es mit Abgeschalteten NAT nicht funktioniert.
Kann hier leider keine Screenshots einstellen aber bei meinm Router ist alles so Konfiguriert wie hier beschrieben:
www.overclockers.at/showthread.php?s=&postid=2244589#post2244589
Vielleicht kannst du dir die Einstellungen mal ansehen da mir das ganze sehr Spanisch vorkommt!
Es ist leider so das es mit Abgeschalteten NAT nicht funktioniert.
Kann hier leider keine Screenshots einstellen aber bei meinm Router ist alles so Konfiguriert wie hier beschrieben:
www.overclockers.at/showthread.php?s=&postid=2244589#post2244589
Vielleicht kannst du dir die Einstellungen mal ansehen da mir das ganze sehr Spanisch vorkommt!
Ja, das ist in der Tat sehr ungewöhnlich. Ein aktueller Test hier mit einem Linksys WRT54, latest dd-wrt vpn Release an T-Online DSL mit PPPoE funktioniert mit und ohne NAT im VPN fehlerlos !!
Hi Leute,
habe mein DD-WRT auch als PPTP-Client eingerichtet, damit er eine Verbindung zu einem entfernten Windows-Server auf dem RRAS eingerichtet ist, aufbaut.
Das funktioniert auch. Unter der Verwaltungskonsole auf dem SErver sehe ich, dass sich der Client erfolgreich eingewählt hat.
Leider ist aber kein Ping in das Netzwerk über den VPN-Tunel vom Router möglich, IP-Adressbereich und Subnetmask hab ich noch einmal überprüft und sind ok.
Könnte es an einer falschen MTU-Size liegen, obwohl die Verbindung bereits steht?
Folgend Firmware ist installiert: WRT v24-sp1 (07/27/08) std auf einem WRT-54GL
habe mein DD-WRT auch als PPTP-Client eingerichtet, damit er eine Verbindung zu einem entfernten Windows-Server auf dem RRAS eingerichtet ist, aufbaut.
Das funktioniert auch. Unter der Verwaltungskonsole auf dem SErver sehe ich, dass sich der Client erfolgreich eingewählt hat.
Leider ist aber kein Ping in das Netzwerk über den VPN-Tunel vom Router möglich, IP-Adressbereich und Subnetmask hab ich noch einmal überprüft und sind ok.
Könnte es an einer falschen MTU-Size liegen, obwohl die Verbindung bereits steht?
Folgend Firmware ist installiert: WRT v24-sp1 (07/27/08) std auf einem WRT-54GL
Ist die Firewall im Windows Server entsprechend angepasst ??
Hast du NAT aktiviert im DD-WRT ??
Kannst du andersrum vom WinServer den dd-wrt pingen ?
Hast du NAT aktiviert im DD-WRT ??
Kannst du andersrum vom WinServer den dd-wrt pingen ?
Router steht im Netz 192.168.10.X und wählt sich auf einem Server im Netz 192.168.78.X ein.
Die Firewall habe ich entsprechend angepasst. NAT habe ich nicht aktiviert, da ich ja eine bidirektionale Verbindung zwischen beiden Netzwerken haben möchte.
Ich kann vom WinServer nur die IP des Router anpingen, die er beim einwählen erhalten hat. Die Fixe IP erreiche ich nicht.
Im Routing und RAS habe ich eine Statische Route eingetragen in der das 10er Netz über das Gateway 192.168.78.233 erreichbar ist, diese IP hat der Router bei der Einwahl erhalten.
Allerdings kann ich aus dem 10er Netz die IP-Adresse des Routers im anderen Netz erreichen, also die 192.168.78.233.
Hier scheint also ein Routing-Problem vorzuliegen. Da schau ich gleich noch mal nach.
Die Firewall habe ich entsprechend angepasst. NAT habe ich nicht aktiviert, da ich ja eine bidirektionale Verbindung zwischen beiden Netzwerken haben möchte.
Ich kann vom WinServer nur die IP des Router anpingen, die er beim einwählen erhalten hat. Die Fixe IP erreiche ich nicht.
Im Routing und RAS habe ich eine Statische Route eingetragen in der das 10er Netz über das Gateway 192.168.78.233 erreichbar ist, diese IP hat der Router bei der Einwahl erhalten.
Allerdings kann ich aus dem 10er Netz die IP-Adresse des Routers im anderen Netz erreichen, also die 192.168.78.233.
Hier scheint also ein Routing-Problem vorzuliegen. Da schau ich gleich noch mal nach.
- Was sagt traceroute oder pathping ?
- Hast du die Firewalls (Windows, Router) angepasst das sie diese Netze zulassen ?
- Hast du ICMP (Ping) in den Win Firewall aktiviert ?
Hallo...
ich muss mich mal einklinken...
Ich bekomme es nicht zum laufen...
2 WRT54GL mit dem aktuellen DDWRT VPN-Image SP1 (SP2 habe ich schonmal runtergenommen, aber daran liegts auch nicht).... Bis auf die nötigen Zugangsdaten ist alles auf Standart eingestellt
Standort 1
IP-Bereich 192.168.0.0
Standort 2
IP-Bereich 192.168.1.0
Ich kann nicht von Standort 1 den Dyndns-Namen von Standort 2 anpingen und umgekehrt... Vielleicht liegts schon daran... Mich selbst kann ich vom jeweiligen Standort anpingen... Der Router reagiert nicht drauf... Auf wenn ich die IP direkt anpinge nicht.
Hat jemand ne Idee?
ich muss mich mal einklinken...
Ich bekomme es nicht zum laufen...
2 WRT54GL mit dem aktuellen DDWRT VPN-Image SP1 (SP2 habe ich schonmal runtergenommen, aber daran liegts auch nicht).... Bis auf die nötigen Zugangsdaten ist alles auf Standart eingestellt
Standort 1
IP-Bereich 192.168.0.0
Standort 2
IP-Bereich 192.168.1.0
Ich kann nicht von Standort 1 den Dyndns-Namen von Standort 2 anpingen und umgekehrt... Vielleicht liegts schon daran... Mich selbst kann ich vom jeweiligen Standort anpingen... Der Router reagiert nicht drauf... Auf wenn ich die IP direkt anpinge nicht.
Hat jemand ne Idee?
Ja es liegt schon daran ! Du musst die SPI Firewall deaktivieren und ICMP (Ping) erlauben, dann sollte es sofort klappen !!
Muss denn die o.a. Konfig ist zigfach erfolgreich im Einsatz.
Mit der neuen SP2 kannst du übrigens auch eine Routerkopplung mit OpenVPN machen:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Muss denn die o.a. Konfig ist zigfach erfolgreich im Einsatz.
Mit der neuen SP2 kannst du übrigens auch eine Routerkopplung mit OpenVPN machen:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Prima, klappt! Vielen Dank!!! Aber ist das auch sicher, die Firewall abzuschalten?
Er verbindet noch immer nicht, es ist zum Haare raufen... Kann ich irgendwo ein Logfile einsehen, wo eventuelle Fehlermeldungen stehen?
Was sagen denn die Ports?
18 Unbekannt 431998 87.185.197.138 87.185.219.40 ASSURED
47 TCP 3578 87.185.219.40 87.185.197.138 1723 ESTABLISHED
87.185.197.138 ist in dem Fall der Remoterouter gewesen...
Aber kein Ping auf andere Rechner möglich. NAT ist aus...
UPDATE...
Also ich kann vom PPTP Server aus den Client anpingen, aber keine Rechner dahinter, also nur die 192.168.1.1.Andersrum - vom Client zum Server kann ich nicht pingen...
Er verbindet noch immer nicht, es ist zum Haare raufen... Kann ich irgendwo ein Logfile einsehen, wo eventuelle Fehlermeldungen stehen?
Was sagen denn die Ports?
18 Unbekannt 431998 87.185.197.138 87.185.219.40 ASSURED
47 TCP 3578 87.185.219.40 87.185.197.138 1723 ESTABLISHED
87.185.197.138 ist in dem Fall der Remoterouter gewesen...
Aber kein Ping auf andere Rechner möglich. NAT ist aus...
UPDATE...
Also ich kann vom PPTP Server aus den Client anpingen, aber keine Rechner dahinter, also nur die 192.168.1.1.Andersrum - vom Client zum Server kann ich nicht pingen...
Nein, die NAT Firewall ist trotzdem aktiv. Ist nur die Stateful Inspection die man disabled und das ist OK.
Bedenke das du in den Remote Netzen mit einer anderen IP auftauchst !!
Die lokale Windows Firewall blockt alle solche Zugriffe !!! Du musst sie entsprechend customizen indem du entweder das remote netzwerk dazuträgst oder generell alles freigibst !
Prüfe auch ob ICMP (Ping) überhaupt aktiv ist bei dir ! Das geht in den erweiterten Eigenschaften der Win Firewall unter dem Button ICMP. Dort muss der Haken bei Auf eingehende Echo Anforerungen antworten unbedingt gesetzt sein !!
Bedenke das du in den Remote Netzen mit einer anderen IP auftauchst !!
Die lokale Windows Firewall blockt alle solche Zugriffe !!! Du musst sie entsprechend customizen indem du entweder das remote netzwerk dazuträgst oder generell alles freigibst !
Prüfe auch ob ICMP (Ping) überhaupt aktiv ist bei dir ! Das geht in den erweiterten Eigenschaften der Win Firewall unter dem Button ICMP. Dort muss der Haken bei Auf eingehende Echo Anforerungen antworten unbedingt gesetzt sein !!
Also Firewall ist eigentlich aus... Wo müsste ich denn die Netze eintragen? Müsste das nicht im Router eingetragen werden, dass sich die Netze sehen dürfen?
Ich komme ja auch nicht an die Netzdrucker ran und die dürften nicht von der Windows Firewall beschützt werden, oder?
Ich komme ja auch nicht an die Netzdrucker ran und die dürften nicht von der Windows Firewall beschützt werden, oder?
Das ist richtig wenn die Drucker simple Netzdrucker sind ohne FW und ohne Win OS und entsprechend pingbar sind. Zwingende Voraussetzung ist dann allerdings das die Netzwerkdrucker natürlich ein default Gateway eingetragen haben was auf den VPN Router zeigt !
Ohne diesen Gatewayeintrag im Drucker ist ein Ping sonst logischerweise natürlich nicht möglich !!
Im zweifelsfall hängst du ganz simpel mal einen Wireshark Sniffer ins Zielnetz und snifferst mal mit ob der VPN Router überhaupt Pakete forwardet.
In der Regel muss auf dem Router nichts eingetragen werden, denn filtern tut er nicht und alle Netze sind direkt an ihm dran. Das setzt voraus das der VPN Router auch gleichzeitig der DSL Router ist !
Ohne diesen Gatewayeintrag im Drucker ist ein Ping sonst logischerweise natürlich nicht möglich !!
Im zweifelsfall hängst du ganz simpel mal einen Wireshark Sniffer ins Zielnetz und snifferst mal mit ob der VPN Router überhaupt Pakete forwardet.
In der Regel muss auf dem Router nichts eingetragen werden, denn filtern tut er nicht und alle Netze sind direkt an ihm dran. Das setzt voraus das der VPN Router auch gleichzeitig der DSL Router ist !
Ok, das werde ich mal überprüfen. Kannst Du mir noch sagen, wie ich die Firewall von Windows konfigurieren muss? Selbst wenn ich den dienst beende, will's nicht gehen.
Installier dir mal den Windows_Netmonitor auf einem Zielsystem und prüfe mal ob dort überhaupt Pakete aus dem VPN ankommen wenn du diesen anpingst.
Also die Drucker haben alle das Gateway drin. Ich versuchs mal mit dem Netmonitor.
Hmm, Laut Netmonitor leitet er die Anfragen an die alte IP-Adresse des Servers um, die er vorher mal hatte...???
Ich steh aufm Schlauch! Woher hat er die? Der Server und alle Geräte haben neue Adressen bekommen. DNS habe ich entfernt, wo könnte die Adresse noch gespeichert sein? Wenn ich den Server anpinge, warum hat der dann die alte Adresse? Wo kramt er die bloss her? Ich bin echt mit meinen Nerven am Ende ;)
Ich steh aufm Schlauch! Woher hat er die? Der Server und alle Geräte haben neue Adressen bekommen. DNS habe ich entfernt, wo könnte die Adresse noch gespeichert sein? Wenn ich den Server anpinge, warum hat der dann die alte Adresse? Wo kramt er die bloss her? Ich bin echt mit meinen Nerven am Ende ;)
Soo... diese komische IP bin ich scheinbar los... wer weiß, wo die nochmal herkam. Hab alles aus der Registry rausgeschmissen, was darauf noch hindeutete (alte Ports von den Netzdruckern)...
Ich habe nochmal einen Ping gemacht und den aufgezeichnet...
Es steht am Ende ConvID=0 ... Ich habe mal einen Screenshot gemacht. Zu finden hier:
http://www.thorstenschuette.de/netmon.JPG
Vielleicht sagt das jemandem etwas?
Ich kann auch nicht vom ClientPC den Serverrouter anppingen? Doch die Routerfirewall?
Ich habe nochmal einen Ping gemacht und den aufgezeichnet...
Es steht am Ende ConvID=0 ... Ich habe mal einen Screenshot gemacht. Zu finden hier:
http://www.thorstenschuette.de/netmon.JPG
Vielleicht sagt das jemandem etwas?
Ich kann auch nicht vom ClientPC den Serverrouter anppingen? Doch die Routerfirewall?
Der gepostete Sniffer Trace ist vollkommen sinnlos und hilft nicht weiter. Dort sind nur unsinnige RDP (Remote Desktop) Pakete drin nichts aber was hilfreich wäre zum Troubleshooten. Vermutlich kannst du den Sniffer nicht bedienen, oder ??
Dort müssten eingehende ICMP (Ping) Pakete zu sehen sein vom VPN Client mit der Zieladresse dieses PCs. Was du da gepostet hast ist sinnloser Müll
Wenn du nichtmal den Serverrouter von einem lokalen Client anpingen kannst, dann hast du in der Tat ein generelles Problem. Jedenfalls das LAN Interface muss problemlos beidseitig pingbar sein.
Da ist wohl noch mehr ziemlich vermurkst bei dir im Netzwerk..
Dort müssten eingehende ICMP (Ping) Pakete zu sehen sein vom VPN Client mit der Zieladresse dieses PCs. Was du da gepostet hast ist sinnloser Müll
Wenn du nichtmal den Serverrouter von einem lokalen Client anpingen kannst, dann hast du in der Tat ein generelles Problem. Jedenfalls das LAN Interface muss problemlos beidseitig pingbar sein.
Da ist wohl noch mehr ziemlich vermurkst bei dir im Netzwerk..
Tja sorry, bin Fachidiot. Ich hab den Mist Indie Tonne getreten und zwei Fritzboxen gekauft und klappt auf Anhieb! Danke trotzdem.
Mmmhhh, als IT Fachidiot sollte man das doch aber gerade hinbekommen ?? Das war eine sinnlose Investition in die FBs denn der OpenVPN Server auf dem DD-WRT wie hier beschrieben:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
wäre noch die andere Alternative gewesen, die einwandfrei und problemlos funktioniert und das auf Anhieb ! Schade, denn mit ein bischen Engegement in die Technik funktionieren beide Lösungen (getestet) fehlerlos !!
Vielleicht rettest du die HW ja noch aus der Tonne und gibst der OpenVPN Lösung ne Chance...?!
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
wäre noch die andere Alternative gewesen, die einwandfrei und problemlos funktioniert und das auf Anhieb ! Schade, denn mit ein bischen Engegement in die Technik funktionieren beide Lösungen (getestet) fehlerlos !!
Vielleicht rettest du die HW ja noch aus der Tonne und gibst der OpenVPN Lösung ne Chance...?!
http://www.dd-wrt.com/wiki/index.php/Point-to-Point_PPTP_Tunneling_with ...
Nach der Anleitung hats mein Kollege hinbekommen... Vielleicht fehlte die Route? Hat die nur nachgetragen und schon schwuppts...
Der Fritz arbeitet aber besser finde ich... Naja, jedenfalls Danke für die Unterstützung.
Nach der Anleitung hats mein Kollege hinbekommen... Vielleicht fehlte die Route? Hat die nur nachgetragen und schon schwuppts...
Der Fritz arbeitet aber besser finde ich... Naja, jedenfalls Danke für die Unterstützung.
Alles wird gut !! Danke für den Hinweis mit dem Routing, ich habe das Tutorial entspr. angepasst !
Hi Leute, leider bin ich mit dem VPN nicht weiter.
Also nochmal kurz.
2 Subnetze
1 x 192.168.10.X und 1 x 192.168.78.X
Der WRT dient als Client und verbindet sich mit dem 78.X Netz zu einem Server 2008 mit aktivierten Rouiting und RAS.
Die Verbindung kommt auch zustande. In der RRAS-Konsole wird er mir als aktivierter Client mit der IP 78.242 angezeit, Diese IP kann ich nun von einem beliebiegem Client aus dem 10.er Netz anpingen. Aber die IP-Adressen dahinter sind nicht erreichbar.
Auf dem RRAS-Server ist die zusätzliche Routen eingetragen:
Ziel: 192.168.10.0/24 Gateway 192.168.78.242
Habe ich ein Denkfehler? Was muss ich noch konfigurieren?
Also nochmal kurz.
2 Subnetze
1 x 192.168.10.X und 1 x 192.168.78.X
Der WRT dient als Client und verbindet sich mit dem 78.X Netz zu einem Server 2008 mit aktivierten Rouiting und RAS.
Die Verbindung kommt auch zustande. In der RRAS-Konsole wird er mir als aktivierter Client mit der IP 78.242 angezeit, Diese IP kann ich nun von einem beliebiegem Client aus dem 10.er Netz anpingen. Aber die IP-Adressen dahinter sind nicht erreichbar.
Auf dem RRAS-Server ist die zusätzliche Routen eingetragen:
Ziel: 192.168.10.0/24 Gateway 192.168.78.242
Habe ich ein Denkfehler? Was muss ich noch konfigurieren?
Keiner eine Idee oder jemand da, der mir ein wenig meinen Denkfehler wegnimmt?
Hast du auch auf dem DD-WRT Router die Route auf das .10.0er Netz eingetragen ??
http://www.dd-wrt.com/wiki/index.php/Point-to-Point_PPTP_Tunneling_with ...
Step mit "Advanced Routing..."
Kannst du die LAN IP des Servers pingen ??
Bedenke auch noch folgendes:
Wenn dein Server hinter einem Internet Router steht, dann ist natürlich nicht dieser Internet Router das gateway für dein VPN sondern logischerweise der Server, denn der hält ja den PPTP Tunnel !
Wenn der Internet Router das def. Gateway der Clients ist, dann musst du auf diesem Router natürlich noch eine Route ins VPN angehen ala:
ip route 192.168.10.0 mask 255.255.255.0 gateway <lokale_server_ip>
Sonst verschwinden diese pakete ins Internet. Für den Server selber gilt das natürlich nicht, denn bei aktivem PPTP VPN ist das .10.0er Netz ja an ihm direkt dran.
Nicht aber auf den Clients wenn die ein anderes def. Gateway haben !
Ein traceroute (tracert) oder pathping zeigt dir das sofort !
http://www.dd-wrt.com/wiki/index.php/Point-to-Point_PPTP_Tunneling_with ...
Step mit "Advanced Routing..."
Kannst du die LAN IP des Servers pingen ??
Bedenke auch noch folgendes:
Wenn dein Server hinter einem Internet Router steht, dann ist natürlich nicht dieser Internet Router das gateway für dein VPN sondern logischerweise der Server, denn der hält ja den PPTP Tunnel !
Wenn der Internet Router das def. Gateway der Clients ist, dann musst du auf diesem Router natürlich noch eine Route ins VPN angehen ala:
ip route 192.168.10.0 mask 255.255.255.0 gateway <lokale_server_ip>
Sonst verschwinden diese pakete ins Internet. Für den Server selber gilt das natürlich nicht, denn bei aktivem PPTP VPN ist das .10.0er Netz ja an ihm direkt dran.
Nicht aber auf den Clients wenn die ein anderes def. Gateway haben !
Ein traceroute (tracert) oder pathping zeigt dir das sofort !
Hallo, Ich habe einen ASUS Wl-500w Router mit dd-wrt Firmware.
Als DSL Modem verwende ich einfach einen Speedport 701v.
Nun hat der Asus Router ja 2 USB Anschlüsse, an einen möchte ich einen Drucker anschließen und an dem anderen eine externe Festplatte damit ich dort meine Dateien (Word Dokumente, Bilder usw.) speichern kann und übers Netzwerk darauf zu greifen kann. Funktioniert aber alles nicht!
Der Speedport funktioniert einwandfrei nun habe ich einfach das Netzwerkkabel, das vorher zu meinem PC führte abgezogen und in den ASUS Router gesteckt und vom ASUS Router wieder ein Netzwerkkabel in meinem PC gesteckt. Internet funktioniert, und WLAN habe ich nach aufspielen einer neuen dd-wrt Firmware auch ans laufen bekommen. Aber wie kann ich auf die USB Geräte zugreifen?
Muss ich dazu so ein VPN einrichten? Wozu ist so ein VPN eigentlich gut?
Gruß marcimo
Als DSL Modem verwende ich einfach einen Speedport 701v.
Nun hat der Asus Router ja 2 USB Anschlüsse, an einen möchte ich einen Drucker anschließen und an dem anderen eine externe Festplatte damit ich dort meine Dateien (Word Dokumente, Bilder usw.) speichern kann und übers Netzwerk darauf zu greifen kann. Funktioniert aber alles nicht!
Der Speedport funktioniert einwandfrei nun habe ich einfach das Netzwerkkabel, das vorher zu meinem PC führte abgezogen und in den ASUS Router gesteckt und vom ASUS Router wieder ein Netzwerkkabel in meinem PC gesteckt. Internet funktioniert, und WLAN habe ich nach aufspielen einer neuen dd-wrt Firmware auch ans laufen bekommen. Aber wie kann ich auf die USB Geräte zugreifen?
Muss ich dazu so ein VPN einrichten? Wozu ist so ein VPN eigentlich gut?
Gruß marcimo
Dein Thread passt vom Thema hier nicht rein, besser du nimmst einen separaten Thread dafür da dies mehr VPN bezogen ist !
Wenn du keinen Schimmer hast was VPNs sind dann, lies dir bitte das hier durch:
http://de.wikipedia.org/wiki/Virtual_Private_Network
Zu deinem USB Problem: Du musst beim Download der dd-wrt Firmware darauf achten das das dd-wrt Image USB Support beinhaltet. Das hast du vermutlich nicht gemacht und das non USB Image genommen ?!
Klar, das dann USB nicht funktioniert !
Wenn du keinen Schimmer hast was VPNs sind dann, lies dir bitte das hier durch:
http://de.wikipedia.org/wiki/Virtual_Private_Network
Zu deinem USB Problem: Du musst beim Download der dd-wrt Firmware darauf achten das das dd-wrt Image USB Support beinhaltet. Das hast du vermutlich nicht gemacht und das non USB Image genommen ?!
Klar, das dann USB nicht funktioniert !
Hallo, hallo
Leider habe ich ein Problem bei dem ich nicht mehr weiter komme.
Zunächst meine Konfig:
WRT54GL als PPTP Server mit der letzen Beta DD-WRT VPN
LAN IP:192.168.0.1
WAN: Dynamisch vom ISP
PPTP Server: Enable
Broadcast support: Enable
Force MPPE Encryption: Enable
Server IP 192.168.0.1 (habe auch schon mein Dyndns Acc versucht)
Client IP(s) 192.168.1.10
CHAP-Secrets username * password *
PPTP Passtrough: Disable
Portweiterleitungen existieren für Port 1723 keine
PROBLEM: Ich erreiche den PPTP Server aus dem Internet nicht. Es kommt zum Fehler 800.
Was mich jetzt ärgert und darauf schliessen lässt das es am Router liegt ist die Tatsache das es aus dem LAN funktioniert sich zum PPTP-Server zu verbinden.
Getestet habe ich das ganze mit einem XP Clienten. Hat super geklappt, auch über meinen Dyndns Account...nur von anderen Netzen aus geht es nicht. Es kommt immer Fehler 800.
Das Netz an der Arbeit ist aber richtig konfiguriert da ich mich zu anderen PPTP VPN´s verbinden kann. Ich habe keine Idee mehr woran das noch liegen soll.
Wenn ich via SSH auf die Kiste schaue, zeigt mit ein "ps" zumindest an das der PPTPD läuft, die Conf-Files sehen auch gut aus.
Ein netstat -a auf dem Router bringt folgende ausgabe:
root@Router:~# netstat -a
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 0.0.0.0:domain 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:ssh 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:telnet 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:1723 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:https 0.0.0.0:* LISTEN
Angeblich lauscht er ja auf dem Port, aber scheinbar ist er Taub?!
Mein Problem ist einfach das ich mit einem PPTP Client keine Verbindung von Extern auf meinen Router bekomme...Vom ISP her gibt es keine Probleme, habe pptpd auf meiner Slug installiert und den Port 1723 auf die Kiste weitergeleitet, da funktioniert PPTP problem los...nur da haut das Bridgeing nicht hin...
Für Lösungsvorschläge bin ich dankbar.
Leider habe ich ein Problem bei dem ich nicht mehr weiter komme.
Zunächst meine Konfig:
WRT54GL als PPTP Server mit der letzen Beta DD-WRT VPN
LAN IP:192.168.0.1
WAN: Dynamisch vom ISP
PPTP Server: Enable
Broadcast support: Enable
Force MPPE Encryption: Enable
Server IP 192.168.0.1 (habe auch schon mein Dyndns Acc versucht)
Client IP(s) 192.168.1.10
CHAP-Secrets username * password *
PPTP Passtrough: Disable
Portweiterleitungen existieren für Port 1723 keine
PROBLEM: Ich erreiche den PPTP Server aus dem Internet nicht. Es kommt zum Fehler 800.
Was mich jetzt ärgert und darauf schliessen lässt das es am Router liegt ist die Tatsache das es aus dem LAN funktioniert sich zum PPTP-Server zu verbinden.
Getestet habe ich das ganze mit einem XP Clienten. Hat super geklappt, auch über meinen Dyndns Account...nur von anderen Netzen aus geht es nicht. Es kommt immer Fehler 800.
Das Netz an der Arbeit ist aber richtig konfiguriert da ich mich zu anderen PPTP VPN´s verbinden kann. Ich habe keine Idee mehr woran das noch liegen soll.
Wenn ich via SSH auf die Kiste schaue, zeigt mit ein "ps" zumindest an das der PPTPD läuft, die Conf-Files sehen auch gut aus.
Ein netstat -a auf dem Router bringt folgende ausgabe:
root@Router:~# netstat -a
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 0.0.0.0:domain 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:ssh 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:telnet 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:1723 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:https 0.0.0.0:* LISTEN
Angeblich lauscht er ja auf dem Port, aber scheinbar ist er Taub?!
Mein Problem ist einfach das ich mit einem PPTP Client keine Verbindung von Extern auf meinen Router bekomme...Vom ISP her gibt es keine Probleme, habe pptpd auf meiner Slug installiert und den Port 1723 auf die Kiste weitergeleitet, da funktioniert PPTP problem los...nur da haut das Bridgeing nicht hin...
Für Lösungsvorschläge bin ich dankbar.
Kein Wunder das du einen Fehler 800 bekommst, denn du hast eine vollkommen falsche IP Adressierung gewählt:
Server IP 192.168.0.1 (habe auch schon mein Dyndns Acc versucht)
Client IP(s) 192.168.1.10 <--falsches IP Netz in Bezug zum Server !!
Wie sollte das auch gehen, denn du benutzt 2 unterschiedliche IP Netze was niemals klappen kann !!
Richtig wäre hier:
Server IP 192.168.0.1
Client IP(s) 192.168.0.10-20
oder je nachdem ob Client oder Server im falschen Netz ist dann:
Server IP 192.168.1.1
Client IP(s) 192.168.1.10-20
Beachte den Druckfehler im PPTP Server Screenshot !! Steht auch ganz dick in Rot oben unterm Bild !!!
Server IP 192.168.0.1 (habe auch schon mein Dyndns Acc versucht)
Client IP(s) 192.168.1.10 <--falsches IP Netz in Bezug zum Server !!
Wie sollte das auch gehen, denn du benutzt 2 unterschiedliche IP Netze was niemals klappen kann !!
Richtig wäre hier:
Server IP 192.168.0.1
Client IP(s) 192.168.0.10-20
oder je nachdem ob Client oder Server im falschen Netz ist dann:
Server IP 192.168.1.1
Client IP(s) 192.168.1.10-20
Beachte den Druckfehler im PPTP Server Screenshot !! Steht auch ganz dick in Rot oben unterm Bild !!!
Ich habe mal die ganzen Einstellungen durchgeguckt und mir ist dabei aufgefallen das die Routing Tabelle nicht leer ist. Ist das normel? Ich wüsste auch nicht wie ich die Einträge das löschen kann.
Danke schon mal im voraus.
Gruß
Danke schon mal im voraus.
Gruß
Welche Routing Tabelle und wo bzw. was willst du uns mit der Erkenntnis sagen ??
Bei einem Router ist in der Regel die Routing Tabelle niemals leer, denn sonst wäre es ja kein Router !!
Bei einem Router ist in der Regel die Routing Tabelle niemals leer, denn sonst wäre es ja kein Router !!
Ich habe die Einträge unter Setup-->Erweitertes Routing --> Routen-Tabelle gefunden.
Die ich habe die nicht eingetragen und die stimmen auch nicht mit meinen Subnetzen überein die ich eingestellt habe.
Ich wollte nur mal wissen was die zu bedeuten haben, denn ich bin da nicht so der guru drinne.
Danke.
Gruß
Die ich habe die nicht eingetragen und die stimmen auch nicht mit meinen Subnetzen überein die ich eingestellt habe.
Ich wollte nur mal wissen was die zu bedeuten haben, denn ich bin da nicht so der guru drinne.
Danke.
Gruß
Wenn sie mit keinerlei deiner IP Netzen zu tun haben kannst du sie löschen, denn sie gefährden eh dann eine saubere Konfig..
Ja das habe ich ja auch versucht. Nur wie?
Wenn ich die Set-Nummern einzeln durchgehe sind die alle leer.
Wenn ich die Set-Nummern einzeln durchgehe sind die alle leer.
Mit den Set Nummern hat das rein gar nix zu tun. Die Routing Tabelle wird aus den Interfaces erstellt (direkt angeschlossene IP Netze) und dem Inhalt von evtl. statischen Routen oder den dynamischen Routen sofern du dynamisches Routing mit z.B. RIP auf dem dd-wrt Router aktiviert hast.
Eine saubere Routing Tabelle eines aktiv laufenden Systems sieht z.B. so aus:
Alles also bestens genau wie es sein soll.....wo ist also dein Problem ??
Eine saubere Routing Tabelle eines aktiv laufenden Systems sieht z.B. so aus:
- Das tun0 Interface ist ein installierter OpenVPN_Server mit Netz bzw. seiner IP auf dem dd-wrt Router.
- WAN eine IP bzw. Netz Richtung Internet. Hier steht eine öffentliche PPPoE IP wenn ein DSL Modem dran ist.
- LAN & WLAN ist klar, das ist das lokale IP Netz.
- 2ter LAN & WLAN Eintrag ist die APIPA IP ist auch normal wenn kein DHCP da sein sollte.
- Last but not least die Default Route 0.0.0.0 auf den Internet Router
Alles also bestens genau wie es sein soll.....wo ist also dein Problem ??
Nee habe kein Problem, wollte nur nachfragen was das zu bedeuten hat.
Ich hätte mal noch ne frage. Kann ich den Router als Modem und VPN-Server gleichzeitig nutzen oder muss ich ein externes Modem davor schalten?
Gruß
Ich hätte mal noch ne frage. Kann ich den Router als Modem und VPN-Server gleichzeitig nutzen oder muss ich ein externes Modem davor schalten?
Gruß
Nein, wenn du dir die Produktspezifikationen des WRT54G einmal durchliest wirst du erkennen das dieser kein eingebautes Modem hat. Es ist ein Router der fürs DSL nur eine Ethernet Schnittstelle hat.
Folglich musst du also einen DSL Router davorschalten ! Der kostet ja nicht die Welt wie du hier sehen kannst:
http://www.pollin.de/shop/dt/NTM4ODgyOTk-/Computer_und_Zubehoer/Netzwer ...
Folglich musst du also einen DSL Router davorschalten ! Der kostet ja nicht die Welt wie du hier sehen kannst:
http://www.pollin.de/shop/dt/NTM4ODgyOTk-/Computer_und_Zubehoer/Netzwer ...
Ich hoffe, ich werde die Bnachrichtigungen jetzt los!
Sonst nix zum Thema ;)!
Sonst nix zum Thema ;)!
Ich habe eine synchrone 6Mbit Leitung würde das Modem das auch unterstützen?
Also die 6Mbit down würde ja denke ich mal kein Problem sein aber was ist mit dem upstream würde das Modem die 6Mbit auch mitmachen?
Also die 6Mbit down würde ja denke ich mal kein Problem sein aber was ist mit dem upstream würde das Modem die 6Mbit auch mitmachen?
Mmmmhhh gute Frage. Max. macht es 24 Mbit. Für popelige 4 Oironen kann man es doch ganz einfach mal ausprobieren, oder ??
Ja klar werde ich auch.. Habs mir bestellt mal schauen wanns kommt.
Danke dir aqui, machst einen echt super job auch wenn du warscheinlich meisten nur iwelche blöden Fragen beantwortest wie ich sie z.B. stelle.
Gruß
Danke dir aqui, machst einen echt super job auch wenn du warscheinlich meisten nur iwelche blöden Fragen beantwortest wie ich sie z.B. stelle.
Gruß
Blöde Fragen gibts ja bekanntlich nicht, nur blöde Antworten
