1711 hinter SDSL Router <-> 1711 ADSL

stefanp · Beitrag von **stefanp** » 22 Jun 2006, 07:46

Hallo erstmal (juhu, mein erster Beitrag),

Ich habe mich bei der Plannung einer VPN Verbindung etwas verrissen (hatte den zusätzlichen Router meines SDSL Anbieters (NAT)ganz ignoriert

)

Ich versuche mal die Gegebenenheiten etwas zu skizzieren:

Standort 1:
INET <-> [FESTE IP] SDSL Router [192.168.0.1] <-> [192.168.0.2] LC1711_01 [192.168.250.x]

&
Standort 2:
INET <-> [DYN IP] LC1711_02 [192.168.251.x]

Nun habe ich mir gestern abend schon einige Stunden hier im Forum um die Ohren gehauen und auch einige zu beachtetenden Punkte gefunden. Irgendwann wurde die Informationsflut dann leider zu gross und der Umkehreffekt hat eingesetzt ( Ich verstehe nur noch Bahnhof).

Bevor ich mich an den Konfigurationsterror heran traue, wollte ich die benötigten Forwardings im SDSL Router passend haben ( hier kann ich recht schlecht expirmentieren, da jede Konfigurationsänderung per Fax an den Anbieter geschickt werden muss).

Hier kommen schon meine ersten Probleme:
Ursprünglich bin ich davon ausgegangen, dass ich den LC1711 einfach in die DMZ des SDSL Routers setze.
Nach meiner Lektüre des Forums bin ich auf verschiedene Aussagen über die Protokolle 50 (ESP) , 51 (AH) bzw. auch der Ports 500, 1723 & 4500 gestoßen .

Habe gelesen, dass AH hinterm NAT eh nicht benutzt werden kann, und deswegen wegfallen kann.
An anderer Stelle beschrieb jemand, dass er AH eingesetzt habe.

Folgendes würde ich jetzt im SDSL Router auf 192.168.0.2 schalten lassen:
Port Protokoll
500 UDP für IPSec (habe gelesen, dass bräuchte ich nicht, wenn NAT-T benutzt wird)
4500 UDP für IPSec NAT-Traversal ( falls ich es brauche / benutzen kann ?!)
1723 TCP, UDP hab ich aufgeschnappt, ist dass nicht für MS-PPTP und wird hier garnicht benötigt ?

ESP auf 192.168.0.2
AH auf 192.168.0.2
GRE auf 192.168.0.2
DMZ auf 192.168.0.2

Naja, wie Ihr seht, sind meine Forwarding Vorstellungen recht wirr.
Ich denke, durch den DMZ Eintrag kann ich mir die TCP & UDP Forwardings sparen. Und mit dem GRE bin ich mir garnicht sicher.

Ich würde mich freuen, wenn jemand etwas Licht in meine Dunkelheit bringen könnte, damit ich mich nicht schon bei den Vorbereitungen auf den Bart lege.

Heute Abend geht's dann mit dem dicken Handbuch ins Bett

Gruss

Stefan

FBdtx · Beitrag von **FBdtx** » 22 Jun 2006, 09:46

Hi Stefan,

bei den meisten Anbietern ist es bei SDSL möglich, mehrere feste IP-Adressen konfigurieren zu lassen, bei vielen sogar kostenlos - vll' kannst Du Dir so die Sache vereinfachen...

Gruß
Florian

stefanp · Beitrag von **stefanp** » 22 Jun 2006, 13:34

danke für deine fixe Antwort.

Nach der Devise "einfach kann ja jeder" habe ich mir aus kostengründen das Leben unnötig schwer gemacht.
Zusätzliche IP Adressen gabs' im nächst höheren Paket welches mit 60€ Mehrkosten monatlich (+140€ Mehrkosten einmalig) zu buche geschlagen wäre.

Ich hatte vorhin noch einmal einem Techniker des Anbieters am Telefon.
Er war sich zwar auch nicht ganz sicher, meinte aber, dass ich mit der DMZ auf den Lancom normalerweise alles erschlagen hätte, sprich sämtliche Ports & Protokolle (tcp, udp, egp, esp, igmp, gre, rsvp, vines) dort landen sollten.

Ich vermisse zwar noch das AH, aber kommt Zeit, kommt rat

Nun erstmal abwarten, bis der SDSL Router vom Anbieter umkonfiguriert wird.
Ärgerlicherweise hat mir zum passend zum Konfig-Termin die Telekom sämtliche Leitungen ausgebuddelt und gekappt um einen Fehler auf nem S0 Bus zu finden.

eddia · Beitrag von **eddia** » 22 Jun 2006, 20:24

Hallo Stefan,

INET <-> [FESTE IP] SDSL Router [192.168.0.1] <-> [192.168.0.2] LC1711_01 [192.168.250.x]

was ist denn das für ein merkwürdiger Provider? Bei allen mir bekannten SDSL-Providern bekommt man für seinen eigenen Router eine feste IP - der davor liegende Router des Providers ist vollkommen transparent.

Gruß

Mario

FBdtx · Beitrag von **FBdtx** » 22 Jun 2006, 21:57

Das habe ich bei einem Hansenet-Anschluss auch schon einmal so gesehen.

stefanp · Beitrag von **stefanp** » 23 Jun 2006, 00:10

Entwarnung: Nachdem die DMZ geschaltet war, habe ich brav den VPN Assistenten benutzt.
Anschliessend nur noch NAT-T aktiviert und den IKE-Exchange auf "Aggressive" gesetzt -> angeklemmt funktioniert auf Anhieb.

Nun muss ich nur noch nachlesen, was ich da überhaupt konfiguriert habe und schauen ob es einigermasen sicher ist und wo noch optimiert werden kann

Provider ist Global-Village. Allerdings gehen die wohl auch wieder über einen dritten Verein (der genaue Name ist mir leider entfallen, kamen allerdings auch aus Hamburg - broadcom.net oder so was).

Ich bedanke mich erstmal für den Beistand auf dem Weg zur doch recht einfachen Problemlösung ( hatte wirklich Angst die nächsten Tage damit zu verbringen).

COMCARGRU · Beitrag von **COMCARGRU** » 27 Jun 2006, 13:46

Also es gäbe da Broadnet - und die machen beim SDSL alles ganz normal mit einem transparenten Router...

Gruß
COMCARGRU