Hallo erstmal (juhu, mein erster Beitrag),
Ich habe mich bei der Plannung einer VPN Verbindung etwas verrissen (hatte den zusätzlichen Router meines SDSL Anbieters (NAT)ganz ignoriert )
Ich versuche mal die Gegebenenheiten etwas zu skizzieren:
Standort 1:
INET <-> [FESTE IP] SDSL Router [192.168.0.1] <-> [192.168.0.2] LC1711_01 [192.168.250.x]
&
Standort 2:
INET <-> [DYN IP] LC1711_02 [192.168.251.x]
Nun habe ich mir gestern abend schon einige Stunden hier im Forum um die Ohren gehauen und auch einige zu beachtetenden Punkte gefunden. Irgendwann wurde die Informationsflut dann leider zu gross und der Umkehreffekt hat eingesetzt ( Ich verstehe nur noch Bahnhof).
Bevor ich mich an den Konfigurationsterror heran traue, wollte ich die benötigten Forwardings im SDSL Router passend haben ( hier kann ich recht schlecht expirmentieren, da jede Konfigurationsänderung per Fax an den Anbieter geschickt werden muss).
Hier kommen schon meine ersten Probleme:
Ursprünglich bin ich davon ausgegangen, dass ich den LC1711 einfach in die DMZ des SDSL Routers setze.
Nach meiner Lektüre des Forums bin ich auf verschiedene Aussagen über die Protokolle 50 (ESP) , 51 (AH) bzw. auch der Ports 500, 1723 & 4500 gestoßen .
Habe gelesen, dass AH hinterm NAT eh nicht benutzt werden kann, und deswegen wegfallen kann.
An anderer Stelle beschrieb jemand, dass er AH eingesetzt habe.
Folgendes würde ich jetzt im SDSL Router auf 192.168.0.2 schalten lassen:
Port Protokoll
500 UDP für IPSec (habe gelesen, dass bräuchte ich nicht, wenn NAT-T benutzt wird)
4500 UDP für IPSec NAT-Traversal ( falls ich es brauche / benutzen kann ?!)
1723 TCP, UDP hab ich aufgeschnappt, ist dass nicht für MS-PPTP und wird hier garnicht benötigt ?
ESP auf 192.168.0.2
AH auf 192.168.0.2
GRE auf 192.168.0.2
DMZ auf 192.168.0.2
Naja, wie Ihr seht, sind meine Forwarding Vorstellungen recht wirr.
Ich denke, durch den DMZ Eintrag kann ich mir die TCP & UDP Forwardings sparen. Und mit dem GRE bin ich mir garnicht sicher.
Ich würde mich freuen, wenn jemand etwas Licht in meine Dunkelheit bringen könnte, damit ich mich nicht schon bei den Vorbereitungen auf den Bart lege.
Heute Abend geht's dann mit dem dicken Handbuch ins Bett
Gruss
Stefan
1711 hinter SDSL Router <-> 1711 ADSL
Moderator: Lancom-Systems Moderatoren
danke für deine fixe Antwort.
Nach der Devise "einfach kann ja jeder" habe ich mir aus kostengründen das Leben unnötig schwer gemacht.
Zusätzliche IP Adressen gabs' im nächst höheren Paket welches mit 60€ Mehrkosten monatlich (+140€ Mehrkosten einmalig) zu buche geschlagen wäre.
Ich hatte vorhin noch einmal einem Techniker des Anbieters am Telefon.
Er war sich zwar auch nicht ganz sicher, meinte aber, dass ich mit der DMZ auf den Lancom normalerweise alles erschlagen hätte, sprich sämtliche Ports & Protokolle (tcp, udp, egp, esp, igmp, gre, rsvp, vines) dort landen sollten.
Ich vermisse zwar noch das AH, aber kommt Zeit, kommt rat
Nun erstmal abwarten, bis der SDSL Router vom Anbieter umkonfiguriert wird.
Ärgerlicherweise hat mir zum passend zum Konfig-Termin die Telekom sämtliche Leitungen ausgebuddelt und gekappt um einen Fehler auf nem S0 Bus zu finden.
Nach der Devise "einfach kann ja jeder" habe ich mir aus kostengründen das Leben unnötig schwer gemacht.
Zusätzliche IP Adressen gabs' im nächst höheren Paket welches mit 60€ Mehrkosten monatlich (+140€ Mehrkosten einmalig) zu buche geschlagen wäre.
Ich hatte vorhin noch einmal einem Techniker des Anbieters am Telefon.
Er war sich zwar auch nicht ganz sicher, meinte aber, dass ich mit der DMZ auf den Lancom normalerweise alles erschlagen hätte, sprich sämtliche Ports & Protokolle (tcp, udp, egp, esp, igmp, gre, rsvp, vines) dort landen sollten.
Ich vermisse zwar noch das AH, aber kommt Zeit, kommt rat
Nun erstmal abwarten, bis der SDSL Router vom Anbieter umkonfiguriert wird.
Ärgerlicherweise hat mir zum passend zum Konfig-Termin die Telekom sämtliche Leitungen ausgebuddelt und gekappt um einen Fehler auf nem S0 Bus zu finden.
Hallo Stefan,
Gruß
Mario
was ist denn das für ein merkwürdiger Provider? Bei allen mir bekannten SDSL-Providern bekommt man für seinen eigenen Router eine feste IP - der davor liegende Router des Providers ist vollkommen transparent.INET <-> [FESTE IP] SDSL Router [192.168.0.1] <-> [192.168.0.2] LC1711_01 [192.168.250.x]
Gruß
Mario
Entwarnung: Nachdem die DMZ geschaltet war, habe ich brav den VPN Assistenten benutzt.
Anschliessend nur noch NAT-T aktiviert und den IKE-Exchange auf "Aggressive" gesetzt -> angeklemmt funktioniert auf Anhieb.
Nun muss ich nur noch nachlesen, was ich da überhaupt konfiguriert habe und schauen ob es einigermasen sicher ist und wo noch optimiert werden kann
Provider ist Global-Village. Allerdings gehen die wohl auch wieder über einen dritten Verein (der genaue Name ist mir leider entfallen, kamen allerdings auch aus Hamburg - broadcom.net oder so was).
Ich bedanke mich erstmal für den Beistand auf dem Weg zur doch recht einfachen Problemlösung ( hatte wirklich Angst die nächsten Tage damit zu verbringen).
Anschliessend nur noch NAT-T aktiviert und den IKE-Exchange auf "Aggressive" gesetzt -> angeklemmt funktioniert auf Anhieb.
Nun muss ich nur noch nachlesen, was ich da überhaupt konfiguriert habe und schauen ob es einigermasen sicher ist und wo noch optimiert werden kann
Provider ist Global-Village. Allerdings gehen die wohl auch wieder über einen dritten Verein (der genaue Name ist mir leider entfallen, kamen allerdings auch aus Hamburg - broadcom.net oder so was).
Ich bedanke mich erstmal für den Beistand auf dem Weg zur doch recht einfachen Problemlösung ( hatte wirklich Angst die nächsten Tage damit zu verbringen).