Hallo Leute!
Ein LANCOM VPN Router soll hinter einem SDSL Router (wird zur Terminierung der SDSL strecke beim Kunden eingesetzt) genutzt werden. Im Gegensatz zum SDSL Router der T-Com ist dieser Router nicht transparent geschaltet.
Ich habe mir aus der KB bereits rausgesucht welche Ports weitergeleitet werden müssen wenn eine Verbindung mittels VPN Client zum Router ermöglicht werden soll.
IPSEC = irgendwas um 5000 rum
IKE = UDP 500
ESP = Protokoll 50
AH = Protokoll 51
Ich bin kein Techniker, daher meine erste Frage: Was ist mit Protokoll 50 und 51 gemeint? Sowohl UDP, als auch TCP ?
Zweite Frage: Welche Ports müssen weitergeschaltet werden wenn am anderen Standort auch ein LANCOM Router steht. Sind es die gleichen Ports oder gibt es hier Unterschiede.
Vielen Dank für eure Mühe!
Gruß, Daniel
LANCOM VPN Router hinter einem SDSL Router
Moderator: Lancom-Systems Moderatoren
LANCOM VPN Router hinter einem SDSL Router
Irren ist menschlich. Aber wenn man richtig Mist bauen will, braucht man einen Computer.
(Dan Rather, CBS-Fernsehreporter.)
(Dan Rather, CBS-Fernsehreporter.)
Hi Hart,
Gruß
Backslash
das funktioniert nur, wenn die Geräte NAT-Traversal beherrschen. Dann wäre es der port 4500. Da die LANCOMs das aber z.Zt nicht können, ist es irrelevant.IPSEC = irgendwas um 5000 rum
das ist der wichtigste. Wenn der SDSL-Router IPSec-Passthrough beherrscht, ist nicht weiteres nötig. Ansonsten brauchst du noch den hier:IKE = UDP 500
Was nicht nötig ist, weils durch ein NAT nicht funktioniert ist der hier:ESP = Protokoll 50
AH kann über ein NAT nicht funktionieren, weil AH den IP-Header prüft - und genau der wird ja durch ein NAT verändert...AH = Protokoll 51
weder, noch. Es sind die IP-Protokolle ESP (50) und AH (51) gemeint. TCP ist i.Ü. das Protokoll 6 und UDP das Protokoll 17...Ich bin kein Techniker, daher meine erste Frage: Was ist mit Protokoll 50 und 51 gemeint? Sowohl UDP, als auch TCP ?
IPSec ist standartisiert und daher ist es egal ob auf der anderen Seite ein LANCOM steht oder ein anderes IPSec-GatewayZweite Frage: Welche Ports müssen weitergeschaltet werden wenn am anderen Standort auch ein LANCOM Router steht. Sind es die gleichen Ports oder gibt es hier Unterschiede.
Gruß
Backslash
Ich danke dir Backslash!
Ich bin von diesem Forum und von LANCOM ansich wirklich begeistert. Wäre schön wenn ich mein Unternehmen dazu bringen könnte LANCOM Produkte auch ins Programm mit aufzunehmen.
Gruß, Daniel
Ich bin von diesem Forum und von LANCOM ansich wirklich begeistert. Wäre schön wenn ich mein Unternehmen dazu bringen könnte LANCOM Produkte auch ins Programm mit aufzunehmen.
Gruß, Daniel
Irren ist menschlich. Aber wenn man richtig Mist bauen will, braucht man einen Computer.
(Dan Rather, CBS-Fernsehreporter.)
(Dan Rather, CBS-Fernsehreporter.)
Eine kleine Nachfrage habe ich noch, rein zum Verständnis.
Was du mir da erläutert hast, gilt doch dann auch für den Advanced VPN Client oder? Weil Ports standadisiert etc. Ich hab da nämlich immer noch den Artikel aus der KB im Kopf, wo steht das zum Beispiel AH auf einer vorgeschalteten Firewall oder einem vorgeschalteten Router freigeschaltet sein muss, damit der Client eine Verbindung zum Gateway aufbauen kann.
Wenn ich deine ausführunge oben aber richtig verstehe, dann gilt dies auch nur wenn der vorgeschaltete Router KEIN IPSEC Passthrough unterstützt.
Gruß, Daniel
Was du mir da erläutert hast, gilt doch dann auch für den Advanced VPN Client oder? Weil Ports standadisiert etc. Ich hab da nämlich immer noch den Artikel aus der KB im Kopf, wo steht das zum Beispiel AH auf einer vorgeschalteten Firewall oder einem vorgeschalteten Router freigeschaltet sein muss, damit der Client eine Verbindung zum Gateway aufbauen kann.
Wenn ich deine ausführunge oben aber richtig verstehe, dann gilt dies auch nur wenn der vorgeschaltete Router KEIN IPSEC Passthrough unterstützt.
Gruß, Daniel
Irren ist menschlich. Aber wenn man richtig Mist bauen will, braucht man einen Computer.
(Dan Rather, CBS-Fernsehreporter.)
(Dan Rather, CBS-Fernsehreporter.)
Hi Hart,
AH kann durch ein NAT nicht funktionieren, da AH einen Hash über den IP-Header bildet und prüft. Aber genau dieser Header wird ja vom NAT geändert - je nach Paketrichtung wird die Quell- oder die Zieladresse ersetzt.
Nur wenn der Router IPSec Passthrough NICHT unterstützt, muß ihm manuell "klar" gemacht werden, was er mit den ESP-Paketen anfangen soll..
Gruß
Backslash
genauWas du mir da erläutert hast, gilt doch dann auch für den Advanced VPN Client oder? Weil Ports standadisiert etc.
Das kann aber nicht in der Lancom KB gestanden haben.Ich hab da nämlich immer noch den Artikel aus der KB im Kopf, wo steht das zum Beispiel AH auf einer vorgeschalteten Firewall oder einem vorgeschalteten Router freigeschaltet sein muss, damit der Client eine Verbindung zum Gateway aufbauen kann.
AH kann durch ein NAT nicht funktionieren, da AH einen Hash über den IP-Header bildet und prüft. Aber genau dieser Header wird ja vom NAT geändert - je nach Paketrichtung wird die Quell- oder die Zieladresse ersetzt.
Wenn der vorgeschaltete Router IPSec Passthrough unterstützt, dann muß nur der UDP-Port 500 nach innen weitergeleitet werden, damit ein Client von aussen Kontakt zum IPSec-Gateway aufnehmen kann. Der Router weiss dann selber, was er mit den ESP-Paketen machen muß.Wenn ich deine ausführunge oben aber richtig verstehe, dann gilt dies auch nur wenn der vorgeschaltete Router KEIN IPSEC Passthrough unterstützt.
Nur wenn der Router IPSec Passthrough NICHT unterstützt, muß ihm manuell "klar" gemacht werden, was er mit den ESP-Paketen anfangen soll..
Gruß
Backslash