LANCOM VPN Router hinter einem SDSL Router

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
Hart
Beiträge: 30
Registriert: 26 Dez 2004, 11:13
Wohnort: Oldenburg
Kontaktdaten:

LANCOM VPN Router hinter einem SDSL Router

Beitrag von Hart »

Hallo Leute!

Ein LANCOM VPN Router soll hinter einem SDSL Router (wird zur Terminierung der SDSL strecke beim Kunden eingesetzt) genutzt werden. Im Gegensatz zum SDSL Router der T-Com ist dieser Router nicht transparent geschaltet.

Ich habe mir aus der KB bereits rausgesucht welche Ports weitergeleitet werden müssen wenn eine Verbindung mittels VPN Client zum Router ermöglicht werden soll.

IPSEC = irgendwas um 5000 rum
IKE = UDP 500
ESP = Protokoll 50
AH = Protokoll 51

Ich bin kein Techniker, daher meine erste Frage: Was ist mit Protokoll 50 und 51 gemeint? Sowohl UDP, als auch TCP ?

Zweite Frage: Welche Ports müssen weitergeschaltet werden wenn am anderen Standort auch ein LANCOM Router steht. Sind es die gleichen Ports oder gibt es hier Unterschiede.

Vielen Dank für eure Mühe!

Gruß, Daniel
Irren ist menschlich. Aber wenn man richtig Mist bauen will, braucht man einen Computer.
(Dan Rather, CBS-Fernsehreporter.)
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Beitrag von backslash »

Hi Hart,
IPSEC = irgendwas um 5000 rum
das funktioniert nur, wenn die Geräte NAT-Traversal beherrschen. Dann wäre es der port 4500. Da die LANCOMs das aber z.Zt nicht können, ist es irrelevant.
IKE = UDP 500
das ist der wichtigste. Wenn der SDSL-Router IPSec-Passthrough beherrscht, ist nicht weiteres nötig. Ansonsten brauchst du noch den hier:
ESP = Protokoll 50
Was nicht nötig ist, weils durch ein NAT nicht funktioniert ist der hier:
AH = Protokoll 51
AH kann über ein NAT nicht funktionieren, weil AH den IP-Header prüft - und genau der wird ja durch ein NAT verändert...
Ich bin kein Techniker, daher meine erste Frage: Was ist mit Protokoll 50 und 51 gemeint? Sowohl UDP, als auch TCP ?
weder, noch. Es sind die IP-Protokolle ESP (50) und AH (51) gemeint. TCP ist i.Ü. das Protokoll 6 und UDP das Protokoll 17...

Zweite Frage: Welche Ports müssen weitergeschaltet werden wenn am anderen Standort auch ein LANCOM Router steht. Sind es die gleichen Ports oder gibt es hier Unterschiede.
IPSec ist standartisiert und daher ist es egal ob auf der anderen Seite ein LANCOM steht oder ein anderes IPSec-Gateway

Gruß
Backslash
Hart
Beiträge: 30
Registriert: 26 Dez 2004, 11:13
Wohnort: Oldenburg
Kontaktdaten:

Beitrag von Hart »

Ich danke dir Backslash!

Ich bin von diesem Forum und von LANCOM ansich wirklich begeistert. Wäre schön wenn ich mein Unternehmen dazu bringen könnte LANCOM Produkte auch ins Programm mit aufzunehmen.

Gruß, Daniel
Irren ist menschlich. Aber wenn man richtig Mist bauen will, braucht man einen Computer.
(Dan Rather, CBS-Fernsehreporter.)
Hart
Beiträge: 30
Registriert: 26 Dez 2004, 11:13
Wohnort: Oldenburg
Kontaktdaten:

Beitrag von Hart »

Eine kleine Nachfrage habe ich noch, rein zum Verständnis.

Was du mir da erläutert hast, gilt doch dann auch für den Advanced VPN Client oder? Weil Ports standadisiert etc. Ich hab da nämlich immer noch den Artikel aus der KB im Kopf, wo steht das zum Beispiel AH auf einer vorgeschalteten Firewall oder einem vorgeschalteten Router freigeschaltet sein muss, damit der Client eine Verbindung zum Gateway aufbauen kann.

Wenn ich deine ausführunge oben aber richtig verstehe, dann gilt dies auch nur wenn der vorgeschaltete Router KEIN IPSEC Passthrough unterstützt.

Gruß, Daniel
Irren ist menschlich. Aber wenn man richtig Mist bauen will, braucht man einen Computer.
(Dan Rather, CBS-Fernsehreporter.)
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Beitrag von backslash »

Hi Hart,
Was du mir da erläutert hast, gilt doch dann auch für den Advanced VPN Client oder? Weil Ports standadisiert etc.
genau
Ich hab da nämlich immer noch den Artikel aus der KB im Kopf, wo steht das zum Beispiel AH auf einer vorgeschalteten Firewall oder einem vorgeschalteten Router freigeschaltet sein muss, damit der Client eine Verbindung zum Gateway aufbauen kann.
Das kann aber nicht in der Lancom KB gestanden haben.

AH kann durch ein NAT nicht funktionieren, da AH einen Hash über den IP-Header bildet und prüft. Aber genau dieser Header wird ja vom NAT geändert - je nach Paketrichtung wird die Quell- oder die Zieladresse ersetzt.
Wenn ich deine ausführunge oben aber richtig verstehe, dann gilt dies auch nur wenn der vorgeschaltete Router KEIN IPSEC Passthrough unterstützt.
Wenn der vorgeschaltete Router IPSec Passthrough unterstützt, dann muß nur der UDP-Port 500 nach innen weitergeleitet werden, damit ein Client von aussen Kontakt zum IPSec-Gateway aufnehmen kann. Der Router weiss dann selber, was er mit den ESP-Paketen machen muß.

Nur wenn der Router IPSec Passthrough NICHT unterstützt, muß ihm manuell "klar" gemacht werden, was er mit den ESP-Paketen anfangen soll..

Gruß
Backslash
Hart
Beiträge: 30
Registriert: 26 Dez 2004, 11:13
Wohnort: Oldenburg
Kontaktdaten:

Beitrag von Hart »

Jetzt ist alles klar. Ich danke dir nochmals.
Irren ist menschlich. Aber wenn man richtig Mist bauen will, braucht man einen Computer.
(Dan Rather, CBS-Fernsehreporter.)
Antworten