 |
|
|
|
| Autor |
Nachricht |
Hart
Anmeldungsdatum: 26.12.2004
Beiträge: 30
Wohnort: Oldenburg
|
 Verfasst am:
Mo 26 Sep, 2005 19:12 |
  |
|
Hallo Leute!
Ein LANCOM VPN Router soll hinter einem SDSL Router (wird zur Terminierung der SDSL strecke beim Kunden eingesetzt) genutzt werden. Im Gegensatz zum SDSL Router der T-Com ist dieser Router nicht transparent geschaltet.
Ich habe mir aus der KB bereits rausgesucht welche Ports weitergeleitet werden müssen wenn eine Verbindung mittels VPN Client zum Router ermöglicht werden soll.
IPSEC = irgendwas um 5000 rum
IKE = UDP 500
ESP = Protokoll 50
AH = Protokoll 51
Ich bin kein Techniker, daher meine erste Frage: Was ist mit Protokoll 50 und 51 gemeint? Sowohl UDP, als auch TCP ?
Zweite Frage: Welche Ports müssen weitergeschaltet werden wenn am anderen Standort auch ein LANCOM Router steht. Sind es die gleichen Ports oder gibt es hier Unterschiede.
Vielen Dank für eure Mühe!
Gruß, Daniel |
_________________
Irren ist menschlich. Aber wenn man richtig Mist bauen will, braucht man einen Computer.
(Dan Rather, CBS-Fernsehreporter.) |
|
    |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4571
Wohnort: Aachen
|
| Verfasst am:
Mo 26 Sep, 2005 20:28 |
|
|
Hi Hart,
| Zitat:
|
|
IPSEC = irgendwas um 5000 rum
|
das funktioniert nur, wenn die Geräte NAT-Traversal beherrschen. Dann wäre es der port 4500. Da die LANCOMs das aber z.Zt nicht können, ist es irrelevant.
das ist der wichtigste. Wenn der SDSL-Router IPSec-Passthrough beherrscht, ist nicht weiteres nötig. Ansonsten brauchst du noch den hier:
| Zitat:
|
|
ESP = Protokoll 50
|
Was nicht nötig ist, weils durch ein NAT nicht funktioniert ist der hier:
AH kann über ein NAT nicht funktionieren, weil AH den IP-Header prüft - und genau der wird ja durch ein NAT verändert...
| Zitat:
|
|
Ich bin kein Techniker, daher meine erste Frage: Was ist mit Protokoll 50 und 51 gemeint? Sowohl UDP, als auch TCP ?
|
weder, noch. Es sind die IP-Protokolle ESP (50) und AH (51) gemeint. TCP ist i.Ü. das Protokoll 6 und UDP das Protokoll 17...
| Zitat:
|
|
Zweite Frage: Welche Ports müssen weitergeschaltet werden wenn am anderen Standort auch ein LANCOM Router steht. Sind es die gleichen Ports oder gibt es hier Unterschiede.
|
IPSec ist standartisiert und daher ist es egal ob auf der anderen Seite ein LANCOM steht oder ein anderes IPSec-Gateway
Gruß
Backslash |
|
|
|
|
Hart
Anmeldungsdatum: 26.12.2004
Beiträge: 30
Wohnort: Oldenburg
|
| Verfasst am:
Mo 26 Sep, 2005 21:38 |
|
|
Ich danke dir Backslash!
Ich bin von diesem Forum und von LANCOM ansich wirklich begeistert. Wäre schön wenn ich mein Unternehmen dazu bringen könnte LANCOM Produkte auch ins Programm mit aufzunehmen.
Gruß, Daniel |
_________________
Irren ist menschlich. Aber wenn man richtig Mist bauen will, braucht man einen Computer.
(Dan Rather, CBS-Fernsehreporter.) |
|
|
|
Hart
Anmeldungsdatum: 26.12.2004
Beiträge: 30
Wohnort: Oldenburg
|
| Verfasst am:
Di 27 Sep, 2005 08:01 |
|
|
Eine kleine Nachfrage habe ich noch, rein zum Verständnis.
Was du mir da erläutert hast, gilt doch dann auch für den Advanced VPN Client oder? Weil Ports standadisiert etc. Ich hab da nämlich immer noch den Artikel aus der KB im Kopf, wo steht das zum Beispiel AH auf einer vorgeschalteten Firewall oder einem vorgeschalteten Router freigeschaltet sein muss, damit der Client eine Verbindung zum Gateway aufbauen kann.
Wenn ich deine ausführunge oben aber richtig verstehe, dann gilt dies auch nur wenn der vorgeschaltete Router KEIN IPSEC Passthrough unterstützt.
Gruß, Daniel |
_________________
Irren ist menschlich. Aber wenn man richtig Mist bauen will, braucht man einen Computer.
(Dan Rather, CBS-Fernsehreporter.) |
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4571
Wohnort: Aachen
|
| Verfasst am:
Di 27 Sep, 2005 15:01 |
|
|
Hi Hart,
| Zitat:
|
|
Was du mir da erläutert hast, gilt doch dann auch für den Advanced VPN Client oder? Weil Ports standadisiert etc.
|
genau
| Zitat:
|
|
Ich hab da nämlich immer noch den Artikel aus der KB im Kopf, wo steht das zum Beispiel AH auf einer vorgeschalteten Firewall oder einem vorgeschalteten Router freigeschaltet sein muss, damit der Client eine Verbindung zum Gateway aufbauen kann.
|
Das kann aber nicht in der Lancom KB gestanden haben.
AH kann durch ein NAT nicht funktionieren, da AH einen Hash über den IP-Header bildet und prüft. Aber genau dieser Header wird ja vom NAT geändert - je nach Paketrichtung wird die Quell- oder die Zieladresse ersetzt.
| Zitat:
|
|
Wenn ich deine ausführunge oben aber richtig verstehe, dann gilt dies auch nur wenn der vorgeschaltete Router KEIN IPSEC Passthrough unterstützt.
|
Wenn der vorgeschaltete Router IPSec Passthrough unterstützt, dann muß nur der UDP-Port 500 nach innen weitergeleitet werden, damit ein Client von aussen Kontakt zum IPSec-Gateway aufnehmen kann. Der Router weiss dann selber, was er mit den ESP-Paketen machen muß.
Nur wenn der Router IPSec Passthrough NICHT unterstützt, muß ihm manuell "klar" gemacht werden, was er mit den ESP-Paketen anfangen soll..
Gruß
Backslash |
|
|
|
|
Hart
Anmeldungsdatum: 26.12.2004
Beiträge: 30
Wohnort: Oldenburg
|
| Verfasst am:
Di 27 Sep, 2005 18:52 |
|
|
Jetzt ist alles klar. Ich danke dir nochmals. |
_________________
Irren ist menschlich. Aber wenn man richtig Mist bauen will, braucht man einen Computer.
(Dan Rather, CBS-Fernsehreporter.) |
|
|
|
|
|
|
|
| |
|
|
