VPN Anfängerfragen zur Konfiguration

[fildercom]

Hallo zusammen,

nun, wie soll ich sagen, ich muss mich hier als VPN-Laie outen. Bisher habe ich VPN nicht benötigt und habe mir immer mit anderen Lösungen beholfen (externe Festplatten mit allen Daten hin- und her transportiert, Daten auf eigenem Webserver zwischengelagert usw.).

Nun muss ich aber im Laufe des August eine funktionierende VPN-Verbindung aufbauen, da diese ab September benötigt wird. Ich schildere mal die bisherige Ausgangslage sowie das gewünschte Szenario, das mittels VPN realisiert werden soll:

Sämtliche Daten usw. liegen auf meinem Netzwerk hier im Haus (NAS-Server von QNAP und Fujitsu). Mein Haupt-Router ist der 1681V mittels VDSL 50-Anschluss der Telekom.

Nun möchte ich, wenn ich unterwegs bin mit meinem Laptop mich von außen per VPN in mein Netzwerk verbinden können, um dann alle Dienste (insbesondere die Dateifreigaben der NAS-Sever) so nutzen zu können, als wäre ich direkt im lokalen Netzwerk.

Ich habe mir nun den LANCOM Advanced VPN Client bestellt und werde diesen dann auf das Windows XP auf dem Laptop installieren. Anschließend würde ich gerne in LANconfig mit dem Assistenten die VPN-Einwahl mit einer entsprechenden Konfigurationsdatei für den LANCOM VPN-Client einrichten.

Dabei sind mir einige Punkte noch nicht so ganz klar, ich zähle mal auf:
1. Bei welchem Anbieter empfiehlt es sich, einen Account für das dynamische DNS einzurichten, da ich keine statische IP-Adresse besitze. Was ist vom Preis-Leistungsverhältnis zu empfehlen (gibt es auch noch kostenlose Anbieter?) und auf was muss geachtet werden?
2. Was muss ich bei der Einrichtung mittels Assistent beachten, damit ich dann von außen via UMTS oder "fremdem" ADSL-Anschluss mich per VPN so verbinden kann, als würde ich direkt im lokalen Netz sitzen?
3. Ist es möglich, dass ich bei aktiver VPN-Verbindung quasi mit meiner heimischen Telekom IP im Internet surfen kann (und nicht mit beispielsweise der italienischen IP eines ADSL der Telecom Italia, wenn ich dort die VPN-Verbindung aufbaue)?
4. Was muss ich beim VPN beachten, wenn ich bisher hier im lokalen Netz VRRP benutze? Muss da noch etwas separat oder zusätzlich konfiguriert werden? Es sei erwähnt, dass der 821+ den ich als zweiten Router habe, gar kein VPN unterstützt und das ADSL mit 2 Mbit/s bzw. in Upload-Richtung mit 448 kbit/s sowieso ungeeignet wäre.

Es wäre nett, wenn ihr mir meine Angst etwas nehmen und mich Schritt für Schritt bereit für die VPN-Einrichtung machen könntet.

Viele Grüße und danke
fildercom.

[Bernie137]

Hallo,

(gibt es auch noch kostenlose Anbieter?)

http://freedns.no-ip.com

3. Ist es möglich, dass ich bei aktiver VPN-Verbindung quasi mit meiner heimischen Telekom IP im Internet surfen kann (und nicht mit beispielsweise der italienischen IP eines ADSL der Telecom Italia, wenn ich dort die VPN-Verbindung aufbaue)?

Das liegt dann daran, über welches Gateway gesurft werden soll. Aber was ist es für ein Vorteil, wenn Du über die heimische IP surfst?

Gruß Heiko

[fildercom]

Hallo,

(gibt es auch noch kostenlose Anbieter?)

http://freedns.no-ip.com

3. Ist es möglich, dass ich bei aktiver VPN-Verbindung quasi mit meiner heimischen Telekom IP im Internet surfen kann (und nicht mit beispielsweise der italienischen IP eines ADSL der Telecom Italia, wenn ich dort die VPN-Verbindung aufbaue)?

Das liegt dann daran, über welches Gateway gesurft werden soll. Aber was ist es für ein Vorteil, wenn Du über die heimische IP surfst?

Gruß Heiko

Hallo Heiko,

danke für die Antworten.

Also es gibt einige Internetdienste, die mit ausländischen IPs gar nicht (Clipfish Music) oder nur eingeschränkt (MyVideo Musikvideos) funktionieren. Daher macht es Sinn, über die IP der DTAG und eben nicht der TI online zu sein.

Wie muss ich das einstellen mit dem Gateway? Also in Italien wird beispielsweise ein Billig-Netgear-Router mit DHCP verwendet, während hier im heimischen Netz alles statisch konfiguriert ist.

Ich denke, aber, dass die Windows IP-Konfiguration hier eher nicht gemeint ist, oder?

Gruß und danke
fildercom.

[Pothos]

Hi fildercom,

3. Ist es möglich, dass ich bei aktiver VPN-Verbindung quasi mit meiner heimischen Telekom IP im Internet surfen kann (und nicht mit beispielsweise der italienischen IP eines ADSL der Telecom Italia, wenn ich dort die VPN-Verbindung aufbaue)?

Das ist kein Problem. Im VPN Client gibt es einen Punkt der nennt sich "Split Tunneling". Wenn dort nichts eingetragen ist, schickt der VPN Client sämtlichen Traffic in den VPN Tunnel und somit surfst du auch über deine Internetverbindung zuhause im Web. Wenn du das nicht möchtest, kannst du beispielsweise dort dein lokales Netz eintragen, also das von deinem zuhause und dann wird der Traffic nur dann in den Tunnel geleitet, wenn es dein Netz betrifft. Der Rest geht dann über die lokale Verbindung raus.

4. Was muss ich beim VPN beachten, wenn ich bisher hier im lokalen Netz VRRP benutze? Muss da noch etwas separat oder zusätzlich konfiguriert werden? Es sei erwähnt, dass der 821+ den ich als zweiten Router habe, gar kein VPN unterstützt und das ADSL mit 2 Mbit/s bzw. in Upload-Richtung mit 448 kbit/s sowieso ungeeignet wäre.

Das sollte kein Problem darstellen, weil das VRRP im LAN arbeitet und du die Session über das WAN initiierst. Deshalb sollte meines Erachtens die Session über den VPN Router auch entsprechend zurückgeleitet werden.

Es wäre nett, wenn ihr mir meine Angst etwas nehmen und mich Schritt für Schritt bereit für die VPN-Einrichtung machen könntet.

Kein Problem. Mir hilft da immer an den Ohrläppchen reiben und Wuuuhhssaaaaa sagen (Bad Boys sei dank)
Nein scherz. Probiers doch einfach mal aus. Den VPN Client kannst du ja installieren und 30 Tage vollkommen frei testen. Ist eigentlich gar nicht so schwer.

[fildercom]

Hallo Pothos,

auch dir vielen Dank für die ausführliche Erklärung. Dann sollte ja eigentlich alles wie gewünscht funktionieren, wenn ich das Split Tunneling nicht aktiviere.

Ich werde das in den nächsten 3 Wochen testen (diese Woche geht bei mir gar nichts mehr), ich denke ich kann dazu auch testweise meinen ADSL vom 821+ vom restlichen Netz "isolieren" und mich dann per VPN über den 1681V wieder ins Netz einwählen

Hoffentlich klappt dann alles wie gewünscht, ich werde auf jeden Fall berichten.

Viele Grüße und danke
fildercom.

[Bernie137]

Hallo fildercom,

Also es gibt einige Internetdienste, die mit ausländischen IPs gar nicht (Clipfish Music) oder nur eingeschränkt (MyVideo Musikvideos) funktionieren. Daher macht es Sinn, über die IP der DTAG und eben nicht der TI online zu sein.

Ah, an sowas habe ich nicht gedacht.

Ich denke, aber, dass die Windows IP-Konfiguration hier eher nicht gemeint ist, oder?

Doch am Client habe ich gemeint, in diesem Fall im Advanced VPN Client. Wie die genaue Option sich nennt, wusste ich aber nicht.

Dann viel Erfolg, aber das klappt schon.

Gruß Heiko

[fildercom]

Hallo zusammen,

inzwischen habe ich mich an das VPN heran gewagt, aber es funktioniert noch nicht so, wie es soll.

Meine Vorgehensweise:
a. Ich habe die dynamische IP von no-ip.biz konfiguriert und im 1681V so eingetragen - funktioniert.
b. Ich habe via Assistent einen VPN-Zugang neu angelegt. Da ist die Frage offen, ob ich NetBIOS aktivieren soll oder nicht. Wenn ich NetBIOS aktiviere, dann muss ich den Namen der Arbeitsgruppe eingeben, soweit klar.
c. Dann habe ich die INI-Datei in den Advanced VPN Client eingegeben. Soweit, so gut.

Nun habe ich kurzerhand zum Testen die Verbindung zwischen meinem 1681V (der die VPN-Einwahl bereit stellen soll) und meinem 1781VA getrennt. Damit hatte ich nun sozusagen zwei isolierte Netze.

Ich habe mich dann über den 1781VA mit dem ADSL per VPN auf den 1681V eingewählt. Die Verbindung wird auch aufgebaut, ABER:
1. Ich bekomme über das Schema "\\Server-Name\Freigabe" keinen Zugriff auf meine Netzlaufwerke, über "\\IP-Adresse\Freigabe\" dagegen kann ich die Netzlaufwerke problemlos verbinden und darauf zugreifen.
2. Die LANCAPI zeigt an, dass kein Gerät verfügbar ist, obwohl lokal der 1781VA als auch per Remote der 1681V jeweils diese Dienste anbieten sollten.

Was funktioniert, ist das Internet per VPN, wenn ich wieistmeineip aufrufe sehe ich die öffentlich IP des 1681V. Außerdem kann ich Web-Interfaces von NAS-Servern etc. ebenfalls aufrufen.

Ach ja, auf dem 1681V, der die VPN-Einwahl bereit stellt, ist DHCP deaktiviert, aber auf meinem 1781EF, der nur als WLAN-Controller agiert und mit dem 1681V verbunden ist, ist DHCP aktiviert.

Bei der Konfiguration sind mir spontan noch zwei Punkte unklar:
3. Wozu fragt der Assistent von LANconfig mich (erstmalig bei VPN-Einrichtung), welchen IP-Adressbereich er bei VPN-Einwahl bereitstellen soll? Was wäre hierbei korrekt? Ich habe einen ungenutzten Teil meines eigenen IP-Adressbereichs eingetragen, WINS etc. jedoch leer gelassen.
4. Bei der Installation vom Advanced VPN Client werde ich gefragt, ob die Adressen per DHCP zugewiesen werden ober ob ich lokal welche eingeben will. Ich habe mich für DHCP entschieden. War das korrekt in meinem Fall?

Was kann ich tun, um die Punkte 1 und 2 zu lösen? Bei 1. tippe ich selbst auf ein Problem mit dem NetBIOS. Muss ich im LANconfig den NetBIOS-Proxy zusätzlich noch aktivieren?

Zu Punkt 2 ist mir unklar, warum weder das lokale noch das entfernte LANCAPI-Gerät gefunden werden. Ach ja, in meinem Testszenario hatten sowohl das lokale als auch das entfernte Netz natürlich identische IP-Adressbereiche (da es ja auch ein Netz ist und von mir nur testweise eine Verbindung gekappt wurde). Kann es daran liegen?

Bitte um Hilfestellung. Bin über jeden Tipp wirklich sehr dankbar.

Gruß
fildercom.

[Bernie137]

Hallo fildercom,

wie ist denn generell die Namensauflösung im lokalen Netzwerk realisiert um auf Server im LAN zuzugreifen? Dann kann man zu 1. eine Aussage machen. Ist mit "Server-Name" dessen Netbios Name oder DNS Name gemeint?

2. Könnten Firewall Einstellungen verhindern.

3. + 4. Kann man nicht mit ja oder nein beantworten. Man muss immer hinterfragen, für welche Umgebung welches Szenario am sinnvollsten ist.
3. Man kann auch einen gänzlich eigenen Adressbreich machen, wenn man das möchte. Meißt bedeutet dass ein Mehraufwand an Konfiguration - auch im bestehenden Netz. Weil das zusätzliche Subnetz überall erlaubt werden muss usw. Andererseits jedoch kann man für ein zusätzliches Subnetz auch leichter Einschränkungen machen, dass eben nicht alles erlaubt ist, weil man Remote Clients eher als unsicher betrachtet - und somit die Sicherheit erhöhen.
4. DHCP ist immer ein guter Ansatz. Wenn sich am Netz etwas ändert (Gateway, DNS, WINS), dann muss man nur am DHCP ändern (und vergisst nicht irgendwelche Hinterlegungungen in einem Router). Statische Adressvergaben haben sich selten bewährt aufgrund von Änderungen im Netz.

Viele Grüße
Heiko

[fildercom]

Hallo Heiko,

danke für die Antwort, zu 3. und 4. ist damit alles klar und ich lasse es so, wie ich es erstmalig eingerichtet hatte. Ich benutze den mobilen Client ja ausschließlich alleine, so dass ich selbst für dessen Sicherheit verantwortlich bin, daher muss ich glaube ich kein separates Subnetz anlegen.

Zu 1.:
Mit "Server-Name" ist der eingegebene Name gemeint, der im Windows-Netzwerk auftaucht. Ich denke, dass es der NetBIOS-Name ist. Was ist denn ein DNS-Name?
Für die Namensauflösung im Netzwerk ist eigentlich nichts besonderes konfiguriert, die Namen sind bei jedem Gerät in der jeweiligen Maske hinterlegt und das war's auch schon.

Zu 2.:
Welche Firewall-Einstellungen meinst du? Im VPN-Client, in Windows, in meinem F-Secure Protection Service oder im LANCOM-Router direkt?

Gruß und danke
fildercom.

[Bernie137]

Hallo fildercom,

Allgemein: Zum Testaufbau solltest nicht auf beiden Seiten die gleichen lokalen Netzwerk Adressen verwenden (N:N:Mapping beachten). Das verwirrt und macht eine Fehlersuche nur unnötig schwerer und auch den Testaufbau eher komplizierter. Der 1681V ist die Zentrale mit einem speziellen internem IP Netz. Für die Außenstelle solltest ein ganz anderes privates IP Netz wählen, dann wird die Sache klarer, auch wenn man mal PING verwendet. Bei gleichem IP Netz ist zunächst unklar, soll das Datenpaket nun über einen Router (VPN Tunnel) oder eben nicht. Prinzipiell reden wir aber schonvon einer VPN Client Einwahl? Der 2. Lancom Router 1781VA macht nur den Internetzugang für den Client?

zu 1: Dann meinst Du Netbios Namen. MeinServer = netbiosName, MeinServer.domain.intern = DNS Name. Du hast vermutlich ein kleineres Arbeitsgruppen Netzwerk ohne WINS-Server und ohne internem DNS (abgesehen vom LANCOM Router, der könnte das auch übernehmen). Also gib den Namen der Arbeitsgruppe an und schalte den Proxy-Arp ein. Hilft das nicht, dann kann man noch mithilfe der Dateien host und lmhost (jeweils ohne Dateiendung, notfalls umbenenen!) die IPs in Namen auf dem Client Rechner auflösen lassen (keine gute Variante, weil statisch).

Oder, DNS benutzen im LAN und für den Remote Client. Im Lancom Router wird meist per Default die Domain .intern vergeben für alle die Computer, die auch als ersten DNS diesen Lancom Router verwenden. So kann man im LAN dann den Server aufrufen mit \\MeinServer.intern\Freigabe. Erst wenn das sauber läuft, kann man sich kümmern, dass der Remote Client an diesen Infos teilhaben kann -> per DHCP bekommt ja der Client eine IP für die VPN Schnittstelle von der Zentrale und damit auch DEN DNS Server in der Zentrale.

zu 2.

Welche Firewall-Einstellungen meinst du? Im VPN-Client, in Windows, in meinem F-Secure Protection Service oder im LANCOM-Router direkt?

Gute Frage. Eine davon wird sicherlich die Ursache sein, wobei mit gleichen Netzadressen die Suche nicht unbedingt einfacher geworden ist.

Viele Grüße
Heiko

[fildercom]

Hallo Heiko,

also wegen der LANCAPI habe ich diese nochmal sauber deinstalliert und neu installiert und nun funktioniert auch dies über VPN einwandfrei. Irgendwie hatte die einen Schuss bekommen durch die Installation des VPN Clients, seitdem ist sie auch nicht mehr automatisch mit Windows gestartet. Doch nun funktioniert dies auch wieder.

Das Problem mit dem NetBIOS habe ich nun einfach umgangen, indem ich die Freigabenamen in der Batch-Datei einfach in das Format "\\IP-Adresse\Freigabename" umgeschrieben habe. Ein zugegeben geringer einmaliger Mehraufwand, der keine weiteren Nachteile mit sich bringt. Alles andere im Netzwerk wird ohnehin per IP angesprochen, auch alle Netzwerkdrucker kommunizieren ausschließlich über die IP-Adresse.

So, ich denke nun habe ich alle meine "Hausaufgaben" gemacht, um zukünftig auch von extern hier auf mein Netzwerk zugreifen zu können, "roam like home" sozusagen

Ach ja, eine Frage hätte ich noch:
Ich habe mal gehört, dass für VPN-Tunnel in Frankreich andere gesetzliche Bestimmungen zwecks Verschlüsselungstiefe gelten als hierzulande.
Wie sieht das mit Italien aus? Muss ich für die Nutzung meines VPN-Zugangs im 1681V via Laptop über italienischen ADSL-Anschluss der Telecom Italia sowie dem Advanced VPN Client irgendwas verändern oder eine gesondere Konfigurationsdatei (diese .ini, die der Assistent ausgibt) anlegen?

EDIT:
Ach ja, diese intergrierte Firewall im Advanced VPN-Client ist per Default deaktiviert. Ist es sinnvoll/nötig diese zu aktivieren, auch wenn zusätzlich im Router die Firewall aktiviert ist (und ich mich ja ins "eigene" Netz einwähle), sowie außerdem auf dem Windows-Client noch die bereits erwähnte F-Secure Protection Service Firewall installiert und aktiviert ist?

Außerdem würde mich noch interessieren, mit welcher Verschlüsselung die VPN-Verbindung arbeitet, wenn man sie per Wizard als "One-Click-VPN" angelegt hat. Ist das SSL-VPN?

Viele Grüße und danke
fildercom.