Guten Morgen die Damen und Herren,
ich kämpfe hier mit einer kleinen Fragestellung.
Also meine Aufgabe, die ich lösen möchte:
Wir, Firma X, haben einen Lancom 1721+ VPN stehen. Dieser hängt an einem dSL-Anschluß und einem Satz ISDN-Leitungen. Firmenintern Subnetz mit D-Klasse. 192.168.0.X. Ist wzar nicht so wichtig, aber ich versuche möglichst viele Infos zu geben.
Wir haben nach außen eine feste IP.
Unsere Wartungszugänge bei Kunden machen wir über 800er von Lancom. LAN-LAN über ISDN. Beim Kunden haben wir ein eigenes kleines Subnet.
Weiterhin haben wir, der Service, für den Zugang in die Firma den Lancom VPN-Client und VPN Zugänge geschaltet.
Nun haben wir eine Vorführanlage in einer Hochschule stehen. Die Hochschule hat natürlich ein eigenes Netz. Natürlich ist das zu.
Was kann ich nun anstellen um mir eine VPN-Verbindung zu unserem Subnet aufzubauen? Welche Möglichkeiten habe ich nun?
Soll ich das Rechenzentrum fragen ob die VPN Pass-Through machen?
Oder fällt einem was anderes ein?
EDIT: Also kurz gesagt: Ich möchte eine LAN-LAN Verbindung aufbauen zu einem VPN-Router, der hinter einem fremden Router/Firewall steht. Was muss ich anstellen, damit ich durchkomme?
VPN durchrouten / Zugang auf Subnet in fremdem Netz
Moderator: Lancom-Systems Moderatoren
-
Angels-Requiem
- Beiträge: 9
- Registriert: 30 Nov 2007, 11:15
-
Angels-Requiem
- Beiträge: 9
- Registriert: 30 Nov 2007, 11:15
Re: VPN durchrouten / Zugang auf Subnet in fremdem Netz
Hi,
Solche VPN-Sachen für die Wartung mögen solche Organisationen wie Hochschulen in der Regel nicht. Lieber ist denen meist ein ISDN-Zugang, der nur auf Anforderung geschaltet wird.
Gruß
gm
Sicher ein Klasse D-Netz?Angels-Requiem hat geschrieben: Firmenintern Subnetz mit D-Klasse. 192.168.0.X. Ist wzar nicht so wichtig, aber ich versuche möglichst viele Infos zu geben.
Solche VPN-Sachen für die Wartung mögen solche Organisationen wie Hochschulen in der Regel nicht. Lieber ist denen meist ein ISDN-Zugang, der nur auf Anforderung geschaltet wird.
Gruß
gm
-
Angels-Requiem
- Beiträge: 9
- Registriert: 30 Nov 2007, 11:15
Hab ich CLass D geschrieben oO HOPPLA. Streicht das. Ihr habt nichts gesehen oder gelesen. Humbug... Hab gleichzeitig mit einem Kollegen diskutiert und nicht aufgepasst. Ich bin kein Informatiker. Da rutscht auch mal so ein Unfug raus wenn man nicht aufpasst. 
T-DSL Business und nach aussen eine feste IP. Hinter dem 1721er das interne Subnet. Feddich.
Naja ISDN ist die Alternative. Aber das ist uns zu langsam für die Versuchsanlage.
Mein Kollege möchte einen VPN-Client auf unserem Rechner installieren, der sich dann in der Firma einwählt. Raus kommt man nämlich. Aber ich halte nicht so viel davon per Script oder Anruf diesen Client zu starten. Ich möchte keinen Zugang in die Firma schalten, der von Fremden einfach aktiviert werden kann.
T-DSL Business und nach aussen eine feste IP. Hinter dem 1721er das interne Subnet. Feddich.
Naja ISDN ist die Alternative. Aber das ist uns zu langsam für die Versuchsanlage.
Mein Kollege möchte einen VPN-Client auf unserem Rechner installieren, der sich dann in der Firma einwählt. Raus kommt man nämlich. Aber ich halte nicht so viel davon per Script oder Anruf diesen Client zu starten. Ich möchte keinen Zugang in die Firma schalten, der von Fremden einfach aktiviert werden kann.
Hi Angels-Requiem
Wenn er eine öffentliche IP-Adresse hat, dann muß der Admin der Firewall nur IPSec freischalten: UDP-Ports 500 und 4500, sowie ESP (IP-Protokoll 50)
Wenn er hinter einem NAT steht, wird es problematisch... Wenn es der einzige VPN-Router hinter dem NAT ist, dann reicht ein Portforwarding für die UDP-Ports 500 und 4500 (solange beide VPN-Router NAT-T beherrschen und es auch aktiviert haben). Sollen aber mehr als ein VPN-Router in dem Netz stehen, dann kannst du den Verbindungsaufbau "von außen" her vergessen. Dann muß der VPN-Router hinter dem NAT (also der in der Hochschule) die Verbindung aufbauen...
Ach ja: auch hinter einem NAT, muß eine etwaige Firewall so konfigureirt werden, daß sie IPSec durchläßt...
Um den Aufbau des Tunnels durch Fremde zu unterbinden, sicherst du ihn mit einem Zertifikat - dann muß dem Kollegen schon das Laptop gestohlen werden...
Gruß
Backslash
Das hängt davon ab, ob der VPN-Router eine öffentliche IP hat (bei einem Hochschulnetz wahrscheinlich) oder hinter einem NAT steht.EDIT: Also kurz gesagt: Ich möchte eine LAN-LAN Verbindung aufbauen zu einem VPN-Router, der hinter einem fremden Router/Firewall steht. Was muss ich anstellen, damit ich durchkomme?
Wenn er eine öffentliche IP-Adresse hat, dann muß der Admin der Firewall nur IPSec freischalten: UDP-Ports 500 und 4500, sowie ESP (IP-Protokoll 50)
Wenn er hinter einem NAT steht, wird es problematisch... Wenn es der einzige VPN-Router hinter dem NAT ist, dann reicht ein Portforwarding für die UDP-Ports 500 und 4500 (solange beide VPN-Router NAT-T beherrschen und es auch aktiviert haben). Sollen aber mehr als ein VPN-Router in dem Netz stehen, dann kannst du den Verbindungsaufbau "von außen" her vergessen. Dann muß der VPN-Router hinter dem NAT (also der in der Hochschule) die Verbindung aufbauen...
Ach ja: auch hinter einem NAT, muß eine etwaige Firewall so konfigureirt werden, daß sie IPSec durchläßt...
Das ist aber die einzige Möglichkeit!Mein Kollege möchte einen VPN-Client auf unserem Rechner installieren, der sich dann in der Firma einwählt. Raus kommt man nämlich. Aber ich halte nicht so viel davon per Script oder Anruf diesen Client zu starten. Ich möchte keinen Zugang in die Firma schalten, der von Fremden einfach aktiviert werden kann.
Um den Aufbau des Tunnels durch Fremde zu unterbinden, sicherst du ihn mit einem Zertifikat - dann muß dem Kollegen schon das Laptop gestohlen werden...
Gruß
Backslash
-
Angels-Requiem
- Beiträge: 9
- Registriert: 30 Nov 2007, 11:15
Dankeschön Backslash. Astreiner Post. 
Tja leider wird er wohl hinter dem ganzen Hochschulglump sitzen. Ich kenn die Admins... Die haben schon bei einem Apache meines Profs Aufstand geprobt. Die möchten am Liebsten vor jedem PC sitzen, der im N
Die Dose an der wir sitzen hat noch nicht einmal eine feste IP. DHCP im Hochschulnetz. Müssten wir alles VERSUCHEN zu beantragen.
Das Dumme an der Client Lösung ist leider, dass ich das auf Autoconnect schalten müsste und es mir a) bei jedem Start der Anlage einen VPN Kanal des Routers blockt und b) jeder ins Firmennetz kann. Oder c) ich arme Sau müsste den Zugang hier im Router immer aktivieren oder deaktivieren.
EDIT:
Ich hab jetzt folgende Idee:
Wir lassen uns eine ISDN Leitung an die Anlage schalten. Stellen einen 800er hin und machen damit LAN-LAN. Wenn wir Bandbreite wollen starten wir über die ISDN-Leitung den Client und wählen uns über die Standleitung in die Firma. Keine Passwörter im Client hinterlegen und fertig.
Allerdings wird uns die ISDN-Leitung Zusatzkosten verursachen. Unfein.
Tja leider wird er wohl hinter dem ganzen Hochschulglump sitzen. Ich kenn die Admins... Die haben schon bei einem Apache meines Profs Aufstand geprobt. Die möchten am Liebsten vor jedem PC sitzen, der im N
Die Dose an der wir sitzen hat noch nicht einmal eine feste IP. DHCP im Hochschulnetz. Müssten wir alles VERSUCHEN zu beantragen.
Das Dumme an der Client Lösung ist leider, dass ich das auf Autoconnect schalten müsste und es mir a) bei jedem Start der Anlage einen VPN Kanal des Routers blockt und b) jeder ins Firmennetz kann. Oder c) ich arme Sau müsste den Zugang hier im Router immer aktivieren oder deaktivieren.
EDIT:
Ich hab jetzt folgende Idee:
Wir lassen uns eine ISDN Leitung an die Anlage schalten. Stellen einen 800er hin und machen damit LAN-LAN. Wenn wir Bandbreite wollen starten wir über die ISDN-Leitung den Client und wählen uns über die Standleitung in die Firma. Keine Passwörter im Client hinterlegen und fertig.
Allerdings wird uns die ISDN-Leitung Zusatzkosten verursachen. Unfein.