Hi zusammen.
Ich versuche gerade als Abschlussprojekt für meine Ausbildung eine VPN Verbindung zwischen dem Heimarbeitsplatz der Geschäftsführung und dem Firmennetzwerk herzustellen. Das Firmennetzwerk ist durch einen Lancom DSL/I-10 mit dem Internet verbunden. Firmwarestand ist Version 2.82.0015 vom 06.02.2003. Ich habe testweise auf meinem PC zu hause eine VPN Verbindung und auf einem PC im Firmennetzwerk eine eingehende Verbindung laut der Anleitung auf
http://www.wintotal.de/Artikel/vpnxp/vpnxp.php erstellt. Nur ich schaffe es nicht dass die VPN-Verbindung von zu Hause auf den PC im Netzwerk weitergeleitet wird. Ich habe gelesen, dass der Router VPN-Weiterleitung unterstützen soll... Ist das so möglich wie ich mir das vorstelle oder nicht? Wenn doch, was muss ich dafür machen?!
Schonmal vielen Dank im Voraus für die Antworten!
lg
Alex
VPN Einwahl von Heimarbeitsplatz ins Firmennetzwerk
Moderator: Lancom-Systems Moderatoren
-
Michael008
- Beiträge: 325
- Registriert: 14 Jan 2005, 18:45
- Wohnort: Stuttgart
Hi cssup,
Der DSL 10i selber kann keine verschlüsselten VPN Verbindungen als Server bereitstellen. Wohl aber PPTP Verbindungen ohne Verschlüsselung.
Falls das für dich in Frage kommt schau dir mal die Anleitung an:
http://www2.lancom.de/kb.nsf/fe78f8220e ... enDocument
Ansonsten kannst du eingehende VPN Verbindungen zu einem Rechner im Lan weiterleiten. Unter IP-Router->Maskierung->Service-Tabelle stellst du ein, welche Ports auf welchen Rechner geleitet werden sollen.
1723 ist der PPTP Port, den brauchst du auf jeden Fall. Ob noch weitere Ports gebraucht werden kann ich nicht sicher sagen. Hab auch schon von Port 47 für die Daten selber gelesen.
P.S. Die FW 2.8 vom Router ist schon ein paar Tage alt.
Gurß Michael
Der DSL 10i selber kann keine verschlüsselten VPN Verbindungen als Server bereitstellen. Wohl aber PPTP Verbindungen ohne Verschlüsselung.
Falls das für dich in Frage kommt schau dir mal die Anleitung an:
http://www2.lancom.de/kb.nsf/fe78f8220e ... enDocument
Ansonsten kannst du eingehende VPN Verbindungen zu einem Rechner im Lan weiterleiten. Unter IP-Router->Maskierung->Service-Tabelle stellst du ein, welche Ports auf welchen Rechner geleitet werden sollen.
1723 ist der PPTP Port, den brauchst du auf jeden Fall. Ob noch weitere Ports gebraucht werden kann ich nicht sicher sagen. Hab auch schon von Port 47 für die Daten selber gelesen.
P.S. Die FW 2.8 vom Router ist schon ein paar Tage alt.
Gurß Michael
Hi Michael008,
danke für deine Antwort. Das mit der weiterleitung hatte ich sogar schon eingestellt. Hatte ich in nem anderen Post gelesen und mal versucht. Habe eben beim überprüfen auch gesehen, dass ich die falsche IP-Adresse eingetragen habe. Mal schauen obs jetzt funktioniert. Habe auch gleichzeit mal Port 47 weitergeleitet.
Ich denke werde dann auch später mal die Firmware updaten...
Ich melde mich später nochmal.
Danke nochmal!
lg
Alex
Edit:
ist das ok wenn ich bei Anfangs- und End-Port die 1723 ?
danke für deine Antwort. Das mit der weiterleitung hatte ich sogar schon eingestellt. Hatte ich in nem anderen Post gelesen und mal versucht. Habe eben beim überprüfen auch gesehen, dass ich die falsche IP-Adresse eingetragen habe. Mal schauen obs jetzt funktioniert. Habe auch gleichzeit mal Port 47 weitergeleitet.
Ich denke werde dann auch später mal die Firmware updaten...
Ich melde mich später nochmal.
Danke nochmal!
lg
Alex
Edit:
ist das ok wenn ich bei Anfangs- und End-Port die 1723 ?
-
Michael008
- Beiträge: 325
- Registriert: 14 Jan 2005, 18:45
- Wohnort: Stuttgart
Hi,
Ciao
LoUiS
also ich bin mir nicht 100 % sicher, aber ich meine in der 2.82 funktionierte das VPN-Pass-Through noch nicht. Installiere auf dem DSL/I-10 mal die aktuelle Firmware und teste dann noch mal.Firmwarestand ist Version 2.82.0015 vom 06.02.2003.
Ciao
LoUiS
Dr.House hat geschrieben:Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
tja. also ich bin jetzt echt ratlos ich hab alles ausprobiert was mir einfällt... hab die aktuelle Firmware für das Gerät installiert, habe in der Knowledge Base noch einige Anleitungen gefunden und alles demnach eingestellt aber es will beim besten Willen nicht funktionieren. Wenn ich mich einwähle bekomme ich immer die Meldung "Fehler 678: Der Remotecomputer antwortet nicht"...
Hab ihr noch nen Tipp für mich??
lg
Alex
Hab ihr noch nen Tipp für mich??
lg
Alex
Um Gottes Willen NEIN(!) - Du mußt auch noch entsprechende Firewall Regeln erstellen, um deinen VPN-Server zu erreichen. Also sowas wie:Aber wird die nicht nicht umgangen wenn ich die Ports zulasse?
Erlaube von Überall - Ziel: VPN-Server - Protokoll TCP - Port 1723...
Und darum mag ich sowas nicht, damit steht man schon mit einem Bein hinter der Firewall...
Gruß
COMCARGRU
Wann zum Teufel werden ALLE PCs grundsätzlich nur noch mit Hardware RAID 1 ausgestattet???
-
Michael008
- Beiträge: 325
- Registriert: 14 Jan 2005, 18:45
- Wohnort: Stuttgart
Hi COMCARGRU,
Standardmäßig kommt man von außen nicht rein, auch ohne FW-Regel, wenn nicht von innen eine Verbindung (Masquerading) angefordert wurde.
Die inverse Maskierung ist genau dafür gedacht, eben auch Zugriffe von außen zuzulassen. Aber erstmal nur zu einem bestimmten Rechner und nur für die explizit erlaubten Ports.
Das der Rechner bzw. der erreichbare Dienst nicht komplett offen stehen sollte ist klar.
Sonst kann ich nicht erkennen, warum dabei schon ein Bein hinter der FW sein soll.
Kannst du das mal bitte ein wenig ausführen. Ich lass mich gerne belehren, vielleicht hab ich ja was falsch verstanden oder ich sehe die Sache zu locker, weil noch nie was passiert ist.
Danke Michael
das trifft natürlich nur zu, wenn vorher mit DENY_ALL Regel alles abgedichtet wurde.Um Gottes Willen NEIN(!) - Du mußt auch noch entsprechende Firewall Regeln erstellen, um deinen VPN-Server zu erreichen. Also sowas wie:
Erlaube von Überall - Ziel: VPN-Server - Protokoll TCP - Port 1723...
Standardmäßig kommt man von außen nicht rein, auch ohne FW-Regel, wenn nicht von innen eine Verbindung (Masquerading) angefordert wurde.
Die inverse Maskierung ist genau dafür gedacht, eben auch Zugriffe von außen zuzulassen. Aber erstmal nur zu einem bestimmten Rechner und nur für die explizit erlaubten Ports.
Das der Rechner bzw. der erreichbare Dienst nicht komplett offen stehen sollte ist klar.
Sonst kann ich nicht erkennen, warum dabei schon ein Bein hinter der FW sein soll.
Kannst du das mal bitte ein wenig ausführen. Ich lass mich gerne belehren, vielleicht hab ich ja was falsch verstanden oder ich sehe die Sache zu locker, weil noch nie was passiert ist.
Danke Michael
Mit aktiver Firewall meine ich Deny_All, sonst brauche ich auch die Firewall nicht. Von außen macht das NAT, auch wenn es dafür nicht gedacht ist. Zumindest bei den Routern, von denen wir hier reden.
Ich habe Prinzipell eine Abneigung dagegen, einen Dienst hinter meinem Perimeter anzubieten, den ich auch am Perimeter anbieten kann. Hinter dem Perimeter steht immer eine Box mit höherer Komplexität (Linux, Windows). Höhere Komplexität bedeutet immer auch höhere Anfälligkeit gegen Exploits! - Das will ich vermeiden - ok nimm Cisco, die haben Default Paßwörter - sowas krankes ist kaum zu glauben - Bei Cisco kann man also auf eine aktive Firewall verzichten...
Gruß
COMCARGRU
Ich habe Prinzipell eine Abneigung dagegen, einen Dienst hinter meinem Perimeter anzubieten, den ich auch am Perimeter anbieten kann. Hinter dem Perimeter steht immer eine Box mit höherer Komplexität (Linux, Windows). Höhere Komplexität bedeutet immer auch höhere Anfälligkeit gegen Exploits! - Das will ich vermeiden - ok nimm Cisco, die haben Default Paßwörter - sowas krankes ist kaum zu glauben - Bei Cisco kann man also auf eine aktive Firewall verzichten...
Gruß
COMCARGRU
Wann zum Teufel werden ALLE PCs grundsätzlich nur noch mit Hardware RAID 1 ausgestattet???
-
Michael008
- Beiträge: 325
- Registriert: 14 Jan 2005, 18:45
- Wohnort: Stuttgart
Jetzt wo du es erwähnst, ironischer weise kam ich vor kurzem durch einen nicht aktualisierten Dyndns Eintrag von mir auf einem Cisco irgendwo raus. Das Default Passwort ging, doch noch schlimmer, im HTML Code bzw. Javascript bei der Passwrtänderungsseite war das komplette Login/Pass im Klartext vorhanden.
1 Minute neugierig, schon bist du im grauen Bereich. War das eigentlich schon strafbar?
Das war echt erschreckend ernüchternd. Zumal der einfache Anwender, der froh ist wenn er ins internet kommt, nicht so viel dafür kann. Er hat nur die falsche Router Marke gekauft.
Michael
1 Minute neugierig, schon bist du im grauen Bereich. War das eigentlich schon strafbar?
Das war echt erschreckend ernüchternd. Zumal der einfache Anwender, der froh ist wenn er ins internet kommt, nicht so viel dafür kann. Er hat nur die falsche Router Marke gekauft.
Michael
Hi,
)
Ciao
LoUiS
Ich nehme mal an, das Du die WAN IP-Adresse des Absenders kennst, dann mach doch mal auf dem LANCOM einen IP-Router trace und schau ob Pakete von der WAN IP des Client durch das LANCOM gehen. Das wird bestimmt schonmal weiterhelfen, das solltest Du aber machen, wenn nicht allzuviel ueber den Router geht (nach Feierabend, sonst wirst Du erschlagenWenn ich mich einwähle bekomme ich immer die Meldung "Fehler 678: Der Remotecomputer antwortet nicht"...
Hab ihr noch nen Tipp für mich??
)Ciao
LoUiS
Dr.House hat geschrieben:Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
Tja... hab jetzt auch die Firewall so eingestellt, dass VPN Verbindugen zugelassen werden sollen... nur funktioniert immer noch nicht... gleiche Meldung wie zuvor.
lg
Alex
Edit:
btw. externe IP kann ich anpingen... habs zum Bsp mit www.heise.de versucht. Hat sofort funktioniert.
lg
Alex
Edit:
btw. externe IP kann ich anpingen... habs zum Bsp mit www.heise.de versucht. Hat sofort funktioniert.
*froi*