Portweiterleitung über VPN

[deltoid]

Hallo zusammen!
Ich habe ein Konfigurationsproblem. Aus der Ferne möchte ich mit einem bestimmten Port ein HTTP-Endgerät in einer Zweigstelle erreichen. Selbstverständlich könnte ich die Zweigstelle direkt kontaktieren; leider kann in der Software, die die Verbindung aufbauen soll nur eine IP-Adresse eingetragen werden. DynDNS ist somit ausgeschlossen.
Die Zentrale hat eine feste IP und ist permanent mit den Zweigstellen verbunden.

Die Konfiguration sieht so aus:
Zentrale
- mit fester WAN-IP-Adresse a.a.a.a
- Router 1781
- lokale Router-IP-Adresse 192.168.0.1
Zweigstelle
- Router 1781
- dynamische WAN-IP-Adresse b.b.b.b
- lokale Router-IP-Adresse 192.168.1.1
- Zielendgerät 192.168.1.100

In der Port-Forwarding-Tabelle in der Zentrale habe ich eingetragen:
- Anfangs-Port 10000
- Gegenstelle: Telekom
- Map-Port: 80
- Intranet-Adresse: 192.168.1.100
- WAN-Adresse: a.a.a.a.

Leider funktioniert das nicht so einfach.
Wenn ich per Browser die Verbindung aufbauen möchte gibt es folgende Fehlermeldung im Trace im Router der Zentrale. Im Zweigstellen-Trace passiert nichts

Code: Alles auswählen

[IP-Router] 2015/10/05 17:33:35,055  Devicetime: 2015/10/05 17:33:37,622
IP-Router Rx (TELEKOM, RtgTag: 0): 
DstIP: 192.168.1.100, SrcIP: c.c.c.c, Len: 52, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 80, SrcPort: 28980, Flags: S
Seq: 106629283, Ack: 0, Win: 8192, Len: 0
Option: Maximum segment size = 1452
Option: NOP
Option: Window scale = 2 (multiply  by 4)
Option: NOP
Option: NOP
Option: SACK permitted
Route: WAN Tx (ZWEIGSTELLE)

Sieht jemand meinen Denkfehler?

[Dr.Einstein]

Hallo deltoid,

http://www.lancom-forum.de/fragen-zum-t ... tung%20vpn

Gruß Dr.Einstein

[backslash]

Hi deltoid

hier dürfte das Problem sein, daß in der Zweigstelle keine Default-Route auf den VPN-Tunnel zeigt und daß zudem auf beiden Seiten keine passende SA besteht, um c.c.c.c durch den Tunnel leiten zu können...

In der Filiale brauchst du eine (getaggte) Default-Route, die auf den VPN-Tunnel zeigt:

Code: Alles auswählen

IP-Address       IP-Netmask       Rtg-tag  Peer-or-IP        Distance  Masquerade  Active   Comment
===========================================-------------------------------------------------------------------------------
255.255.255.255  0.0.0.0          1        VPN-Gegenstelle   0         No          yes      allow VPN-Access from Internet

sowie in der Firewall eine VPN-Regel, um die passende SA anzulegen:

Code: Alles auswählen

Name:     Allow-Default on VPN

[ ] diese Regel ist für die Firewall aktiv
[x] diese Regel wird zur Erzeugung von VPN-Netzbeziehungen herangezogen

Aktion:   übertragen
Quelle:   alle Stationen im lokalen Netz
Ziel:     VPN-Gegenstelle
Dienste:  alle Diesnte

und ebenso brauchst du in der Zentrale noch eine VPN-Regel, die erlaubt, daß Pakete von Internet-Adressen in den Tunnel dürfen:

Code: Alles auswählen

Name:     Allow-Default on VPN

[ ] diese Regel ist für die Firewall aktiv
[x] diese Regel wird zur Erzeugung von VPN-Netzbeziehungen herangezogen

Aktion:   übertragen
Quelle:   alle Stationen
Ziel:     VPN-Gegenstelle
Dienste:  alle Diesnte

damit sollte es dann funktionieren...

Gruß
Backslash

[deltoid]

VIELEN DANK!
Das war es - die Verbindung steht.

PS: eine einzige Erweiterung würde ich gerne noch der Erläuterung von Backslash hinzufügen:
in der Zentrale ist in VPN / Verbindungsliste / VPN-Verbindung die Regelerzeugung auf 'manuell' zu setzen