mikrocontroller.net

Forum: PC Hard- und Software VPN-Zugiff weiterleiten?


Autor: Frank Esselbach (Firma: Q3) (qualidat)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Ich habe zu Wartungs- und Entwicklungszwecken von einer Firma einen 
VPN-Zugang bekommen (per PPTP mit Server-IP, Username und Passwort). 
Damit kann ich auf einem meiner heimischen Rechner eine Verbindung ins 
Firmen-LAN aufbauen.
Manchmal muss ich aber auch Rechner an der Datenbank testen (Clients), 
die eiegentlich für das LAN bestimmt sind und auf denen die VPN-Software 
nicht installiert bzw. eingerichtet werden soll. Mein Router, ein 
Funkwerk X2320W, kann m.E. nicht als PPTP-Endpunkt konfiguriert werden 
oder ich bin zu blöd dazu.
Da ich dies auch nicht allzuoft benötige, stelle ich mir (und euch) die 
Frage, ob es nicht einen einfach einzurichtenden Redirector bzw. 
Softrouter für Windows oder Mac OS X gibt. Den würde ich dann bei Bedarf 
auf dem direkt mit dem VPN verbundenen Rechner starten und darüber in 
mein LAN weiterleiten ...

Frank

Autor: Condi (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
So einfach ist das nicht. Für eine LAN Weiterleitung muss auch die 
andere Seite wissen wo das LAN zu finden ist.
Falls das nicht geht, dann kommt evtl. PAT in Frage. Normalerweise 
können die Betriebssysteme von Haus aus.

Autor: Icke ®. (49636b65)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Nebenbei bemerkt, ein nur auf PPTP basierendes VPN zeugt von maßloser 
Vertrauensseligkeit. Es sollte unbedingt zusätzlich verschlüsselt sein, 
z.B. mit IPSEC.

Autor: Gunther L. (what)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Icke ®. schrieb:
> Nebenbei bemerkt, ein nur auf PPTP basierendes VPN zeugt von maßloser
> Vertrauensseligkeit. Es sollte unbedingt zusätzlich verschlüsselt sein,
> z.B. mit IPSEC.

Sehe ich genauso. Ein Firmennetzwerk mit PPTP anzubinden zeugt nicht nur 
von Vertrauensseligkeit, sondern von Dummheit in der Administration. 
Sorry, wenns hart klingt, aber es ist einfach so.

Ich nehme jetzt einfach mal an, dass Frank die Rechner, welche als 
Client getestet werden sollen, mit einer Fernsteuerungs-Software 
bedienen möchte. Das einfachste dürfte sein, auf einen Rechner, welcher 
mittels PPTP erreichbar ist, einen SSH-Server zu installieren und dann 
mittels Portweiterleitung die Fernsteurungssoftware zu verbinden.

Das Vernünftigste ist, PPTP zu vergessen und das Netz mittels IPSEC 
anzubinden.

Grüße,
Gunther

Autor: Frank Esselbach (Firma: Q3) (qualidat)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Moin,

PPTP ist mir vom dortigen Firmen-Admin so eingerichtet worden und ich 
habe nicht die Absicht oder die Möglichkeit das zu verändern - danke für 
den Hinweis, aber das ist nicht mein Thema.

Nochmal ausführlicher: Ich kann mit meinem Desktop-Rechner per VPN von 
Ferne (Berlin - Leipzig) in das Firmennetz. Manchmal richte ich aber 
auch hier in Berlin Clients (Booksize-PCs) komplett ein und teste sie, 
die dann innerhalb des LAN dieser Firma betrieben werden sollen. Hier 
wäre es vorteilhaft, wenn ich diese Clients bei mir zuhause (durch das 
VPN) vorübergehend auch ins Firmennetz bringen könnte. Da aber auf 
diesen Clients ein Mini-Linux ohne VPN-Komponenten läuft und diese auch 
nicht installiert und eingerichtet werden sollen, wäre es sinnvoll, wenn 
ich auf meinem Desktop-PC eine Art Redirector oder Softrouter hätte, der 
als Gateway ins VPN funktioniert. Der VPN-Endpunkt soll auf diesem PC 
bleiben. Geht sowas und wenn ja, mit welchem Aufwand?

Danke für hilfreiche Tips - bitte direkt zum Problem und keine 
Änderungsvorschläge.

Alternative: Kennt sich jemand wirklich detailliert mit dem Router 
X2302W von Funkwerk aus? Wenn ich diesen dazu bringen könnte, die 
VPN-Verbindung aufzumachen, wäre ja mein ganzes heimisches LAN im 
Firmennetz ...

Autor: Gunther L. (what)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
>
> Nochmal ausführlicher: Ich kann mit meinem Desktop-Rechner per VPN von
> Ferne (Berlin - Leipzig) in das Firmennetz. Manchmal richte ich aber
> auch hier in Berlin Clients (Booksize-PCs) komplett ein und teste sie,
> die dann innerhalb des LAN dieser Firma betrieben werden sollen. Hier
> wäre es vorteilhaft, wenn ich diese Clients bei mir zuhause (durch das
> VPN) vorübergehend auch ins Firmennetz bringen könnte. Da aber auf
> diesen Clients ein Mini-Linux ohne VPN-Komponenten läuft und diese auch
> nicht installiert und eingerichtet werden sollen, wäre es sinnvoll, wenn
> ich auf meinem Desktop-PC eine Art Redirector oder Softrouter hätte, der
> als Gateway ins VPN funktioniert. Der VPN-Endpunkt soll auf diesem PC
> bleiben. Geht sowas und wenn ja, mit welchem Aufwand?

Der Aufwand ist direkt proportional mit den Anforderungen, was die 
Clients im Firmennetzwerk denn so können sollen.

Vom Prinzip brauchst du einen Router der PPTP und Masquerading kann. Ob 
das der X2302 W kann, weiß ich nicht. Es gibt aber mit Sicherheit einen 
der das kann. Alternativ auf deinen Desktoprechner Linux drauf, dann 
geht es auf jeden Fall.

Du richtest bei dir daheim ein Netz mit der gleichen IP-Range wie in der 
Firma ein, dann musst du nicht einmal die IPs der Clients umstellen. Die 
Clients erhalten die IP des Routers/Linux als Gatewayadresse. Das muss 
auf den Clients eingestellt werden.

Der Router/Linux wählt sich in der Firma ein und masqueriert/source-nat 
dein privates 2. Firmennetzwerk. Das wars.

Das masquerading/source-nat funktioniert aber vorzugsweise nur in die 
Richtung von dir zuhause ins Firmennetzwerk und mit 'einfachen' 
Protokollen. Solltest du irgendwelche Dienste auf deinen Clients haben 
die auch von der anderen Seite erreichbar sein sollen (Windows 
Dateifreigaben, Web-Serverdienste o.Ä.) müssen noch portforwards auf dem 
Router/Linux konfiguriert werden. Bzw. es kann auch sein, dass es gar 
nicht geht, weil die Protokolle nicht mitspielen. (Falls du über diesen 
Tunnel ein ipsec-protokoll laufen lassen möchtest, würde es z.B. einen 
NAT-Traversal-Patch erfordern. Aber ipsec ist ein anderes Thema... ;-)

Viele Grüße,
Gunther

Autor: Frank Esselbach (Firma: Q3) (qualidat)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Die Clients senden UDP-Botschaften aus, auf die sie von einem Server 
UDP-Antworten bekommen. Läuft Alles nur über einen Port (3307). Werd' 
mich mal einlesen ... oder ich schreibe mir selber sowas. Je länger ich 
darüber nachdenke, desto machbarer erscheint es mir. Es muss auch (für 
Testzwecke) immer nur zwischen einem Client und dem Server funktionieren 
... so eine Art Relay mit zwei gekoppelten Socket-Paaren (Client-Relay 
und Relay-Server).

Frank

Autor: Bernd (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Ich würde mal darüber nachdenken einen anderen DSL Router anzuschaffen.

zB:  http://www.netgear.de/Produkte/Router/ModemGateway...

Der soll 5 IPsec VPN Tunnelendpunkte können.

Autor: Frank Esselbach (Firma: Q3) (qualidat)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Und was nützt mir das bitte mit PPTP?
IPSec kann auch der Bintec. Der kann mehr als ich wohl jemals verstehen 
werde, das Handbuch umfasst über 100 Seiten. Nur der Betrieb als 
PPTP-Endpunkt-Client war den Leuten vom Funkwerk wohl zu "popelig" ...

Frank

Autor: Bernd (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Netgear:
PPTP und L2TP VPN Pass-Through sowie bis zu 5 IPSec VPN-Tunnel-Endpunkte



PPTP und L2TP sind die Tunnelprotokolle. IPsec ist die Verschlüsselung 
und setzt auf ein Tunnelprotokoll auf und wird nur dann gesprochen wenn 
beide Seiten das können.

Wenn der Router 5 Endpunkte kann muss er auch mindestens PPTP sprechen.
(oder auch L2TP)

Da ist Netgear aber sehr schwammig in der Beschreibung.(oben)

Ich glaube da muß man bei Netgear (oder anderer Hersteller) nachfragen.

Autor: Bernd (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Die hier beschriebenen Geräte sollen  das gewünschte können.
Die Infos sind auch o.k.
http://www.netgear.de/Support/Basiswissen/router_g...

Autor: Gunther L. (what)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
>
> PPTP und L2TP sind die Tunnelprotokolle. IPsec ist die Verschlüsselung
> und setzt auf ein Tunnelprotokoll auf und wird nur dann gesprochen wenn
> beide Seiten das können.
>
> Wenn der Router 5 Endpunkte kann muss er auch mindestens PPTP sprechen.
> (oder auch L2TP)

Nein.

ipsec/L2TP hat mit PPTP überhaupt nichts zu tun. Das sind zwei komplett 
verschiedene Geschichten. Im Ersten Moment hat auch ipsec mit L2TP 
nichts zu tun. Man kann ipsec genauso gut ohne L2TP fahren. Nur 
gestaltet sich die Authentifizierung mittels User/Passwort dann ein 
bischen schwierig. Aber zur Festverdrahtung von zweien Netzwerken mit 
fester IP und shared secret brauchts kein L2TP.

Der Netgear im speziellen kann auch nur ipsec-, L2TP- und 
PPTP-Passthrough. Das heisst, dass der Router die Protokolle 
unterstützt, wenn der Client durch den Router hindurch zum Server die 
Protokolle blubbern möchte. Dass heisst noch lange nicht, dass der 
Router einen Tunnel via ipsec, ipsec/L2TP oder PPTP selber aufbauen 
kann. Da er wohl auch 5 ipsec VPN Tunnel-Endpunkte können soll, ist 
anzunehmen, dass er zumindest ein bischen ipsec kann. Aber von PPTP seh 
ich da nix...

Viele Grüße,
Gunther

Autor: o.O (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Frank Esselbach schrieb:
> Die Clients senden UDP-Botschaften aus, auf die sie von einem Server
> UDP-Antworten bekommen. Läuft Alles nur über einen Port (3307).

Installier auf Deinem Klappkomputer einen Portforwarder.
Auf den Clients traegst Du Deinen Klappkomputer als Server ein.
Fertig iss die Laube.

Antwort schreiben

Die Angabe einer E-Mail-Adresse ist freiwillig. Wenn Sie automatisch per E-Mail über Antworten auf Ihren Beitrag informiert werden möchten, melden Sie sich bitte an.

Wichtige Regeln - erst lesen, dann posten!

  • Groß- und Kleinschreibung verwenden
  • Längeren Sourcecode nicht im Text einfügen, sondern als Dateianhang

Formatierung (mehr Informationen...)

  • [c]C-Code[/c]
  • [avrasm]AVR-Assembler-Code[/avrasm]
  • [code]Code in anderen Sprachen, ASCII-Zeichnungen[/code]
  • [math]Formel in LaTeX-Syntax[/math]
  • [[Titel]] - Link zu Artikel
  • Verweis auf anderen Beitrag einfügen: Rechtsklick auf Beitragstitel,
    "Adresse kopieren", und in den Text einfügen




Bild automatisch verkleinern, falls nötig
Bitte das JPG-Format nur für Fotos und Scans verwenden!
Zeichnungen und Screenshots im PNG- oder
GIF-Format hochladen. Siehe Bildformate.
Hinweis: der ursprüngliche Beitrag ist mehr als 6 Monate alt.
Bitte hier nur auf die ursprüngliche Frage antworten,
für neue Fragen einen neuen Beitrag erstellen.

Mit dem Abschicken bestätigst du, die Nutzungsbedingungen anzuerkennen.