Hi, ist es möglich, daß ich in einem existierenden Netz hinter dem Router, einen weiteren Router zu setzen, der dann eine VPN Verbindung aufbaut zu einem Externen VPN Server?
Das hängt vom Protokoll ab und von dem, was der primäre Router durchläßt bzw. richtig zuordnet oder nicht. Welche Art von VPN soll es denn sein? IPSec? Welche Router sind das?
Schau mal ob NAT-Traversal in Frage kommt. Stefan
möglich ist das schon. Beschreibe mal etwas genauer was du machen willst. Und wichtig ist dabei ob die Router NAT machen oder es ein richtiges routing ist. Am besten eine zeichnung wo das netzt dargestellt ist.
Wenn Du von "außen" nicht an den internen VPN-Router drankommst, wird das nicht gehen. Der Router nach "außen" muss die VPN-relevanten Ports und Protokolle an den internen Router weiterleiten. Sollte PPTP verwendet werden (das ist das von Windows-Systemen üblicherweise genutzte Protokoll), sind das Port 1723 (TCP) und das Protokoll GRE.
>> Wenn Du von "außen" nicht an den internen VPN-Router drankommst, wird >> das nicht gehen. > ... der dann eine VPN Verbindung aufbaut zu einem Externen VPN Server? warum? Stefan
Weil VPNs bidirektional sind?
Als Router sollen Zyxel UGS oder Netgear FVG benutzt werden.
Ich hab einen VPN Rechner mit einer festen IP, wo ich daten ablege.
Dann hab ich ein Stinknormalen DSL Anschluss mit vielen Rechnern
dahinter (NAT afaik).
Nun will ich einen Router nehmen und in dieses Netz hängen um darueber
eine VPN zu dem Server aufzubauen.
Der Router soll die Verbindung aufbauen, da auch nicht sichergestellt
ist, daß immer Feste IP bzw. DynDNS am laufen ist.
Das will ich, weil ich nicht immer die Möglichkeit habe am DSL Router
Einstellungen vorzunehmen.
VPN soll IPSec sein.
Allerdings kann es sein, daß der DSL Router schon ein VPN woandershin
aufbaut.
Die Sache ist die, daß wir einige SPS am laufen haben, udn auf diese
zugreifen wollen, ohne daß die offen am Netz hängen.
Je nach Anlage haben wir einen eigenen DSL Anschluss, da haben wir auch
die Kontrolle über den DSL Router, bei anderen hängen wir nur im Netz
der Kunden.
VPN-Server ----[Pöhses Internet]---DSL Router +---PC1
+---PCx
+---ExtraRouter---SPS
Geht das überhaupt, wenn der DSL Router schon IPSec VPN am laufen hat?
Wegen VPN Pass through.
>> Weil VPNs bidirektional sind?
Die initiale Verbindung geht lt. TO von innen nach aussen.
Stefan
Unsicherheit schrieb: > Geht das überhaupt, wenn der DSL Router schon IPSec VPN am laufen hat? > Wegen VPN Pass through. "VPN Pass through" bedeutet, der Router läßt abgehende VPN-Verbindungswünsche zu und kann die Antwortpakete auch richtig dem entsprechenden Client zuordnen. Besonderes letzteres ist nicht unbedingt selbstverständlich, vor allem viele ältere Router haben Probleme damit. Bei den Speedports W500 und W700 ist es bspw. erforderlich, die Ports 500 und 4500 auch eingehend freizuschalten, obwohl die Verbindung von innen nach außen initialisiert wird. Prinzipiell kann ein Client auch dann VPN zu externen Zielen aufbauen, wenn der Router selbst VPN zu -anderen- Zielen abwickelt. Ich arbeitete ausschließlich mit LANCOM-Routern und damit funktioniert es jedenfalls problemlos. Nun ist ein Client aber ein Client und kein Router, d.h. er kann selber mit dem Server kommunizieren, aber nicht den Verkehr für andere Clients regeln. Will ich eine LAN-LAN-Kopplung über VPN realisieren, benötige ich feste IPs oder alternativ Dyn-Adressen BEIDER Endpunkte und der primäre Router müßte VPN-Pakete an den "Extra"-Router weiterleiten. Wenn der nun aber selber IPSec bereitstellt, kann er die Pakete nicht weiterleiten, sondern hält sich selbst für zuständig. In diesem Fall würde es nicht funktionieren. Wenn der primäre Router selbst kein VPN betreibt, ginge es unter Mitwirkung des jeweiligen Admins. Der müßte eine Portweiterleitung zu eurem Router einrichten und falls möglich, auch die Dyn-Adresse bereitstellen. Diese könnte man notfalls auch per Tool des DynDNS-Anbieters herausfinden, welches jedoch auf einem Rechner installiert werden muß. Die in den Routern eingebauten DynDNS-Funktionen melden i.d.R. nur deren WAN-IP, die bei einem nachgeschalteten Router aber nicht die von außen erreichbare, sondern eine aus dem Subnet des primären Routers ist. Ich habe so einen Spezialfall praktisch laufen. Der Kunde hat VDSL und ich muß den Lancom hinter dem Telekom-Speedport betreiben. Portweiterleitung zum Lancom ist eingerichtet und auf dem Fileserver läuft das Tool von no-ip.org. Eine weitere Möglichkeit wäre evtl. SSL-VPN, das über Port 443 tunnelt. Mit praktischen Erfahrungen kann ich da jedoch nicht dienen, vielleicht wirst du in der OpenVPN Community fündig.
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.