TwoCom Online-Forum

[no-one]

Hallo Leute!

Folgende Config habe ich:

1x Vigor 2300 an einer Standleitung mit öffentlicher WAN-IP und öffentlicher LAN-IP (verbindet Koppelnetz und Hauptnetz, beide in unterschiedlichen Ranges)

Clients haben Zugriff auf das Web und alle Dienste. Funktioniert einwandfrei.

Leider bekomme ich ein VPN aber nicht zum Laufen.
Der Vigor ist VPN-Server und akzeptiert nur eingehende Verbindungen, ein Außendienst-Notebook soll sich einwählen bzw eine bestehende LAN-WAN Verbindung (z.B. Firmennetzwerk) dazu nutzen. Die IP des Notebooks variiert also je nach Einsatzort.

Ich habe die letzten 9 Stunden damit zugebracht, die Sache zum Laufen zu bringen. Ergebnislos!

Der Vigor ist über das Internet erreichbar, kann gepingt werden aber lässt keine Verbindung zu. Ich komme bis zu dem Punkt an dem UserID und PW verifiziert werden, dann heißte es "Remotecomputer antwortet nicht"

Da ich mich mit VPNs wenig auskenne, hier ein paar Fragen:

Hat die Client-IP Einfluss auf ein VPN, wenn diese in einem anderen Bereich liegt? -> Einwahl per Modem vom Hotel aus (mit dyn IP des ISP), auf den Vigor mit fester, öffentlicher IP? Muss doch gehen...

Kann es an der Firewall liegen? Standard-Einstellungen sind unverändert.
Wie ich es sehe, ist da keine Regel vorhanden, die dies blockt.

Habe alle Varianten durchprobiert:
PPTP, IPsec, L2TP / PAP , CHAP
IPsec-Schlüssel angelegt. User ID und PW sowie IPsec-Schlüssel auf den Systemen identisch. Am Ende hab ich auch das Config-Tool von Draytek ausprobiert. Es funktioniert nicht!!!

Arghhh!!!

Die Anleitung ist auch nicht grad sehr hilfreich.

Frage zu den Menü-Punkten:
Einwahl aktivieren -> ist klar. Auswahl der Protokolle
PPP -> Chap und PAP ür PPP, wieso? Wann brauch ich das?

VPN IKE /IPSec Einstellungen -> klar, Schlüssel für IPSec usw..

Externe Nutzer -> Dachte, die werden im jeweilgen VPN-Profil angelegt. Weshalb noch mehr User?

VPN / LAN-LAN Verbindung -> Gilt dies nur für Vigor-Vigor (LAN-LAN) Kombinationen, oder auch für PC-LAN Config (wie in meinem Falle)
So sehe ich das nämlich.

Viele Fragen, hoffentlich viele ANtworten....


Danke in Voraus!!!

Gruß
no-one

[Elwood]

Hallo no-one,

Folgende Config habe ich:

1x Vigor 2300 an einer Standleitung mit öffentlicher WAN-IP und öffentlicher LAN-IP (verbindet Koppelnetz und Hauptnetz, beide in unterschiedlichen Ranges)

Clients haben Zugriff auf das Web und alle Dienste. Funktioniert einwandfrei.

das ist eine gute Basis. Aber selbst eine dynamische IP des Vigor ist mit der DynDNS Funktion kein Problem. Der Client verbindet sich dann mit dem DNS-Namen und nicht mit der IP.

Leider bekomme ich ein VPN aber nicht zum Laufen.
Der Vigor ist VPN-Server und akzeptiert nur eingehende Verbindungen, ein Außendienst-Notebook soll sich einwählen bzw eine bestehende LAN-WAN Verbindung (z.B. Firmennetzwerk) dazu nutzen. Die IP des Notebooks variiert also je nach Einsatzort.

Das ist die, Idee die hinter VPN bzw. nomadic computing steckt. Zwischenfrage: hast Du im Router unter "Advanced Setup> Remote Access Control Setup" den Haken bei "Enable L2TP VPN Service" bzw. "Enable L2TP VPN Service" gesetzt? Falls nicht, bitte setzen. Von IPsec wuerde ich erstmal die Finger lassen, das scheint nicht ohne Probleme zu funktionieren.

PPP -> Chap und PAP ür PPP, wieso? Wann brauch ich das?

PPTP und L2TP ohne IPsec Policy - lies Verschluesslung - wuerden das Passwort des Users in Klartext uebertragen. Irgendwie unangenehm in einem oeffentlichen Netz.

Unter "Advanced Setup> PPP General Setup" keinen Nutzer anlegen (wird nur fuer gegenseitige Autentifizierung benoetigt und kommt aus der PPP Ecke. Keine Ahnung ob das irgendeinen Sinn bei PPTP bzw. L2TP mit Software-Clients macht) Mutual Auth. deshalb bitte ausschalten.

IP-Adresse fuer Remote-User zuweisen.

VPN IKE /IPSec Einstellungen -> klar, Schlüssel für IPSec usw..

Vergiss erstmal IPsec, da scheint es keine vernuenftigen - bzw. verfuegbaren Clients fuer Windows zu geben. Zumindest keine die ohne weiteres "Shared Secret" Autentifizierung erlauben. Aber da lasse ich mich auch gerne eines besseren belehren.

Externe Nutzer -> Dachte, die werden im jeweilgen VPN-Profil angelegt. Weshalb noch mehr User?

Hier weiss ich nicht so genau was Du meinst. Die Clients melden sich auf dem Router mit Benutzername & Passwort an. Ergo muss auf dem Router ein entsprechendes Profil fuer den jeweiligen Nutzer vorhanden sein. "Allowed Dial-In Type" PPTP oder L2TP ohne IPsec Policy.

Auf der Windows (Client) Seite ein Profil mit entsprechendem Parametern einrichten.

VPN / LAN-LAN Verbindung -> Gilt dies nur für Vigor-Vigor (LAN-LAN) Kombinationen, oder auch für PC-LAN Config (wie in meinem Falle)

Brauchst Du nicht. Ist alles fuer Router-Router Kopplung, egal ob ISDN oder VPN.

Da ich mich mit VPNs wenig auskenne, hier ein paar Fragen:

Hat die Client-IP Einfluss auf ein VPN, wenn diese in einem anderen Bereich liegt? -> Einwahl per Modem vom Hotel aus (mit dyn IP des ISP), auf den Vigor mit fester, öffentlicher IP? Muss doch gehen...

Die Client-IP liegt zwangslaeufig in einem anderen Netz, sonst wuerde eine direkte Verbindung zum internen Netzwerk vorliegen. Beispielsweise durch Einwahl mit ISDN, dann koenntest Du Dir den Stress mit VPN sparen. Die von einem beliebigen Provider zugewiesene IP hat keinen Einfluss auf die Funkionalitaet, aber vielleicht filtert Dein Provider die entsprechenden Portnummern.

Viel Erfolg!

[no-one]

Hallo!

Erst einmal vielen vielen Dank für die hilfreichen Antworten. Habe rausbekommen, woran es lag. Meine Config stimmte, aber zwischen dem Client und dem Vigor hängt noch eine weitere Firewall, die die Verbndung blockte.

Von zu Hause aus konnte ich über einen Dial-In-Provider ins WWW und von dort problemlos eine PPTP-VPN-Verbindung zum Vigor aufbauen.

Was IPSec angeht, kann ich dir nur zustimmen. PPTP klappt, IPsec macht Probleme.

Danke!
Gruß

[ArthurDent]

Hallo!

Erst einmal vielen vielen Dank für die hilfreichen Antworten. Habe rausbekommen, woran es lag. Meine Config stimmte, aber zwischen dem Client und dem Vigor hängt noch eine weitere Firewall, die die Verbndung blockte.

Von zu Hause aus konnte ich über einen Dial-In-Provider ins WWW und von dort problemlos eine PPTP-VPN-Verbindung zum Vigor aufbauen.

Was IPSec angeht, kann ich dir nur zustimmen. PPTP klappt, IPsec macht Probleme.

Danke!
Gruß

Moin Ihr beiden!

Ich habe da ein ähnliches Problem: PPTP und L2TP gehen, IPSec aber nicht (weder über DrayTek Client noch über das XP dial-Up, welches Pre-Shared Secret unterstützt). Das schönste ist aber, wenn man sich die Details des Dial-Up anschaut sieht man, dass die PPTP Verbindung OHNE Verschlüsselung läuft?!? Welchen Weg gibt es noch, eine VPN als Remote User zumvigor einzurichten?

Grüsse

Arthur

[no-one]

Hi!

Eine VPN-Verbindung funktioniert nur mit PPTP, L2TP oder IPSec. Verschlüsselung durch IPSec in unserem Falle ja nicht möglich.

Dass die PPTP Verbindung ohne Verschlüsselung läuft, ist klar, da PPTP nicht verschlüsselt wird. Oder habe ich dich da falsch verstanden?

So wie ich das sehe, können wir nur zwischen zwei Übeln wählen: Ohne Verschlüsselung ins öffentliche Netz, was ich für höchst kritisch halte, oder oder gar nicht

Werde die Sache aber noch mit Linux testen.

Gruß
no-one

[ArthurDent]

Hi!

Eine VPN-Verbindung funktioniert nur mit PPTP, L2TP oder IPSec. Verschlüsselung durch IPSec in unserem Falle ja nicht möglich.

Dass die PPTP Verbindung ohne Verschlüsselung läuft, ist klar, da PPTP nicht verschlüsselt wird. Oder habe ich dich da falsch verstanden?

So wie ich das sehe, können wir nur zwischen zwei Übeln wählen: Ohne Verschlüsselung ins öffentliche Netz, was ich für höchst kritisch halte, oder oder gar nicht

Werde die Sache aber noch mit Linux testen.

Gruß
no-one

Moin no-one,

PPTP steht für Point-to-Point-Tunneling-Protokoll welches mit Hilfe von MPPE (Microsoft Point-to-Point Encryption) verschlüsselt werden kann. Der Schlüssel kann 40Bit, 56Bit oder 128 Bit lang sein. Verschlüsselte PPTP Verbindungen mit 128 Bit lassen sich sehr bequem unter NT40/W2K einrichten. Da der MS Client aber für die Datenverschlüsselung als Authentifizierung MS-Chap bzw. MS-Chap V2 voraussetzt, geht diese halt nicht beim Vigor einzurichten.

Du hast natürlich Recht, PPTP geht auch ohne Verschlüsselung, nur ist ja der Sinn einer VPN eben, dass Daten verschlüsselt werden. By the Way: Linux unterstützt die PPTP Verschlüsselung. Man muss zwar ein bisschen Hand anlegen, aber es geht ...

Und einen Nachteil von VPN´s mit PPTP wollen wir ja auch nicht vergessen; es ist nachweislich nicht das sicherste Protokoll da bereits geknackt. (siehe unter: http://www.counterpane.com/pptp-faq.html)

Grüsse Arthur

[Northpack]

Zwischenfrage: wenn das PTPP Protokoll in unserem Fall, also mit einem Windows Client, nur unverschlüsselt arbeitet, ist es denn möglich über das L2TP Protokoll eine verschlüsselte Verbindung aufzubauen. Und unabhängig davon, welches der beiden Protokolle ist eigentlich vorzuziehen?

Und kennt jemand den Grund warum IPSec (was ja wohl das Protokoll der Wahl wäre) nicht funktioniert, obwohl sowohl der Vigor als auch der Windows VPN-Client die Verbindung mittels eines Shared Secrets unterstützen!??

[no-one]

Hi!

Ich habe gerade einen Beitrag verfasst, wie die Konfiguration aussehen sollte, damit es funktioniert.

Gruß
no-one