vpn an internen Server weiter leiten

Alles rund um Netzwerktechnik und Protokolle
ddm3ve
Moderator
Moderator
Posts: 1226
Joined: 2011-07-04 10:56

vpn an internen Server weiter leiten

Post by ddm3ve »

Folgendes Problem.

Ich setzte in House einen FVS336 Netgear Router ein.
Dieser bringt per Standard einen VPn Server mit.
Hinter dem System hängt ein kleiner MacServer.

Da ich offen gestanden "zu doof" bin den vpn Dienst auf dem Netgear Router zum laufen zu bekommen , habe ich mich dazu entschlossen den vpn Server am MacServer zu nutzen.

Grundsätzlich funktioniert es auch. Das ganze ist an mehreren Standorten so aufgebaut.
Lediglich der Netgear Router macht Probleme beim forwarden von udp 500.
Ohne diesen Port kann ich mich nur sporadisch per vpn anbinden.

Da dieser port aber aneblich durch einen Standartdienst blockiert ist, kann ich diesen nicht zum MacServr forwarden.

Vieleicht hat jemande einen Kniff / Trick, wie ich das VPN dennoch zuverlässig erreichbar konfiguriere.

BTW: alles an den MacServer weiter zu leiten, ist indess keine Lösung für mich. So funktiniert es jedoch.

VPN Pass through wurde für pptp, L2TP und IPSec aktiviert.
VPN wird per L2TP realisiert.

-> ich möchte nach Möglichkeit nicht den Netgear vpn Dienst nutzen, wegen der zentralen Benutzerverwaltung ber den MacServer.
02:32:12 21.12.2012 und dann sind Deine Probleme alle unwichtig.
User avatar
Joe User
Project Manager
Project Manager
Posts: 11175
Joined: 2003-02-27 01:00
Location: Hamburg

Re: vpn an internen Server weiter leiten

Post by Joe User »

Auszug aus http://de.wikipedia.org/wiki/IPsec:
IKE basiert auf UDP und nutzt standardmäßig den Port 500 als Quell- und Ziel-Port. Wird IKE und IPsec jedoch hinter einer Masquerading-Firewall betrieben, wird von den meisten IPsec-Implementierungen in diesem Fall UDP-Port 4500 verwendet. Um das Problem mit IPsec-Verbindungen hinter Masquerading-Firewalls zu lösen, wurden mehrere Vorschläge eingereicht. Keiner der Vorschläge wurde jedoch als Standard anerkannt, weshalb der Betrieb einer IPsec-Verbindung von einem Host über eine Firewall hinweg sehr unzuverlässig ist. Die beste Lösung ist eine Non-Masquerading-Firewall mit einer angeschlossenen DMZ. In der DMZ steht dann der Endpunkt der IPsec-Verbindung.
Vielleicht hilft das ja etwas weiter.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
ddm3ve
Moderator
Moderator
Posts: 1226
Joined: 2011-07-04 10:56

Re: vpn an internen Server weiter leiten

Post by ddm3ve »

Hi,

nein leider nicht.
Auch port 10000 tcp, der gelegentlich ziehen soll, brachte nichts.
Wenn ich dann Firewall / FVS336, den vpn dienst etc. komplett einmal durch trette, klappt das wieder auf anhieb.
Er mosert ggf. mal rum, das die authentifizierung nicht wollte, aber wie gesagt, i.d.R. klappt es.
Mein System im Projektoffice, das per DSL / Dyndns angebunden ist, da klappt der Zugriff immer.
Hier ist der Unterschied, dass der Router alles ins 'DMZ' leitet, wohinter sich eine endian Firewall verbirgt.
Genau dieser leitet u.a. eben auch udp 500 an den Mac Server weiter.

Aber hier im RZ wollte ich nicht noch eine 2 Firewall, einsetzen.
Im Büro ist es wegen contentfilter usw. i.O. im RZ soll ausgehender Verkehr generell blockiert werden, daher ist eine Endian Firewall erstmal nicht zielführend.

Wenn alle Stricke reissen, werde ich das wohl anders lösen müssen.
02:32:12 21.12.2012 und dann sind Deine Probleme alle unwichtig.
User avatar
nyxus
Posts: 626
Joined: 2002-09-13 08:41
Location: Lübeck

Re: vpn an internen Server weiter leiten

Post by nyxus »

Da Du "L2TP over IPSec" machst (L2TP ist Klartext und wird daher per IPSec geschützt) benötigst Du sowohl Port 500 und 4500. Deine Beschreibung klingt jetzt irgendwie danach, das der IPSec-Dienst auf der FW nicht wirklich deaktiviert ist und sie daher das Port-Forwarding nicht durchführen kann.

TCP/10000 hilft dabei sicher nicht, da das eine proprietäre Erweiterung ist, die IMO vom Mac-Server nicht supported wird (evtl. unter der Haube per CLI konfigurierbar)

Welche Lösungen bieten sich an:

1) IPSec-Dienst auf der FW *wirkich* deaktivieren
2) Die Weiterleitung über eine andere IP als die Interface-IP des Routers laufen lassen
3) Eine richtige Firewall verwenden ... ;-)
4) PPTP verwenden (autsch, nein, lieber doch nicht)
5) VPN doch auf der Netgear-FW lassen und nur die Authentifizierung per RADIUS zum Mac senden. Dann hast Du trotzdem das zentrale Benutzermanagement.

@Joe: Der Wikipedia-Eintrag ist da etwas veraltet. NAT-Traversal (über UDP/4500) ist schon etliche Jahre ein Standard.
Last edited by nyxus on 2012-03-15 12:27, edited 2 times in total.
ddm3ve
Moderator
Moderator
Posts: 1226
Joined: 2011-07-04 10:56

Re: vpn an internen Server weiter leiten

Post by ddm3ve »

Hi, danke für den Hinweis.

Zu 1. studiere ich schon seit 2 Tagen die Bedienungsanleitung zum Netgear Router. Was mir an dem Gefällt ist der Anschluss über 2 WAN Interfaces zwecks Ausfallsicherheit. Aber wo ich den VPN Tot sicher abschalten kann, das habe ich noch nicht gefunden.
Allerdings um die FW / Portforwarding regeln ein zu stellen, muss ich einen Service definieren. Das lässt sich nicht einrichten, da eben Port 500 UDP intern reserviert ist.

Endian unterstützt nur bis zu 3 Zonen.
Grün, blau und Orange. So die Bezeichnung.
Ich bin tendenziell am überlegen auf das Replikationslan zu verzichten und nur ein Crosover Kabel an zu stecken.
Dann könnte ich darüber den MacServer ansprechen.

Der FVS336 war eigentlich als Bypass und Redundanz gedacht, falls eben mal die Firewall oder andere redundante Leitung aus steigt.
So kann ich mich einwählen und ggf. die Systeme trotzdem noch remote verwalten.

2. Meinst Du damit das Protkoll Binding? Am WAN Interface kann ich nur DHCP oder eine statische Adresse eintragen.


3. Wenn Du mir für den anwendungsfall Bypass etwas Energiesparendes und günstiges weisst.
-> Preirahmen 200,- EUR Wobei ... ich habe noch eine Endian mini UTM herum fahren. Mal sehen, bo die ein 2.4 auf 2.5 Upgrade übersteht. beim letzten mal wars schon eine Katastrophe (Anwenderfehler ich gebe es zu).

4 PPTP Nein, will ich auch nicht. Hilft btw. auch nicht.

5. Hätte ich das geschaft richtig zu konfigurieren, so dass sich mein Mac damit verbinden kann, dann würde ich über Radius nach denken. Aber da scheitert erstmal am VPN konfigurieren.
02:32:12 21.12.2012 und dann sind Deine Probleme alle unwichtig.
ddm3ve
Moderator
Moderator
Posts: 1226
Joined: 2011-07-04 10:56

Re: vpn an internen Server weiter leiten

Post by ddm3ve »

Hi,

ich habe jetzt explizit den Netgear FVS336 Router raus geworfen.
Der bekommt zwar andere aufgaben, dafür ist r auch gut geeignet aber VPN wird nun über die endian appliance geregelt. Das klappt perfekt.
02:32:12 21.12.2012 und dann sind Deine Probleme alle unwichtig.