VPN-Verbindung mit Client_X ins entfernte LAN über Router (SMC) zu Client_Y

[raoul-duke]

Hi zusammen !

Ich möchte übers Internet zwei LANs verbinden. Das möchte

ich mit VPN realisieren. Es handelt sich jeweils um LANs,

die via NAT über einen Router (SMC 7004 ABR und VBR) mit

dem Internet kommunizieren.

Ziel der ganzen Geschichte ist die Fernadministration des

LAN_01 am Standort X. Soweit ich mich richtig informiert

habe ist es dafür zunächst notwendig den VPN-Server an

einem PC in LAN_01 zu installieren. (Vorgehensweise ist

eigentlich klar),

Link: http://www.wintotal.de/Artikel/vpnxp/vpnxp.php

Nachdem der Router keinen "echten" VPN-Server hat, sondern

bloß VPN-Passthroug handelt, so verstehe ich das so, dass

auf jedem einzelnen Rechner in LAN_01 der VPN-Server in-

stalliert bzw. aktiviert werden muss. Man korregiere

mich bitte, falls dies nicht zutrifft.

Link: http://wintotal.de/Artikel/remote/remote.php

Kann mir jemand weiterhelfen was die Konfiguration direkt

am Router angeht. VPN-Passthroug aktivieren, soweit so

gut, aber welche Ports muss ich mit welchem Protokol

an die IP-Adresse X.X.X.X forwarden ?

Erreichbar wird der Router im LAN_01 mit dem klassischen

DynDNS-Service. Die zum Einsatz kommenden Betriebssysteme

sind Windows XP (pro).

Ich bedanke mich schon mal vorab für eure Hilfe. Was

noch zu sagen ist, ich plane diese Verbindung vorab,

da man in der Praxis dann weniger Troubleshooting

hat, was ja durch die Entfenung nicht immer so einfach

möglich ist (zwischen LAN_01 und LAN_02).

Grüße, Duke.

[hades]

Ein VPN kannst Du ueber die Protokolle PPTP oder (wenn der Router dies unterstuetzt) ueber L2TP realisieren.

Fuer PPTP musst Du Port 1723 tcp/udp und das GRE-Protokoll (Protokoll-ID 47) freischalten.

Fuer L2TP ist es Port 500 tcp/udp und Port 1701 tcp/udp.

Es reicht aus, wenn (vorausgesetzt es handelt sich beim Netzwerk um eine Domaene) jeweils ein VPN-Server in beiden LANs installiert wird.

[raoul-duke]

Hi !

Habs jetzt hinbekommen nach längeren friemeln.

Zum Glück hab ich DSL mit ISDN, so konnte ich

zwei Rechner unabhängig voneinander ins INET

bringen und testen.

Falls es mal jemand wieder braucht, also am

Barricade (Router) muss als Virtual Server der

Rechner mit seiner IP stehen, der errecihbar

sein soll, Portangabe 1723 TCP reicht.

Wie man das Einrichtet wird in den Links, die ich

oben gepostet hab recht gut und nachvollziehbar

erklärt.

Leider habe ich es bisher noch nicht geschafft,

eine passende Policy im Norton PFW zu generieren,

schalte sie immer ab wenn ich die Verbindung auf-

baue. Das kanns aber auf Dauer auch nicht sein,

vielleicht weiß da wer weiter !?

Was bei mir noch ein Problem war, dass der Router

(DHCP aktiv) dem Remote PC keine IP gegeben hat

und dieser somit nicht in das LAN integriert werden

konnte. Abhilfe schafft man, indem man unten den

Eigenschaften der eingehenden Verbindung in der

Anzeige der Netzverbindungen weiter auf Eigenschaften

des TCP/IP-Protokolls klickt und hier die zu verwenden-

den IPs direkt angibt. Sollte sinnvollerweise das selbe Netz

sein und ausserhalb des reservierten DHCP-Bereichs liegen,

um IP-Konflikte zu vermeiden.

Soviel dazu, Grüße.

P.S.: Bin ein wenig paranoid was Sicherheit im LAN angeht

und frage mich, wie ich mir zu 100% sicher sein kann, dass

die Verbindung wirklich "sicher" und verschlüsselt ist.

Login-Infos werden mit MS-CHAP übertragen und es ist

auch eingestellt, dass der die Verbindung unterbrochen

werden soll, wenn die Verbindung nicht verschlüsselt ist.

--> Ich würd da gern mal trotzdem nachhacken...