VPN / D-Link DI-604

[SnakeSanders]

Hallo.

Ich will mich per VPN mit einem Netzwerk verbinden. Das Netzwerk

hat einen W2K3-Server und ist über einen D-Link DI-604 mit dem

Internet verbunden. Auf dem Server ist ein VPN-Server eingerichtet

(Windows-Bordmittel). Auf dem Router werden die Ports 1723 und

500 zum Windos-Server durchgeleitet. Innerhalb des Netzwerkes

kann ich eine VPN-Verbindung zum Server herstellen, von ausserhalb

funktioniert es nicht. Wenn ich die VPN-Verbindung extern starte,

erscheint ganz kurz 'Verbindung wird hergestellt ...' aber dann bleibt

er bei 'Benutzername und Kennwort werden verifiziert ...' hängen.

Anschliessend erscheint die Meldung 'Der Remotecomputer antwortet

nicht (Fehler 721)'.

Beim Einrichten des VPN-Servers kann man bestehenden Windows-

Benutzern die Erlaubnis zum Zugriff zuteilen. Ich habe dem Domänen-

admin Zugriff gestattet. Könnte das evtl. ein Problem sein (beim

internen Zugriff klappt es mit ihm)? Sollte ich evtl. einen separaten

VPN-User einrichten?

Muss ich im Router, ausser den beiden Ports noch etwas aktivieren?

Da 'Verbindung wird hergestellt ...' beim Einwählen sofort verschwindet,

denke ich, dass er den Router erreicht, aber dann nicht zum Server

weitergeleitet wird.

Jemand eine Idee? :confused:

Snake

[janlutmeh]

AFAIK unterstützt der DI-604 kein VPN-Passtrough. So, nochmal editiert. Dafür machste ja die Ports auf.

Wie läuft denn die Anmeldung/Authentifizierung? Da scheint er ja das Problem zu haben.

Ansonsten gibts hier vielleicht auch noch ein paar kleine infos.

[SnakeSanders]

Auszug aus dem datasheet:

...

Network Security

The DI-604 provides NAT protection for your office and

home users from Internet intruders and hacker attacks, plus

VPN pass-through for extra security. It blocks and re-directs

certain ports to limit the services that outside users can access

your network. Virtual Server Mapping is used to re-task

services to multiple servers. The DI-604 can be set to allow

separate FTP, Web, ...

Muss man evtl. den passthrough im Router separat aktivieren

oder reicht es die ports durchzuleiten?

[janlutmeh]

Eigentlich sollte er für passthrough konfiguriert werden. Das Portforwarding nutzt man ja normal wenn er das passthrough nicht unterstützt.

[D-Styles]

soweit ich weiß, muss dein Router das gre protokoll routen können.

Der Control channel ist eine standard TCP Verbindung zum Port 1723 auf dem Server. Der data channel nutzt GRE (General Route Encapsulation) auf Port 47

vpn fähig heißt bei routern auch oft, daß der server in einer dmz stehen muss.

allerdings steht er dann halt völlig ungeschützt im internet.

[hades]

VPN mit PPTP:

Port 1723 TCP

GRE

VPN mit L2TP:

500 UDP

1701 UDP

4500 UDP

[SnakeSanders]

Danke für die Hinweise!

Mein Problem ist, dass der DI-604 keinerlei Einstellungsmöglichkeiten

für das GRE-Protokoll bietet. Ich könnte zwar den Port 47 durchleiten,

aber das würde sich nur auf TCP/UDP beziehen.

[hades]

GRE hat keine Portnummern!

GRE ist wie TCP und UDP ein Protokoll, was mit IP transportiert werden kann, und hat die Protokoll-Nr. 47.

D.h. wenn Du VPN mit PPTP nutzen willst, schalte den Port 1723 TCP frei und such nach der Einstellung GRE oder, wenn GRE nicht namentlich aufgefuehrt ist, in den Einstellungen bei other Protocols. Dort dann die Protokoll-Nr. 47 eingeben.

siehe auch http://www.iana.org/assignments/protocol-numbers (Protokoll-Nummern)

siehe auch http://www.iana.org/assignments/port-numbers (Port-Nummern)

[SnakeSanders]

Hi.

Mit dem Di-604 ist es meines Erachtens nicht möglich eine

VPN-Verbindung aufzubauen. Anscheinend lässt der Router

die Anmeldeinformationen nicht korrekt durch, so dass

keine Anmeldung am VPN-Server möglich ist.

Falls irgendjemand es schon einmal geschafft hat mit dem

DI-604 eine Verbindung aufzubauen, wäre ich sehr an

einer Anleitung interessiert.

Ansonsten schönen Dank für Eure Hilfe!

Snake

[dieterds]

Na aber sicher ist das möglich.

Jedoch musste ich 2 Ports manuell weiterleiten auf den entsprechenden PC. Den einen TCP, den anderen UDP.

1723 TCP

500 UDP

4500 UDP

waren das glaube ich.

[SnakeSanders]

Mann Dieter, Du meinst ich soll die Leiche noch einmal ausbuddeln :marine

Die Ports habe ich natürlich durchgeleitet, allerdings kann ich das GRE-

Protokoll nicht explizit auswählen (UDP und TCP übrigens auch nicht).

Ich habe einen DI-604/B2 mit Firmware 1.82b. Mit anderen Modellen

(u.a. DI-604/D1) hat man mehr Konfigurationsmöglichkeiten. Hast Du evtl.

ein D-Modell (steht unten drunter).

Wenn auch Du ein B-Modell hast:

- Was für einen VPN-Server nimmst Du?

- Auf welchem OS läuft der VPN-Server?

- Welche Art VPN ist eingerichtet (IPSEC oder PPTP)?

- Hast Du einen eigenen VPN-Benutzer angelegt?

- Kannst Du mir einen Screenshot der VirtualServer-

Einstellungen im Router schicken?

mfG

Snake

[D-Styles]

ipcop (router ähnlich dem fli4l) kann gre routen

für fli4l gibt es übrigens auch ein opt paket um gre zu routen.

[SnakeSanders]

Hi D-Styles.

Klar könnte ich meinen Router wegtun, einen Rechner aufstellen,

Linux-Routersoftware aufspielen, das Ding Tag und Nacht ballern

lassen, mir einen zusätzlichen Switch kaufen und auch evtl.

damit glücklich werden. Will ich aber doch gar nicht!

Nicht falsch verstehen, aber nur Schlagwörter hier reinzurufen

bringt uns auch nicht weiter. :floet:

Trotzdem Danke.

Snake

:floet: