VPN Router im Netzwerk einbinden

[ewert_thomas]

Hallo zusammen,

ich möchte in einem kleinen Firmennetzwerk (8 PC´s) eine VPN Verbindung einrichten, damit ich mit meinem Notebook von der Ferne auf dem Server zugreifen kann. Als Router ist ein Telekom Hybrid in Betrieb, weil wir auf die hybride Lösung angewiesen sind, damit wir eine halbwegs vernünftige Leitung nutzen können. So wie ich das gesehen habe wird VPN beim Speedport nicht direkt unterstützt. Daher wollte ich kurz meine Überlegungen mit euch teilen, bevor ich die Hardware kaufe.

Angesehen habe ich mir einen Linksys LRT214. Diesen VPN Router würde ich hinter dem Speedport anschließen und die Geräte im Netzwerk dann an den VPN Router. Die Clients werden dann eine im Rechner konfigurierte Verbindung starten, um eine VPN Verbindung aufzubauen. Oder ist ein externer Router für die VPN Verbindung auf die Clients sinnvoller? Wie genau das dann konfiguriert wird weiß ich noch nicht, aber dazu werde ich mich noch schlau machen.

Gibt es irgendetwas was ich beachten sollte oder würdet ihr einen anderen VPN Router empfehlen?

Über eine Rückmeldung dazu würde ich mich freuen.

 

[Golgorod]

Dein Problem ist erst einmal der Speedport Hybrid. Im großen und ganzen hängst du einen VPN Router hinter den Router der Telekom und nutzt den Hybrid Router dann als Gateway.
Die Clients konfigurierst du so, dass sie den VPN Router als Gateway benutzen.

DynDNS sofern gewünscht, solltest du auf dem Hybrid eintragen - teste es aber auch auf dem VPN Router.

Der Schwierigkeit ist eher, welche VPN Lösung du nutzen möchtest bzw. kannst. OpenVPN funktioniert sicherlich (kannst du recht gut mit einem RasPi testen ). IPSec kommt drauf an.
Wenn du eine Fritzbox zur Verfügung hast, kannst du mit der die IPSec funktionalität sehr gut überprüfen.

Im Hybrid-Router müssen die Ports: UDP 53 - 53 -> UDP 53 (für DNS notwendig), UDP 500 - 500 -> UDP 500 (für ISAKMP), UDP 4500 - 4500 -> UDP 4500 (für NAT-T) auf den VPN Router geleitet werden.

Aber schau mal hier nach - stecken sehr gute Tipps drin: https://www.lubensky.de/hybrid/index.htm

 

[B-Force]

Was ist das für ein Server? Warum bauen die internen Geräte eine VPN Verbindung auf ?

 

[ewert_thomas]

Danke für die Rückmeldungen schon mal.

So weit ich gelesen habe würde ich openvpn verwenden.

Das ist ein Server mit Windows Server 2012. Ich dachte, weil die Ports vom Hybrid auf den VPN Router umgeleitet werden müssen die anderen Geräte zwingend an den VPN Router um im gleichen Netzwerk zu sein.

 

[Raijin]

Im großen und ganzen hängst du einen VPN Router hinter den Router der Telekom und nutzt den Hybrid Router dann als Gateway.
Die Clients konfigurierst du so, dass sie den VPN Router als Gateway benutzen.

[..]

Im Hybrid-Router müssen die Ports: UDP 53 - 53 -> UDP 53 (für DNS notwendig), UDP 500 - 500 -> UDP 500 (für ISAKMP), UDP 4500 - 4500 -> UDP 4500 (für NAT-T) auf den VPN Router geleitet werden.

Da muss ich mal reingrätschen. Welchen Clients würdest du den VPN Router als Gateway geben? Den lokalen Clients im Firmennetz oder den VPN-Clients in der Ferne?

Und warum zum Henker sollte man den DNS-Port 53 weiterleiten?! Man leitet ausschließlich den/die VPN-Port(s) weiter und sonst nix. Würde man direkt UDP 53 weiterleiten, könnte jeder Hans und Franz den DNS nutzen, was nicht gewollt sein kann. DNS Requests über das VPN werden gekapselt über die VPN Ports getunnelt. Der Hybrid würde abgesehen vom VPN Traffic nix sehen, auch keine (eingehenden) DNS Anfragen. Was DNS angeht sieht der Hybrid maximal ausgehende Requests, die über ihn ins www gehen.

@ewert_thomas: Bei Firmennetzwerken sollte man eher nicht rumbasteln. Man kann zwar durchaus durch die Lektüre eines oder mehrerer Tutorials ein VPN einrichten, aber du musst dir dessen bewusst sein, dass im worst case Kundendaten oder sonstige kritische Daten in Gefahr sind. PI-Bastelei mag privat OK sein, aber im geschäftlichen Bereich sollte man auch adäquate Lösungen wählen.

 

[B-Force]

Einen Tunnel ins Firmennetz kannst du auch über den Windows Server machen via Openvpn. Aber ich stimme Raijin zu. Um es richtig zu machen, da es ein Firmennetz ist, sollte so oder so hinter dem Hybrid eine Firewall sein, die VPN kann.

 

[ewert_thomas]

ich würde nach dem Kauf des Linksys LRT214 wie folgt vorgehen: Hybrid Router an den WAN Port vom Linksys hängen. Alle Geräte werden dann an dem Linksys Router angeschlossen. Die IP Adresse vom Hybrid änder ich ab und trage dafür die alte IP vom Hybrid im Linksys ein, damit ich nicht die Rechner und Geräte auf neue die neuen Adressen umstellen muss. Kann ich im Linksys Router dann festlegen, dass die Verbindungen über die VPN einen bestimmten IP Bereich zugewiesen bekommen? Nicht das es zu Überschneidungen kommt mit den internen IP´s.

 

[h00bi]

Hat man bei Hybrid überhaupt ne echte öffentliche IPv4?

Kann ich im Linksys Router dann festlegen, dass die Verbindungen über die VPN einen bestimmten IP Bereich zugewiesen bekommen?

VPN Clients sind eigentlich immer automatisch in einem eigenen Subnetz.

 

[Okidoky]

Ich meine das geht.