VPN over IPSec

SOPHOS

Newbie
Registriert
Nov. 2009
Beiträge
4
Liebe Community,

ich bin ein Kleinstunternehmer und kümmere mich selbst um mein kleines Firmennetzwerk.
Bis heute bin ich ziemlich gut mit allen Netzwerkherausforderungen zurechtgekommen,
bis ich auf folgendes gestoßen bin. Und zwar benötige ich bzw. der Hersteller der von mir verwendeten Software einen VPN-Tunnel über IPSec. Leider komme ich einfach nicht weiter da ich so etwas zum ersten Mal mache.

Folgende Hardware setze ich ein:
Speedport W723V Typ B
Bintec R1202
Windows Server 2003
Windows Server 2012
Drei Client Computer
Zwei Multifunktionsdrucker

Mein Netzwerk Aufbau sieht folgendermaßen aus:
Network.jpg

Die blaue Verbindung soll zusätzlich dazukommen bzw. soll die VPN Verbindung ermöglichen!

Folgendes habe ich eingerichtet:
- Die öffentliche IP des Speedport Routers ist die: 209.111.234.226
- Der Bintec Router (Port 1-0) ist am Speedport (Port 4) angeschloßen und hat die feste IP 192.168.2.2
- Windows Server 2003 hat die IP-Adresse: 10.100.10.19
- Windows Server 2012 hat die IP-Adresse: 10.100.10.20

Der Hersteller der Software hat mir folgende VPN Daten mitgeteilt die ich einrichten soll:
Net Subnet Mask Comment
Hersteller Firewall Peer IP 190.14.177.100 255.255.255.255 (/32) Masquerading IP
Customer (Server 2003) 10.1.139.78 255.255.255.255 (/32) NAT
Customer (Server 2012) 10.1.139.79 255.255.255.255 (/32) NAT

NETWORK
Every Client connection coming through the tunnel from the Software Company Network will have the Masquerading-IP 190.14.177.100.

CUSTOMER NETWORK
The Customer Hosts reachable through the tunnel are 10.1.139.78/32 and 10.1.139.79/32.
These IPs have to be redirected to the real customer IP, inside the Customer Network,
as shown in the Routing Table below (NAT/DNAT/Forwarding)

ROUTING
NAT IP Real Customer IP Usage / Description Name Ports
10.1.139.78/32 [10.100.10.19] PROD/TEST (alt) [Server2003] ICMP,RDP,HTTP,1521,58080,59080
10.1.139.79/32 [10.100.10.20] PROD/TEST (new) [Server2012] ICMP,RDP,HTTP,1521,58080,59080

VPN-TUNNLE DATA
Configuration
VPN Point of Entry (Hersteller Firewall Peer IP) 190.14.177.100
VPN Point of Entry (Customer) 209.111.234.226

Encryption

Pre-Shared Key [will be generated by us and transmitted via Fax ]
Phase 1 IKE Authentication Mode Pre-Shared Key
IKE Encryption Algorithm AES 256
IKE Hashing Algorithm MD5
IKE Diffie Hellman Group Group 5
IKE Negotiation Mode Main
IKE Rekey Time Interval 86400 (Cisco ASA Default)

Phase 2 IPSec Encapsulation Mode Tunnel (ESP)
IPSec Encapsulation Algorithm AES 256
IPSec Authentication / Integrity MD5
IPSec Rekey Time Interval kilobytes 4,608,000 kilobytes (Cisco ASA Default)
IPSec Rekey Time Interval seconds 28,800 seconds (Cisco ASA Default)
Perfect Forwarding Secrecy (PFS) NO


Nun weiß ich nicht wo ich was auf dem Bintec Router (siehe Bild unten) eintragen soll außer der Encryption (Phase 1 & Phase 2) bzw. wie ich die Routen eintragen soll, dass der Hersteller der Software auf die beiden Server kommt:

Bintec.jpg

Vielleicht könnte mir jemand bitte weiterhelfen?

Vielen Dank im Voraus!
 
Uha, du fragst was richtig arges in nem Endkunden-Forum, da werden spaßige Sachen rauskommen :D
Was ist mit der Konfigurationsanleitung? http://faq.bintec-elmeg.com/faq_bintec_170_ipsec_ncp_x2302_01_de,115812,194.html
Übers Webinterface würde ich das nicht machen, die Konsole gibt in der Regel mehr her.
Was ich an deinem Bild nicht verstehe, was macht der zweite DSL-Anschluss am Cisco-Switch? Oder sind die blauen Striche falsch und du willst vom Bintec-Router auf den zweiten DSL-Anschluss?
 
Also der Speedport NATed schon und der Bintec hat keine öffentliche IP?

Wenn ja wird das so nichts. Du müsstest für IPSec das Protokoll GRE weiterreichen können, das kann der Speedport aber meines wissens nicht. Außerdem ist der Bintec ziemlich überflüssig wenn man ihn gar nicht als Router nutzt.

-> Speedport in Modem Betrieb umschalten

@Chris: Sind ja nicht nur Endkunden hier^^
 
Also die Übersicht sieht ziemlich durcheinander aus!

Warum 2 DSL Modem/Router ? Redundanz ?
Was für einen Sinn hat der rote Router ? UTM ?
Was sollen die blauen Verbindungen bezwecken ?
Warum haben die beiden Server dann 2 Verbindungen ? Redundanz ?

Und zwar benötige ich bzw. der Hersteller der von mir verwendeten Software einen VPN-Tunnel über IPSec.

Darf man fragen um was für einen Hersteller/Software es sich handelt ?
Wieso benötigt der eine VPN Verbindung zu dir ?
Und warum ist der Hersteller nicht in der Lage dir, seinem Kunden, Support zu leisten ?
 
Zuletzt bearbeitet:
Und ob IPSec mit dem hinten Gerät läuft wenn ein anderer Router davor ist. Habe sofern das bei dir zutreffen sollte die Möglichkeit dir meine Konfiguration zu erklären. Mein Bintec hängt hinter einer Fritzbox und mein iPhone und iPad läuft problemlos mit IPSec ;). Da aber wie schon erwähnt der Speedport per NAT kein GRE durchlässt kannst du nur den Speedport freetzen oder alternativ den R1202 ins WAN einwählen lassen und den Speedport nur als dummes Modem davor klemmen.
 
Zuletzt bearbeitet:
Zurück
Oben