Betreffende D-Link Geräte: DI804HV /B1 F/W1.40
Betreffender WLAN-Client Adapter:
Welche WLAN-Verschlüsselung ist aktiviert?: Es ist kein WLAN vorhanden!
--------------------------------------------------------------------------------------------------------------------
Betriebssystem & ServicePack: CLient XP SP1
I-Net Browser: IE6
--------------------------------------------------------------------------------------------------------------------
Provider & Zugangsart: T-Online DLS2000 Flat
MTU-Wert im Router: 1492
MRU-Wert im Modem/Modem-Router: ?
VPI-Wert im Modem/Modem-Router: ?
VCI-Wert im Modem/Modem-Router: ?
--------------------------------------------------------------------------------------------------------------------
Ist eine Software-Firewall vorhanden (auch wenn deaktiviert)?: Ja, nur die von XP SP-2, aber die ist deaktiviert
Software-Firewall:
--------------------------------------------------------------------------------------------------------------------
Ist Filesharing im Einsatz?: Nein
Filesharing-Programm u. Vers.:
--------------------------------------------------------------------------------------------------------------------
Wie bezeichnest Du Deinen LAN/WLAN Wissensstand?: Fortgeschritten (= ich richte permanent Netzwerke ein oder bin gelernter Fachinformatiker)
--------------------------------------------------------------------------------------------------------------------
Was hast Du gemacht und/oder installiert, bevor das Problem aufgetreten ist?:
Das Problem war von Anfang an
Was hast Du bereits versucht, um das Problem zu lösen?:
Hotline von D-Link, verschickt aber immer nur die Standard Installationsanleitungen
--------------------------------------------------------------------------------------------------------------------
Und hier nun meine detailierte Fehlerbeschreibung und Nachricht:
Wir haben unserer Firmen Centrale über einen DL-804HV an das Internet angebunden. Der DI804 ist als PPTP VPN Server konfiguriert (mit DYNDNS) die Verbindung eines Clients von zuHause aus funktioniert auch über PPTP VPN. In einer Aussenstelle haben wir als Internetgateway eine OSI-COMX (interne LINUX Lösung) . Wir müssen auf einen Unix-server hinter dieser OSI-Box zugreifen. Als IPSEC VPN Client verträgt sich die OSI-Box nur mit dem Softremote TL Client von SafeNet. Versuche ich eine Verbindung von einem Rechner hinter unserem DL804Hv mit dem Softremote TL Client aufzubauen scheitert schin die IKE Phase 1. Auf dem DL804HV ist in als Virtueller Server das IPSEC Protokoll auf dem Port 500 in beide Richtungen freigegeben. Trotzdem geht dei IPSEC Verbindung nicht über den Router zurück. Es komen Telegramm an der OSI-Box an aber die Rücktelegramme kommen scheinbar nicht am Client hinter dem DL804 an. Wenn ich das ganze von einem Client aus welcher direkt über DFÜ an das Internet angebunden ist mache funktioniert die Einwahl auf der OSIBOX einwandfrei. Nur über den Router nicht. Gibte vielleicht noch erweiterte Einstellung auf dem DL804 für das sogenannte IPSEC Paththrou. (Auch die OSIBOX hat eine DYNDNS Adresse).
Ich hoffe ich habe mich verständlich ausgedrückt.
Entweder läßt Du einen Router als VPN-Endgerät laufen oder der Router muss "VPN-Pass-Through" unterstützen, dann muss der dahinterliegende Server als VPN-Endgerät agieren. Beides gleichzeitig geht nicht!
Denn:
Ein Router "verfälscht" grundsätzlich alle Datenpakete, die er weiterleitet. Damit werden auch die VPN-Pakete verändert, was nicht sein darf. Entsprechend werden diese dann vom annehmenden Endgerät verworfen.
cbit hat folgendes geschrieben: Auf dem DL804HV ist in als Virtueller Server das IPSEC Protokoll auf dem Port 500 in beide Richtungen freigegeben. Trotzdem geht dei IPSEC Verbindung nicht über den Router zurück.
Wenn Du also irgendwelche Ports öffnest o.ä., bringt das überhaupt nichts - im Gegenteil, es kann dann sein, dass die VPN-Pakete total verfälscht werden. Daher nimm alle Regeln etc., die den Port 500 betreffen, wieder 'raus. Statt dessen musst Du den Router unter "Tools - Misc" in den Pass-Through - Modus setzen.
Aber das geht nur, solange er nicht selber als VPN-Endgerät arbeitet!
Danke Wordplex für deine schnelle Ünterstüzung. Wenn ich dich richtig verstanden habe kann der Router immer nur eins. Ich wollte nämlich auch noch zwei weitere Aussenstellen mitels zwei weiterer DI804HV über das Internet verbinden. Funktioniert den das überhaubt wenn ich die PathThrou Modus auf dem Router in der Zentrale aktiviere?
Wenn nicht habe ich vielleicht das falsche Gerät? Wenn ich hinter dem Router auf einem Win2000 Server VPN als eingehende Verbindung aktiviere, müßte mir ja dieser Server das Netzwerk in der Zenrale über den VPN Tunnel zur Verfügung sellen (Wenn ich das richtige Routing einstelle)?
cbit hat folgendes geschrieben: Wenn ich dich richtig verstanden habe kann der Router immer nur eins.
Ich weiss nicht, ob er beides gleichzeitig kann - aber das wäre doch Unsinn! Entweder wird der Router als VPN-Endgerät konfiguriert oder eben nicht! Wie soll denn beides gleichzeitig möglich sein?
cbit hat folgendes geschrieben: Ich wollte nämlich auch noch zwei weitere Aussenstellen mitels zwei weiterer DI804HV über das Internet verbinden. Funktioniert den das überhaubt wenn ich die PathThrou Modus auf dem Router in der Zentrale aktiviere?
Ich dachte, das wäre klar geworden: Im Path-Through-Modus lässt er alle VPN-Pakete transparent durch! Egal, auf wie viele Netze die Pakete geschickt werden - die Konfiguration findet dann im Server statt!
cbit hat folgendes geschrieben: 1. Wenn nicht habe ich vielleicht das falsche Gerät?
2. Wenn ich hinter dem Router auf einem Win2000 Server VPN als eingehende Verbindung aktiviere, müßte mir ja dieser Server das Netzwerk in der Zenrale über den VPN Tunnel zur Verfügung sellen (Wenn ich das richtige Routing einstelle)?
Zu 1: Das würde ich mal behaupten. Aus mehreren Gründen: Erstens aus Perfomance-Gründen: wenn Du mehrere Netze mittels VPN-Tunnel verbinden willst und die Verschlüsselung auch noch dem Server überlassen willst, dürfte das die Geschwindigkeit mit Sicherheit nicht steigern! Zweitens der Aufwand: der ist erheblich höher, als wenn Du die Router als VPN-Endgeräte konfigurierst. Drittens die Sicherheit: Alles, was Du per Software konfigurierst, kann auch per Software ausgehebelt werden - eine Konfig. im Router dagegen kaum!
Empfehlen würde ich Dir den Einsatz der DFL-200/700 anstelle der DI-804. Diese Geräte sind speziell dafür da, mehrere Tunnel gleichzeitig zu betreiben und sind darüber hinaus äußerst sicher. Das funktioniert ganz hervorragend (11 Tunnel gleichzeitig habe ich damit schon probiert) und einen Tunnel hast Du dort innerhalb von 3 Minuten konfiguriert.
Zu 2: Die Frage verstehe ich nicht: wer soll denn das VPN-Endgerät sein? Der Server oder der Router? Diese Frage muss immer als erstes geklärt sein!
Telefon Support
|
