BusinessSpeed + VPN + IPCOP

Das Forum rund um Sicherheitsfragen (Antivirus, Firewall, Spamschutz). Diese Forum wird auch von IPCop.at verwendet.
Forumsregeln
Das Forum rund um Sicherheitsfragen (Antivirus, Firewall, Spamschutz). Diese Forum wird auch von IPCop.at

BusinessSpeed + VPN + IPCOP

Beitragvon Likemike » Di 15 Jul, 2008 10:54

Folgende Sachlage:
Privaterzugang per Businessspeed

Speedtouch 608i WL => IPCop => 08/15-D-Link-Switch => mehrere Rechner (einer davon WinXpPro mit Dateifreigabe als Datenspeicher)

Ziel:
Per VPN-Tool der Telekom (Cisco-Client) ins LAN kommen um auf dem Datenspeicher Dateien abzurufen bzw zu speichern.

Noob-Frage:
Was muss auf dem IPCop eingestellt werden, damit ich ganz normal auf das LAN zugreifen kann?
Was ich bis jetzt so mitbekommen habe UDP 500 und 4500 forwarden (IP-Sec), aber an welche Zieladresse?
AON Kombi @ 4128/512 Leitungslänge ca. 3,2km lt. TA
Bild
Likemike
Junior Board-Mitglied
Junior Board-Mitglied
 
Beiträge: 94
Registriert: Di 24 Jul, 2007 11:06

Beitragvon wicked_one » Di 15 Jul, 2008 12:28

Ziel:
Per VPN-Tool der Telekom (Cisco-Client) ins LAN kommen um auf dem Datenspeicher Dateien abzurufen bzw zu speichern.

Der Cisco Client der Telekom funktioniert nur wenn du das VPN-Addon hast - dann bekommst du auch einen Cisco 87x auf NAT mit dem du dich per VPN draufwählen kannst.

ich gehe mal davon aus, dass dein 608iWL auf Routing gestellt ist, somit der IPCop eine offizielle IP hat. Du musst also den Tunnel auf dem IPCop terminieren, und nix forwarden (höchstens auf der Firewall des IPCop freigeben)...

Ich würd sagen du stöberst dich durch die Anleitungen des IPCop durch, und vergiss den TA-VPN Client.
Never a mind was changed on an internet board, no matter how good your arguments are...

- I Am Not A Credible Source
wicked_one
Board-Guru
Board-Guru
 
Beiträge: 12244
Registriert: Mo 18 Apr, 2005 20:14

Beitragvon Likemike » Di 15 Jul, 2008 14:29

Das Speedtouch läuft meines Erachtens im Routingmodus. Das komische ist folgendes:
Meine Anbindungsadresse lautet ***.***.***.208. Der Businesstechniker meinte ich muss jedoch auf ***.***.***.210 die VPN-Verbindung einrichten (wegen NAT sagte er).
Wenn ich im Browser jedoch diese 210er-Adresse eingebe kommt eine Passwortabfrage des Speedtouch, auf welches ich wiederum keinen Zugriff habe, da es Ferngewartet wird.

Der IpCop hat intern die auf der ROTEN Schnittstelle die IP 10.0.0.140, das Speedtouch hat 10.0.0.138 (hat der Techniker extra so umgestellt).

PC => Switch => (192.168.1.1) IpCop (10.0.0.140) => (10.0.0.138) Speedtouch ***.***.***.210

So mĂĽsste das momentan aussehen, wenn ich richtig liege? :-?

Bitte noch mal für kleine DAUs erklären, was genau zu machen ist!
AON Kombi @ 4128/512 Leitungslänge ca. 3,2km lt. TA
Bild
Likemike
Junior Board-Mitglied
Junior Board-Mitglied
 
Beiträge: 94
Registriert: Di 24 Jul, 2007 11:06

Beitragvon jutta » Di 15 Jul, 2008 14:42

wenn du hier postest, hast du die xx.xx.xx.210
jutta
Administrator
Administrator
 
Beiträge: 30473
Registriert: Do 15 Apr, 2004 10:48
Wohnort: wien

Beitragvon Likemike » Di 15 Jul, 2008 14:45

Das heiĂźt?
AON Kombi @ 4128/512 Leitungslänge ca. 3,2km lt. TA
Bild
Likemike
Junior Board-Mitglied
Junior Board-Mitglied
 
Beiträge: 94
Registriert: Di 24 Jul, 2007 11:06

Beitragvon jutta » Di 15 Jul, 2008 14:52

das weiss ich noch nicht genau :) es war eher ein hinweis fuer leute, die die config der ta-biz anschluesse naeher kennen und dir vielleicht tipps geben koennen.

wenn der techniker, der dir den router konfiguriert hat, auf nat hingewiesen hat, wirst du wohl nat haben. vielleicht hat er ports auf den ip-cop weitergeleitet? habt ihr darueber gesprochen? falls nicht, am besten beim support nachfragen.
jutta
Administrator
Administrator
 
Beiträge: 30473
Registriert: Do 15 Apr, 2004 10:48
Wohnort: wien

Beitragvon Likemike » Di 15 Jul, 2008 14:56

Kann ich mir nicht vorstellen, dass er Port weitergeleitet hat. Gesprochen haben wir nur nebenbei darüber. Seinem Reden nach ist das alles selbstverständlich.
AON Kombi @ 4128/512 Leitungslänge ca. 3,2km lt. TA
Bild
Likemike
Junior Board-Mitglied
Junior Board-Mitglied
 
Beiträge: 94
Registriert: Di 24 Jul, 2007 11:06

Beitragvon ANOther » Di 15 Jul, 2008 15:13

ruf an den support, sag denen
"i will die .210 auf meinem ipcop haben, machts routing" und dann isses gut:)
Sex is like hacking. You get in, you get out, and you hope you didnt leave something behind that can be traced back to you.
ANOther
Board-Guru
Board-Guru
 
Beiträge: 5940
Registriert: Di 16 Aug, 2005 15:35

Beitragvon zid » Di 15 Jul, 2008 18:02

[s]hat der support wahrscheinlich eh schon gmacht, weil
Likemike>"...Der Businesstechniker meinte ich muss jedoch auf ***.***.***.210 die VPN-Verbindung
einrichten (wegen NAT sagte er)..." :)[/s]

//edit:
ano hat was anderes gmeint
Zuletzt geändert von zid am Mi 16 Jul, 2008 00:12, insgesamt 1-mal geändert.
zid
Board-User Level 3
Board-User Level 3
 
Beiträge: 1080
Registriert: Fr 23 Jun, 2006 09:08
Wohnort: wien

Beitragvon ANOther » Di 15 Jul, 2008 18:05

Der IpCop hat intern die auf der ROTEN Schnittstelle die IP 10.0.0.140, das Speedtouch hat 10.0.0.138 (hat der Techniker extra so umgestellt).

irgendwie hab ich DA was andres rausgelesen;)
Sex is like hacking. You get in, you get out, and you hope you didnt leave something behind that can be traced back to you.
ANOther
Board-Guru
Board-Guru
 
Beiträge: 5940
Registriert: Di 16 Aug, 2005 15:35

Re: BusinessSpeed + VPN + IPCOP

Beitragvon preiti » Di 15 Jul, 2008 18:19

Likemike hat geschrieben:Folgende Sachlage:
Privaterzugang per Businessspeed

Speedtouch 608i WL => IPCop => 08/15-D-Link-Switch => mehrere Rechner (einer davon WinXpPro mit Dateifreigabe als Datenspeicher
Welche anderen Betriebssysteme finden sich noch in deinem Netz? Gibts da auch Spielkonsolen oder andere Besonderheiten?
Um es dir leichter zu machen solltest du das 608i als Modem konfigurieren (lassen) bzw. alles, wirklich alles auf den IPCop forwarden. AuĂźerdem wĂĽrde ich das WLAN am 608i deaktivieren (lassen).
Likemike hat geschrieben:Ziel:
Per VPN-Tool der Telekom (Cisco-Client) ins LAN kommen um auf dem Datenspeicher Dateien abzurufen bzw zu speichern.
Warum muss es unbedingt der Cisco-Client sein. In vielen Foren wird als VPN-Client zum IPCop OpenVPN verwendet.
Likemike hat geschrieben:Noob-Frage:
Was muss auf dem IPCop eingestellt werden, damit ich ganz normal auf das LAN zugreifen kann?
Was ich bis jetzt so mitbekommen habe UDP 500 und 4500 forwarden (IP-Sec), aber an welche Zieladresse?
Anleitungen bzw. Links dazu findest du im deutschen IPCop-Forum.
preiti
Advanced Power-User
Advanced Power-User
 
Beiträge: 3691
Registriert: Mi 03 Mär, 2004 23:19

Beitragvon zid » Di 15 Jul, 2008 18:24

[s]>"...irgendwie hab ich DA was andres rausgelesen;) ..."
na ja, lesen is jetzt nicht so meine stärke, trotzdem hat die gschicht ein konsistentes gsicht, denn:
Likemike>"...PC => Switch => (192.168.1.1) IpCop (10.0.0.140) => (10.0.0.138) Speedtouch ***.***.***.210..."
jutta>"...wenn du hier postest, hast du die xx.xx.xx.210..."

sieht also nach ganz normalen outbound doppelnat aus
ipcop green -> red: 192.168.1.0/24 -> 10.0.0.140
st: 10.0.0.140 -> ***.***.***.210

so gesehen- und nicht gelesen, meine schwäche ;) - müßte der betreuer die anwendung "IPSEC-IKE" (p500 u. p4500, vorkonfiguriert am 608er) auf den cop (10.0.0.140) weiterleiten, was er auch getan haben dürfte, weil ja sonst keine red wär von:
Likemike>"...Der Businesstechniker meinte ich muss jedoch auf ***.***.***.210 die VPN-Verbindung
einrichten (wegen NAT sagte er)..."[/s]

btw. was sagst'n dazu:
Likemike>"...Wenn ich im Browser jedoch diese 210er-Adresse eingebe kommt eine Passwortabfrage des Speedtouch, auf welches ich wiederum keinen Zugriff habe, da es Ferngewartet wird..."
unterhaltungswert hoch, tabiz scheint noch lustiger zu sein als aontv.ini... :)

//edit:
das ist nur der status quo und hat nichts mit anos vorschlag zu tun...
Zuletzt geändert von zid am Mi 16 Jul, 2008 00:18, insgesamt 1-mal geändert.
zid
Board-User Level 3
Board-User Level 3
 
Beiträge: 1080
Registriert: Fr 23 Jun, 2006 09:08
Wohnort: wien

Re: BusinessSpeed + VPN + IPCOP

Beitragvon jutta » Di 15 Jul, 2008 18:54

preiti hat geschrieben:Um es dir leichter zu machen solltest du das 608i als Modem konfigurieren (lassen) bzw. alles, wirklich alles auf den IPCop forwarden.


ich widerspreche dir ungern, weil du sehr oft recht hast, aber das wird nicht funktionieren. 1. gibts bei ta-biz keine "modem" (aka "bridge" = pptp-to-pppoa-relay) konfiguration. 2. koennen bei einer bridge-konfiguration keine ports geforwardet werden und 3. wuerde der ip-cop, wenn man das modem trotzem wie bei einem aon speed anschluss konfiguriert, eine private ip adresse bekommen. damit ist surfen nur sehr eingeschraenkt moeglich ;)
jutta
Administrator
Administrator
 
Beiträge: 30473
Registriert: Do 15 Apr, 2004 10:48
Wohnort: wien

Beitragvon jutta » Di 15 Jul, 2008 19:04

zid hat geschrieben:unterhaltungswert hoch, tabiz scheint noch lustiger zu sein als aontv.ini... :)


jo, nmap findets auch lustig und vermutet wild drauflos ;)

All 1680 scanned ports on xx.xx.xx.210 are filtered
Device type: switch|printer|general purpose|firewall
Running: Cisco embedded, Lexmark embedded, Microsoft Windows 95/98/ME|NT/2K/XP, Symantec Solaris 8
OS details: Cisco Catalyst 2820 switch Management Console, Lexmark Optra S Printer, Microsoft Windows 98SE + IE5.5sp1, Microsoft Windows NT 4.0 SP 6a + hotfixes, Symantec Enterprise Firewall v7.0.4 (on Solaris 8 )


500/tcp filtered isakmp
4500/tcp filtered sae-urn

@Likemike: der ip-cop ist ja eine firewall - hast du die 2 ports freigegeben?
jutta
Administrator
Administrator
 
Beiträge: 30473
Registriert: Do 15 Apr, 2004 10:48
Wohnort: wien

Beitragvon wicked_one » Di 15 Jul, 2008 21:54

Diskussion Ende - lösung:

Die TA Support Hotline anrufen, du hättest gerne den Router auf Routing eingestellt - dannach bekommt der IPCop auf der roten schnittstelle die *.210, die *.209 wird die IP des Speedtouch aka dein Gateway - dann kannst du mit OpenVPN dir einen VPN Connect zum IPCop basteln und das Speedtouch braucht keine Portforwardings oder ähnlichen mist mehr.
Never a mind was changed on an internet board, no matter how good your arguments are...

- I Am Not A Credible Source
wicked_one
Board-Guru
Board-Guru
 
Beiträge: 12244
Registriert: Mo 18 Apr, 2005 20:14

Nächste

ZurĂĽck zu ANTIVIRUS & SECURITY

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 26 Gäste