VPN-Frage: Netgear ProSafe/DynDNS und VPN-Tunnel

[cKuehleis]

Hallo Forum,

kann mir jemand sagen, ob er folgende Konstellation schon mal erfolgreich eingerichtet hat?

Zwei Standorte jeweils per Netgear ProSafe Firewall-Router (nicht die normalen Consumer-Geräte) via DSL und je mit dynamischer IP im Internet. Die beiden ProSafe's sollen nun über den DynDNS-Namen des anderen einen VPN-Tunnel etablieren, um die lokalen Netze miteinander zu verbinden. Es müssen mehrere Geräte von einem ins andere Netz und umgekehrt.

Eigentlich ein logischer Aufbau, der aber ständig scheitert. Können die ProSafe's nur VPN-Endpunkte mit festen IP's ansprechen? Oder muss mind. einer eine feste IP haben, dass der andere ihn problemlos finden kann? Das als ID (nicht IP) des anderen jeweils die 0.0.0.0 eingetragen werden muss, ist mir auch klar. Aber der Verbindungsaufbau klappt trotzdem nicht - kann Netgear das nicht?

Hab bis jetzt immer eine Firewall mit fester IP auf einer Seite der Tunnels gehabt und steh nun vor dem Problem das gleiche nur mit zwei ProSafe's und dynamischen IPs lösen zu dürfen ... Hat da jemand schon eine Anleitung gefunden? Der Netgear-Support ist nicht gerade engagiert.

 

[maceis]

Ich kenn die Netgear Router nicht aus eigener Erfahrung.
Was für ein System und welche VPN Software läuft denn auf den Netgears?

Grundsätzlich ist das was Du beschreibst jedenfalls problemlos möglich.
Konfigurierst Du du Router über Webinterface oder via telnet/ssh.
Gibt's für Deine VPN Software keine logs/debug Ausgaben?

 

[cKuehleis]

Hallo,

hab mittlerweile eine kleine Anleitung gefunden: http://www.netzwerkrouter.de/portal/downloads.php?cat_id=4&download_id=257
Hieraus geht wenigstens hervor, dass eine Site-to-Site-Kopplung mit zwei dynamischen WAN-IP's funktioniert.

Auf den Netgear's wird die jeweils aktuelle Firmware verwendet. Da Datenblätter meist mehr versprechen als sie halten, wollte ich sicher gehen.
Ich komm bei der Konfiguration der Netgears etwas durcheinander, da dort die Eingabefelder etwas unglücklich bezeichnet sind.

Wie gesagt, habe ich mehr Erfahrungen mit der Firewall von Securepoint als VPN-Server. Da ist die Konfiguration schnell erledigt, wenn man sich mal zurecht gefunden hat.
Bei dynamischen IP's an den Endpunkten ist es halt etwas tricky, wenn man nicht genau weiss, wo man was (z.B. die 0.0.0.0 ID) eintragen muss. Da ich erst die PSK-Variante versuchen will, bevor ich mir die Zertifikate ansehe, würde mich eben interessieren, ob die Netgears das auch so problemlos können, wie die Router von Draytek, zumal die Netgears deutlich günstiger sind. Draytek kann aber keine Zertifikate einbinden, zumindest nicht nach meinem Wissensstand.

Melde mich wieder und werde berichten

 

[maceis]

...
Hieraus geht wenigstens hervor, dass eine Site-to-Site-Kopplung mit zwei dynamischen WAN-IP's funktioniert.

Sag ich doch .

...
Auf den Netgear's wird die jeweils aktuelle Firmware verwendet. Da Datenblätter meist mehr versprechen als sie halten, wollte ich sicher gehen.
Ich komm bei der Konfiguration der Netgears etwas durcheinander, da dort die Eingabefelder etwas unglücklich bezeichnet sind.
...

Ich wollte eigentlich auf etwas anderes hinaus. Wenn der Router unter einem embedded Linux läuft, kann man die Konfiguration direkt auf der Kommandozeile machen. Da kann einem dann die Bezeichnung der Eingabefelder im Webinterface egal sein . Außederm sieht man dann, welche vpn Software verwendet wird und kann sich die manuals ansehen.

...
Da ich erst die PSK-Variante versuchen will, bevor ich mir die Zertifikate ansehe, würde mich eben interessieren, ob die Netgears das auch so problemlos können, wie die Router von Draytek, zumal die Netgears deutlich günstiger sind. Draytek kann aber keine Zertifikate einbinden, zumindest nicht nach meinem Wissensstand.
...

Bei einem Router-Router Tunnel ist IMHO die PSK Konfiguration völlig ausreichend.
Zertifikate sind da definitiv nicht erforderlich, es sei denn, dass man zusätzliche Verbindungsmöglichkeiten für Road Warriors mit differenziertem Schlüsselmanagement benötigt.