Dummie braucht Hilfe bei VPN

Happy-Max

Neuer User
Mitglied seit
16 Mai 2008
Beiträge
12
Punkte für Reaktionen
0
Punkte
0
Hallo!

Vielleicht kann mir jemand helfen, ich muss auf die Oberfläche eines Rechners zugreifen können und weiß leider nicht, wie ich das anstellen soll. Die

================================================
Konstellation ist Folgende:

Server ( Auf diesen Rechner möchte ich zugreifen):

OS: Win2003 Server

2 Netzwerkkarten
IP des Servers im internen Netzwerk 192.168.1.251

IP des Servers im Internet 192.168.0.251
Fritzbox 7270 IP: 192.168.0.254

DynDNS Zugang ist eingerichtet meinName.dyndns.org

Client:

WinXP Pro
IP: 192.168.2.x
FB 7170 192.168.2.254

================================================

Nun habe ich laut Anweisung AVM die Konfiguration vorgenommen, in den cfg Dateien stehen aber die Standard IPs der FB 192.168.178.x

Eine Verbindung kommt immerhin zu Stande, nur kein Zugriff auf den Rechner. Nun meine Frage:

Wie (oder mit welchem Programm) kann ich auf die Oberfläche des Servers zugreifen? Wie ist die Richtige Syntax in den cfg's?

Gibt's VPN für Dummies?

Vielen Dank schon mal im Voraus.

Grüße,
Happy-Max
 
Nun habe ich laut Anweisung AVM die Konfiguration vorgenommen, in den cfg Dateien stehen aber die Standard IPs der FB 192.168.178.x

Verstehe ich nicht.
Du musst doch beim Einrichten mit dem Programm FRITZ!Fernzugang die IP-Adressen angeben. Dort hast Du dann wohl die Standardadressen eingetragen. Aber die cfg-Datei lässt sich problemlos mit einem Editor bearbeiten.

Wie (oder mit welchem Programm) kann ich auf die Oberfläche des Servers zugreifen?

Also ich benutze dies hier: http://ultravnc.sourceforge.net/ und bin damit sehr zufrieden.

Wie ist die Richtige Syntax in den cfg's?

Was sit Dir denn unverständlich?

Gibt's VPN für Dummies?

Keine Ahnung.
 
Hi PeterFa,

danke für Deine schnelle Antwort.

Wie ist die Richtige Syntax in den cfg's?

fritzbox.cfg:

remote_virtualip = Ist das die IP des "Anrufers" im Netzwerk des Servers? Da ich ja bei meinem Server 2 IP-Adressbereiche habe und auf die anderen PCs zugreifen will, welche IP ist dann richtig? Die 0.x oder die 1.x?


vpnuser.cfg

virtualip = Muss das die Gleiche sein, wie oben?

accesslist = "permit ip any 192.168.0.254 255.255.255.255"

Jetzt ist da ja nur eine IP eingetragen, wie realisiere ich denn den ganzen Adressbereich? Kann ich da auch mehrere IPs eintragen, denn das 0er Netzwerk ist ja das für's Internet ich will aber auf's 1er.

Grüße,
Happy-Max
 
Wieso einfach, wenn's auch kompliziert geht. :gruebel:
Wenn Du "nur" mal auf den anderen PC zugreifen willst, dann nimm doch einfach den Teamviewer. Nur starten, auf der anderen Seite die ID und dass genereirte Passwort eingeben und schon kannst Du diesen steuern.
 
@ Novize:

Mein Problem ist, dass niemand vor Ort ist um eine Sitzung zu starten! Und da ich das Problem der gleichzeitigen Anwesenheit an zwei Orten noch nicht gelöst habe, versuche ich es erst mal so. ;)

Mein Problem ist, dass ich zwar die Verbindung aufbauen kann, aber keinen ping schaffe und dementsprechend auch keinen Rechner erreiche.

Grüße,
Happy-Max
 
Per VPN kommst Du in das andere Netz hinein, aber nicht auf den anderen PC, also bringt Dir das nicht viel. Du musst sowieso mit einer Fernsteuerungssoftware arbeiten.
Wenn Dir der Teamviewer nicht zusagt, dann nimm halt einen anderen, der meinetwegen dauerhaft mit dem PC mitgestartet ist. (Egal, ob direkt den Remote-Desktop von MS, PC-Anywhere, VNC oder was auch immer)
Du musst nur in dem Router die entsprechenden genutzen Ports zu dem auserwählten PC weitergeleitet haben.
 
@ Novize:

Es ist mir schon klar, dass ich nicht so auf den PC komme, dass habe ich inzwischen gelernt. Es geht mir nur darum, dass ich auch per Remotedesktop die Verbindung nicht hinkriege, was wohl etwas mit den Berechtigungen oder eingerichteten Ips zu tun hat.

Ich komme im Browser auf die entfernte FB, so dass ich sicher bin, dass die Verbindung steht. Es hat wohl was mit der Form der IPs in der cfg zu tun. Irgendwas mit 192.168.1.254 255.255.255.0 oder 255.255.255.255 oder so.

Grüße,
Happy-Max
 
fritzbox.cfg:

remote_virtualip = Ist das die IP des "Anrufers" im Netzwerk des Servers? Da ich ja bei meinem Server 2 IP-Adressbereiche habe und auf die anderen PCs zugreifen will, welche IP ist dann richtig? Die 0.x oder die 1.x?

Bei mir steht dort 0.0.0.0



Brauche ich eigentlich nicht.
Wenn Du einen Rechner im entfernet Netz "anwählst" bauen die Router (Fritz!Boxen) eine LAN zu LAN Verbindung auf und Du kannst auf die entfernten Rechner wie im eigenen LAN zugreifen.

Aber ich poste Dir mal meine beiden cfg-Datein.

die eine Seite:
Code:
vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "****.homeip.net";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "****.homeip.net";
                localid {
                        fqdn = "****.dyndns.org";
                }
                remoteid {
                        fqdn = "****.homeip.net";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "*mein Passwort (in beiden Dateien gleich!)*";
                cert_do_server_auth = no;
                use_nat_t = no;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.100.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.200.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF
und die andere Seite:

Code:
vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "****.dyndns.org";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "****.dyndns.org";
                localid {
                        fqdn = "****.homeip.net";
                }
                remoteid {
                        fqdn = "****.dyndns.org";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "*mein Passwort (in beiden Dateien gleich!)*";
                cert_do_server_auth = no;
                use_nat_t = no;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.200.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.100.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF
Posting 2:
Du musst nur in dem Router die entsprechenden genutzen Ports zu dem auserwählten PC weitergeleitet haben.

Wenn Du die LAN zu LAN Kopplung machst brauchst Du das nicht.
 
Zuletzt bearbeitet von einem Moderator:
@PeterFa:

Ich möchte aber keine LAN-LAN Koppelung, da auch andere auf die PCs zugreifen sollen und wenn die unterwegs sind haben die keine FB dabei. Es geht definitiv nur um den Zugang für EINEN Benutzer.

Grüße,
Happy-max
 
Happy-Max: Du willst also immer nur mit irgendeinem PC von unterwegs aus per Fernsteuerung auf einen fixen PC in Deinem Netz?
Dann gehe doch bite hin, und änder Deinen Threadtitel dahingehend ab, denn dort (und in Deinem Eröffnungsbeitrag) geht es ja primär um VPN (Virtual Private Network), was aber überhaupt nicht notwendig ist und alles nur unnötig verkompliziert.
Einen PC fernsteuern machst Du einfach mit einer beliebigen Fernsteuerungssoftware und einer Portfreigabe auf dem Router. Mehr ist nicht erforderlich, also löse Dich bitte von dem komplizierten Konstrukt VPN für eine schnöde Fernsteuerung!
Wenn Du den Eröffnungsbeitrag (bzw deren Titel) korrigiert hast, dann sammel Dich mal bitte und schilder mal, womit (mit welchem Programm) Du den PC steuern willst. Dann erkläre anschließend, was Du im Router eingerichtet hast, um auf den PC zu kommen.
 
@PeterFa:
key = "*mein Passwort (in beiden Dateien gleich!)*";

Lt. frank_m24 (siehe Link: http://www.ip-phone-forum.de/showthread.php?t=168013) musst Du für "key" kein Passwort eingeben. Du kannst das aus dem Beispiel übernehmen bzw. belassen.

frank_m24 hat Folgendes geschrieben:
Hallo,

das Tool "Fernzugang einrichten" erzeugt bei jedem Durchlauf einen neuen Key. Von daher kann ich mir kaum Vorstellen, dass es zwei mal den gleichen Key erzeugt.

phas2ss sind eh nur die erlaubten Verschlüsselungssysteme. Aus Security-Sicht sind die unkritisch. Nur kannst du technisch keine Verbindung mehr aufbauen, wenn du die änderst.
 
@ Novize:

Wie bereits gesagt, bin ich Dummie auf dem Gebiet! Ich bin für jeden Tipp dankbar.

Wenn Du also eine einfache und SICHERE Verbindungsmöglichkeit für mich hast, wäre ich dankbar. Habe mir UltraVNC mal angesehen, musste aber leider feststellen, dass es viel zu kompliziert für mich ist. Leider habe ich keine Ahnung welches Programm dafür geeignet ist. Da es sich aber um geschäftliche Daten handelt, sollte es schon sicher sein. Deswegen empfahl mir jemand VPN. Da nicht nur ich diese Verbindung nutzen werde, sondern auch Andere ist mir Sicherheit nach außen sehr wichtig!

Meine Konfiguration habe ich ja schon gepostet.

Habe inzwischen auch per VPN die Verbindung herstellen können, leider gelingt mir der Zugriff auf das interne Netzwerk noch nicht. Muss ich die IPs in die Acesslist eintragen und wenn das klappt, mit welcher Software kann ich dann auf die Desktops zugreifen?

Grüße,
Happy-Max
 
@panduro:

Das hilft mir nicht, denn die Sitzung muss jedes Mal durch jemanden bestätigt werden. Wenn aber keiner vor dem Server sitzt, ist dies nicht möglich. Insbesondere nicht am Wochenende oder an Feiertagen!

Warum funktioniert der WindowsRemoteDesktop nicht über die IP des entfernten PCs?

Grüße,
Happy-Max
 
@Happy-Max:

Kannst Du die IP des entfernten PC anpingen?
Hast Du auf dem entfernten Rechner die Ports für WindowsRemoteDesktop, in der FB an die IP des entfernten Rechners, weitergeleitet? Ist dir bekannt welche Ports Du weiterleiten musst?
 
Zuletzt bearbeitet:
Anpingen klappte ohne Probleme!

Wie realisiere ich so eine Weiterleitung und welche Ports? Leider weiß ich das nicht. Im "normalen" Netzwerk brauche ich diese Portfreigabe doch auch nicht. Warum hier?
 
Habe mir UltraVNC mal angesehen, musste aber leider feststellen, dass es viel zu kompliziert für mich ist.

Es gibt kaum was simpleres als (Ultra-)VNC um aus der Ferne auf andere Rechner zu schauen.

Einfach downloaden, installieren, sicherstellen, dass der Server-Service automatisch gestartet wird (dann kommst Du nämlich schon ohne angemeldeten Benutzer auf den Rechner) und ein Passwort vergeben. Anschliessend nicht vergessen den Port (Standard=5900) in der Windoof-Firewall zu öffnen!!!



Wie realisiere ich so eine Weiterleitung und welche Ports? Leider weiß ich das nicht. Im "normalen" Netzwerk brauche ich diese Portfreigabe doch auch nicht. Warum hier?

Zum warum: Ich gehe mal davon aus, dass der entfernte Rechner hinter einem Router sitzt. Folglicherweise musst Du im Router eintragen, dass Anforderungen auf dem Port für VNC (Standard=5900) auf die IP-Adresse des zu überwachenden Rechners weitergeleitet werden. Ansonten würde die Firewall im Router die Anforderung verwerfen. Wenn beide Rechner im gleichen Netzwerk sind brauchste das natürlich nicht machen. Wenn Du per VPN-angebunden bist (Ausgangsfrage) eigentlich auch nicht, da Du ja praktisch im gleichen Netzwerk bist. Abba das VPN haste ja (noch) nicht hinbekommen.
 
@loennermo:
Leider ist dem nicht so. Hatte bereits eine funktionierende VPN Verbindung und konnte die anderen Rechner auch anpingen, aber trotzdem gelang mir keine Verbindung mit Ultra VNC. Der Serverdienst lief, aber dennoch keine Verbindung. Es gab da mehrere Einstellungen mit Kennwort und so, ich wurde aber nie nach einem Kennwort gefragt.

So einfach, wie sich die Profis das vorstellen, ist es im Leben eines Laien leider nicht. Bin für jeden Tipp dankbar.

Grüße,
Happy-Max
 
Leider habe ich nichts mehr gehört, mein Problem besteht aber weiterhin!

Ich habe die Verbindung etabliert und komme auch auf die Oberfläche der entfernten Fritzbox. Leider sind aber weitere Rechner im Netzwerk nicht erreichbar.

Hier mal meine CFGs:

fritzbox.cfg:
Code:
/*
 * C:\...
 * Mon Jul 21 14:36:43 2008
 */

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_user;
                name = "xxx";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.0.249;
                remoteid {
                        user_fqdn = "xxx";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "****************";
                cert_do_server_auth = no;
                use_nat_t = no;
                use_xauth = no;
                use_cfgmode = no;
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = 
                             "permit ip 192.168.0.0 255.255.255.0 192.168.0.249 255.255.255.255";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

==============================================

vpnuser.cfg:
Code:
/*
 * 
 * Mon Jul 21 14:36:43 2008
 */

version {
        revision = "$Revision: 1.30 $";
        creatversion = "1.1";
}


pwcheck {
}


datapipecfg {
        security = dpsec_quiet;
        icmp {
                ignore_echo_requests = no;
                destunreach_rate {
                        burstfactor = 6;
                        timeout = 1;
                }
                timeexceeded_rate {
                        burstfactor = 6;
                        timeout = 1;
                }
                echoreply_rate {
                        burstfactor = 6;
                        timeout = 1;
                }
        }
        masqtimeouts {
                tcp = 15m;
                tcp_fin = 2m;
                tcp_rst = 3s;
                udp = 5m;
                icmp = 30s;
                got_icmp_error = 15s;
                any = 5m;
                tcp_connect = 6m;
                tcp_listen = 2m;
        }
        ipfwlow {
                input {
                }
                output {
                }
        }
        ipfwhigh {
                input {
                }
                output {
                }
        }
        NAT_T_keepalive_interval = 20;
}


targets {
        policies {
                name = "xxx";
                connect_on_channelup = no;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                virtualip = 192.168.0.249;
                remoteip = 0.0.0.0;
                remotehostname = "xxx";
                localid {
                        user_fqdn = "xxx";
                }
                mode = mode_aggressive;
                phase1ss = "all/all/all";
                keytype = keytype_pre_shared;
                key = "*********";
                cert_do_server_auth = no;
                use_nat_t = no;
                use_xauth = no;
                use_cfgmode = no;
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.0.0 255.255.255.0";
                wakeupremote = no;
        }
}


policybindings {
}


// EOF
=========================================

Hat irgendjemand eine Idee warum ich nicht auf weitere PCs im Netz komme?

Des Weiteren habe ich da noch das andere Netzwerk mit der Adresse 192.168.1.x

AVM gab mir den Tipp, es mit einer Route zu versuchen:

Netzwerk 192.168.1.0
Subnetzmaske 255.255.255.0
Gateway 192.168.0.254

Leider kann ich auch keinen dieser PCs erreichen.

Bitte um Hilfe, es ist dringend!

Grüße,
Happy-Max
 
Zuletzt bearbeitet von einem Moderator:
Habe zwar selber noch kein VPN damit aufgebaut (nutze nur die Windows-Funktion weil der Gegenseite ein VPN-Fähige Box fehlt) aber mir ist aufgefallen, daß
Code:
"permit ip 192.168.0.0 255.255.255.0 192.168.0.249 255.255.255.255";
die erlaubte IP-Range doch mit 255.255.255.255 für mein Verständnis auf eine einzige erlaubte IP einschränkt. Das würde auch zu Deinem Fehlerbild passen. Die Netzwerkmaske müßte IMHO doch auch 255.255.255.0 sein.

Vielleicht liegt es ja daran. Kann aber auch sein, daß ich da falsch liege.

Gruß Telefonmännchen
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.