VPN-Tunnel zwischen be.ip und be.ip PLUS

[weeweewee]

Hallo zusammen,

1. ich möchte insgesamt 10 be.ip als VPN-Clients einsetzen (HomeOffice), die eine Verbindung mit einer be.ip PLUS oder RS353 herstellen.
Ich möchte bewusst KEINE Client-Software (ShrewSoft, etc.) auf den Client-PCs einsetzen.
2. Zusätzlich würde ich gerne den Zugriff auf einzelne Protokolle im Zielnetz beschränken.

ich finde dazu weder bei Bintec noch bei der Telekom Beispiele dazu.

Das sollte doch generell möglich sein, oder?

Kann da jmd. helfen???

LG
Christian

 

[wari1957]

Das sollte doch generell möglich sein, oder?

Nein.
Nur mit entsprechenden IPSec-Clients.

 

[weeweewee]

Wirklich? Site2Site ist ja auch möglich...
- auch nicht ohne Assistent?

 

[SFA1492]

Hallo,
wie sieht das Geräte-Szenario im Homeoffice genau aus?
Etwa: Client-PC - be.IP - privater Router - Internet - be.IP plus/RS353?

 

[weeweewee]

genau so. Im HomeOffice Client-PC - be.ip - privater Router - internet
und in der Firma be.ip Plus + RS353

 

[Kalle2006]

Selbstverständlich geht eine LAN zu LAN - Verbindung zwischen zwei Bintec Routern.
Dafür gibt es doch die Auswahl im VPN - Assistenten des Routers.

 

[weeweewee]

Dabei geht es darum, keine Site2Site-Verbindung, sondern eine Client-Verbindung aufzubauen. Client-Router hat Verbindung zu Server-Router, aber andersherum nicht (ggfs wg keiner EIGENEN öffentlichen ipV4-Adresse, NAT etc.)

 

[Kalle2006]

Das Problem kann man durch die Firewall lösen, denn auch bei einer VPN - Einwahl ist das die Aufgabe der Firewall im Client bzw. dem Router.
Bei der VPN - Einwahl befindet sich der Client ohne NAT im VPN - Netzwerk.
Es gibt nur einen Unterschied zwischen der Einwahl und der LAN zu LAN - Verbindung: Bei der VPN - Einwahl bekommt der Client eine IP-Adresse im Zielnetzwerk. Das ist bei LAN zu LAN - Verbindungen anders.

 

[SFA1492]

Hallo,
grundsätzlich wird in beiden Fällen (Site2Site und Client2Site) ein nahezu gleicher VPN-Tunnel aufgebaut.

Client-Router hat Verbindung zu Server-Router, aber andersherum nicht

Wenn ich das richtig interpretiere, geht es hier um den Verbindungsaufbau. Einige Provider bieten keine öffentliche IPv4-Adresse (von außen ereichbar) an, sondern vergeben WAN-seitig eine Adresse aus dem Bereich 100.64.0.0 bis 100.127.255.255 (CG-NAT). Geräte hinter CG-NAT-Adressen sind somit von außen über IPv4 natürlich nicht erreichbar.
Beim zentralen Router sollte selbstverständlich eine öffentlich ereichbare IPv4-Adresse anliegen, idealerweise eine feste.

D.h. in diesem Fall muss der Verbindungsaufbau immer vom Homeoffice ausgehen.
Das macht meiner Meinung nach sowieso den meisten Sinn, so dass es eigentlich völlig schnuppe ist, welche IPv4-Adresse der Internetanschluss des Homeoffice-Mitarbeiters letzten Endes hat.
Welche Seite den Tunnel aufbaut, kann man in der Konfiguration der VPN-Tunnel in den Routern beim Startmodus entsprechend angeben:
Homeoffice-Router: immer aktiv
zentraler Router: auf Anforderung
Im zentalen Router kann in dem Fall auch keine gültige Peer-Adresse für das Homeoffice hinterlegt werden, das Feld bleibt dann leer. Der Router versucht dann nicht einmal, einen Tunnel zu einem der Homeoffice-Router aufzubauen.

Sobald der Homeoffice-Router läuft, wird der Tunnel von seiner Seite vorbereitet und sowie ein Paket drüber geht, fertig aufgebaut. Die Verbindung steht.

Wer dann wohin und wie zugreifen darf, klärt man - wie von Kalle2006 erwähnt - über die Firewall-Regeln.