bintec RS120 - pptp durchschleifen?

towa

towa

Enthusiast
Thread Starter
Mitglied seit
31.01.2005
Beiträge
2.973
Ort
Südlichstes NRW
Hallo Leute,

da kauft man einen schicken neuen Router und steht nach der Grundeinrichtung direkt vor einem Problem :hmm:
Folgender Aufbau:
Internet Unitymedia FB6360 (beschnitten da 5 statische IPs) --> bintec RS120 --> ISA Server (2. Instanz welche auch VPN macht)

Nun lässt sich der bintec (zumindest theoretisch) sehr einfach konfigurieren und legt direkt auch 4 Standardrouten an,
welche mir mehr oder weniger einleuchten... :fresse:
Ich würde einfach mal Bilder sprechen lassen.

IP-Konfiguration:
IPconf.jpg


NAT:
NAT.jpg

1-4 ist der WAN Port.

Routen:
Routen.jpg

Standardrouten von der Einrichtungskonfiguration angelegt... :hmm:


Internet an sich funktioniert schnell und problemlos, nun müsste ich nach meiner Logik
eine Route und/oder eine Firewallfreigabe einrichten...
Leider versagt beides, stelle ich eine Firewallrichtlinie ein komme ich anschließend nicht mehr an den Router,
muss neustarten und er hat die Richtlinie wieder rausgeworfen.
FW.jpg

Bei Interfaces habe ich auch schon "ANY" und "ANY" versucht, keine Chance, kaum eingefügt, noch nicht
mal die Konfiguration gespeichert, aber 1min später reißt die Verbindung zum Router einfach ab. :sick:

Die Routen kann man wie folgt konfigurieren:
Route.jpg

Aber die Firewall sollte doch ausreichen?

Hat das jemand bei nem bintec schon mal gemacht?
bintec hat zwar ne riesen FAQ, gefunden habe ich da aber noch nichts. :(

Danke und Grüßlies
ToWa
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Ich kenne zwar das Gerät nicht, aber nur mal Grundsätzlich.
Zwei default Routen (dein drittes Bild), also die beiden Einträge mit 0.0.0.0 und der Maske 0.0.0.0 machen irgendwie keinen Sinn... Es kann bzw. sollte nur eine default Route geben. Und wenn du dort Redundanzen über zwei WAN Leitungen schaffen wölltest, dann sollte die Metrik auch unterschiedlich sein (nach der Metrik wird die Priorität gewählt, wie die Route greift)

Der nächste Punkt, IP Adresssettings. Das interne 1-1 Interface läuchtet mir noch ein. Dein Netz ist ein Class C Netz mit 254 Adressen, wie man an der Maske sieht.
Ist es richtig, das die Maske für die Public IP des WAN Ports auch Class C ist!? Weil das ist reichlich unlogisch, wenn du nen achter public IPs vom Provider hast. Wäre es nämlich eine 255.255.255.248. Die erste ist die Netzadresse, die letzte die Brodcast Adresse, eine geht für den Providerrouter (die FB) drauf und 5 hast du nutzbar...

Dritter Punkt, der ISA Server, hat der eine der public IPs, oder steht der intern in ner DMZ zum Beispiel mit ner privat IP?


Und nochwas zur Verfahrensweise. Du brauchst an der Stelle eigentlich nur bedingt Routing. Entweder du machst ein NAT, ggf. sogar ein statisches (1:1) NAT von einer deiner fünf nutzbaren public IPs auf den ISA Server. Oder du hängst den ISA direkt public mit an die FB.
Via Routing allein wird das ganze so wohl nicht ohne weiteres lösbar sein... Das geht genau dann, wenn du das public Interface des ISA Servers direkt ins INet hängst. Sprich direkt an die FB.

Bleibt also die NAT Geschichte. Gehst du dabei von einer genutzten public IP aus, muss es eine Adressübersetzung auf Protokollebene sein. So nach dem Motto. Alles was an Anfragen auf der public IP x.x.x.250 reinkommt und Protokoll pptp ist wird intern auf die IP des ISA Servers genattet.
Könnte man machen, wäre ggf. aber unsauber und bringt Probleme mit sich, gerade wenn es um VPN Tunnel geht ;) was du ja machen willst.
Da du fünf IPs nutzbar hast, wäre ein Subinterface am Router (kein Plan ob die Kiste das kann, denke aber schon) sinnvoller, bzw. sofern das machbar ist, ne zweite public IP auf einem anderen Interface. Der Router scheint ja mehrere zu haben.
Diesem Subinterface/zweiten Interface gibst du beispielsweise die public IP x.x.x.251. Und richtest ein statisches NAT zwischen der x.x.x.251 und der private IP des ISAs ein.
Das geht wie ich das im Handbuch sehe beispielsweise dort in deinem zweiten Bild oben mittig unter NAT Konfiguration.

PS: wie ich gerade im Handbuch lese, scheint der Router selbst kein direktes 1:1 NAT machen zu können. Es wären also zwei Regeln nötig. Einmal für eingehend. Einmal für ausgehend. WICHTIG!! Vergisst du die ausgehende Regel, so gehen die Rückpakete der VPN Connections über die andere public IP raus. Das gibt Probleme.
Heist also, eine eingehende NAT Regel von beispielsweise 1-3 mit der IP x.x.x.251 auf ISA Intern 192.168.2.100 (Beispiel) für beliebige Protokolle sowie eine ausgehende NAT Regel von Intern ISA 192.168.2.100 auf x.x.x.251 ebenso beliebige Protokolle. Diese Regel sollte optimalerweise oberhalb der default NAT Regel für das ganze 192.168.2.0/24er interne Netz stehen. Sonst würde die erste Regel, die greift auch genommen werden. Da die ISA NAT Regel aber spezifischer ist, greift diese nur, wenn der ISA dort involviert ist.

Im letzten Schritt sollte dann noch die Firewall angepasst werden. Ich weis nun nicht genau, was der ISA Server bei pptp für Ports nutzt. Müsstest du ggf. nachlesen bzw. nachschauen, ob man das fix drehen kann. Denn das muss in der Firewall sowohl für Traffic von extern (also any) nach Intern (also die IP des ISAs) erlaubt sein, genau so wie von Intern (ISA) auf any extern.


Das ganze sollte zusammengefasst also drei NAT Regeln ausmachen. Eine eingehende von public ISA (x.x.x.251) auf ISA IP intern mit any Services, eine ausgehende von intern ISA auf public ISA sowie eine für das interne Netz (192.168.2.0/24) im ganzen auf public extern (x.x.x.250).
Dazu dann die Firewall mit anpassen, sprich auch die notigen Protokolle und Ports für beide Verbindungswege erlauben.
Des weiteren benötigst du wie gesagt ne zweite IP auf dem WAN Port bzw. ein zweites Interface WAN seitig mit der x.x.x.251
Dazu prüfe des weiteren die Default Route 0.0.0.0 0.0.0.0 gateway 192.168.2.1. Denn diese macht keinen Sinn... -> löschen!


EDIT: was mir gerade noch so einfällt. Der pptp passthrougt Eintrag da auf einem deiner Bilder, der bezieht sich allein auf Traffic von Intern nach Extern. Ist leicht verwirrend. Ist aber leider so ;)
Hat mir deinem Problem also absolut gar nix zu tun...
 
Zuletzt bearbeitet:
Hi, super, danke schon mal...
arbeite mich da mal durch ;)
Zwei default Routen (dein drittes Bild), also die beiden Einträge mit 0.0.0.0 und der Maske 0.0.0.0 machen irgendwie keinen Sinn...
Zum Vergrößern anklicken....
Genau meine Meinung, hat er aber standardmäßig angelegt nachdem ich den Internetzugriff im Router konfiguriert habe. oO

Noch mal zum eigentlichen Netz...
Internes IP Netz (Local LAN) 192.168.1.x (Subnetz 255.255.255.0)
DMZ zwischen ISA und Router 192.168.2.x (Subnetz 255.255.255.0) --> könnte man eingrenzen is mir aber erst mal wichtig dass es faktisch funktioniert. ;)
WAN zwischen Router (x.250) und 6360er Modem (x.249) xx.xx.xx.? (Subnetz könnte ich auch hier eingrenzen, wohl wahr lief aber mit dem Netgear zuvor auch so)

Ich spiele mal ein wenig, hab die Kiste aber gestern schon 5x nem Reset unterzogen weil ich immer nicht mehr dran kam, etwas nervig :d
 
Beim WAN Netz solltest du definitiv eingrenzen, da euch nur die 8 IPs zugehörig sind ;) Die anderen im Class C definierten Bereich könnten irgendwelche Webserver sein, auf die du potentiell mal Zugriff benötigst. Mit der aktuellen Einstellung, sprich der Class C Maske wirst du diese definitiv nicht erreichen, weil der Router denkt, er müsste diese direkt mit seinem Interface sehen ;)

Wenn das 192.168.2.0/24er Netz das DMZ Netz ist, dann kann es durchaus auch 254 Adressen groß sein. Ist ja im Grunde auch egal.
Ne IP des local LAN (192.168.1.0/24) sehe ich aber aktuell nicht auf deinen Bildern... Sprich damit kann der Router auch nix anfangen... Nicht das du dich deswegen abschießt!?

Die zweite default Router da kannst du übrigens rauskicken. Das sollte über den Löschen Button machbar sein, denke ich. Warum die da rein kommt, ist mir aber rätzelhaft. Sinn macht die definitiv keine :fresse:
Wenn er die allein angelegt hat, würde ich nochmal den Internet Einrichtungsassistent beäugen. Wobei mich wundert, was du da einrichten musst. Denn der Router routet nur stumpf Traffic. Da gibts absolut nichts zu konfigurieren. Außer ggf. einem NAT Eintrag von intern auf die public IP. Diesen NAT Eintrag sollte man dann natürlich auch aufs richtige Interface auf dem Router festziehen, sonst gibts da Probleme.

Eventuell fängst du da einfach nochmal von vorn an. Sprich zwei interne Netze auf zwei internen Ports am Router (bzw. auf einem Port mit VLANs gearbeitet, geht auch)
Dann zwei public IPs wie oben erwähnt auf zwei Ports, bzw. einem Port und Subinterface.
Dazu dann die NAT Geschichte im ersten Step, sowie die Firewall im zweiten.

Mehr ist eigentlich nicht zu tun :fresse:

PS: achso, was ich oben noch vergessen habe. Es wäre wohl ratsam, wenn es routing zwischen internem LAN und DMZ stattfindet. Diesem Routing sollte man aber das NAT verbieten. ggf. ist hierfür ein dedizierter Eintrag notwendig. Einfach damit auch die Logeinträge auf dem ISA zum Beispiel das richtige anzeigen, wenn ein Client aus dem internen LAN auf den ISA in der DMZ zugreift. Wäre hier ein NAT eingerichtet für diese Verbindung, würde man nur die NAT IP sehen. Und somit keine Rückschlüsse mehr haben, wer das nun war.
 
Zuletzt bearbeitet:
Also habe gerade erst mal den überflüssigen Mist ausgeräumt, noch geht's ;D
Diese Standardroute 192.... hab ich gelöscht, ebenso die Internetverbindung, welche der Router standardmäßig mit der IP angelegt hatte,
wie gesagt, warum weiß wohl nur bintec ;)

Das Subnetz vom WAN hab ich auch eingegrenzt, die Idee den VPN Tunnel und das Internet zu trennen find ich sehr gut,
hatten wir bisher nicht, werd ich mich aber umgehend mal dran versuchen. :)
 
Was meinst du mit VPN Tunnel und Internet trennen!?
Ich bin leicht verwirrt... :fresse:
 
Der einzige der hier wohl verwirrt ist bin ich :stupid:
Also die Sache ließ mir keine Ruhe, ich lass noch mal ein paar Bilder sprechen,
vorweg, es geht immer noch nicht :d

NAT Konfiguration:
natconf.jpg


Wie man sieht habe ich jetzt den Router mit nem 2. Kabel (*.251) an der FB6360 und somit den VPN Port getrennt.
War das so gemeint? :hmm:

Firewallrichtlinien:
fwri.jpg


--> Seit ich LAN auf LOCAL drin hab, hat er mich nicht mehr ausgesperrt :bigok: schon mal nen Anfang.

Da dort nur Gruppen stehen, hier die Liste dazu:
fwgroup.jpg


Btw. der ISA horcht auf den Standardport, sollte somit eigentlich kein Thema sein, leider Fehlanzeige :(
Entweder hab ich da jetzt noch nen Denkfehler drin, oder der mag mich nicht...
Vielleicht sehe ich die Dinge morgen klarer? ;)

In diesem Sinne noch mal nen schönen Dank und erst mal ne gute Nacht.
 
So, erledigt...
Wichtig war in der Firewall noch GRE freizugeben :)

Alles lüppt, stelle später noch ein paar Screens rein für die Nachwelt. *g*
 
Ich würde wie oben schon gesagt noch empfehlen, das NATing für den ISA für beide Richtungen auf any Services zu setzen. Einfach aus dem Grund, so wie es jetzt ist, geht pptp Traffic über dei .251 raus, aller andere aber über die wohl .250. Das ist unglücklich...
 
Huhu nee die Screens sind alt ;D
Mache gleich neue, hab erst mal alles wie vorher beim Netgear über die 250er laufen,
wichtig war heute erst mal dass es läuft, wurde nämlich schon vermisst.
Bei der 2. IP (251) schau ich noch mal separat. :)

Edit:
So habe die Bilder in den alten Beiträgen mal gelöscht, verwirrt ja nur, das Ergebnis zählt erst mal.

Zu allererst die Routen:
_routen.jpg


Dann die NAT-Konfiguration:
_nat.jpg


Und zum Abschluss die Firewall
_fw.jpg

Legende:
Die Gruppe VPN besteht aus pptp & GRE!
 
Zuletzt bearbeitet:
Und den "normalen" Traffic legst du dann auf Interface 1-1, 1-2, 1-3 oder 1-5?
Weil im Moment fehlt scheinbar die NATing Regel für jeglichen anderen Traffic außer pptp und GRE...

Ansonsten schaut das erstmal soweit gut aus...
 
Der restliche Traffic?
Ist lediglich Internet und das ist eben die Defaultregel mit Metrik 1, ja man könnte es noch definieren, wäre vielleicht ne saubere Sache? :)

Der Router hat nur (klick):
1 - 0 --> LAN Port zum ISA
1 - 1
1 - 2
1 - 3
1 - 4 --> WAN Port

Aber vielleicht sollte ich da wirklich noch ne direkte NAT einrichten, nur was spricht dagegen die auch über 1 - 0 auf 1 - 4 laufen zu lassen?
Vor allem hat der ISA-Server nur einen Uplink :(
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh