inhalt - forum.an.de - foren-Übersichtforum.an.de/ipsec_genexis.pdf · ·...

Erreichbarkeit von VPN-Gateways hinter einem Genexis FTTH-Abschlussrouter

1

Dieses Dokument beschreibt die notwendigen Einstellungen, um ein VPN-Gateway hinter einer Genexis OCG-218M/OCG-2018M und HRG1000 LIVE! TITANIUM trotz NAT-Funktion erreichbar zu machen.

Inhalt 1 OCG-218M/OCG-2018M ................................................................................................................. 2

1.1 Dynamic DNS einrichten .......................................................................................................... 2 1.2 IP-Adresse im DHCP-Server für das VPN-Gateway dauerhaft reservieren ............................. 3 1.3 Protocol-Forwarding für Encapsulating Security Payload (ESP) .............................................. 4 1.4 Protocol-Forwarding für Authentication Header (AH) ............................................................ 5 1.5 Port-Forwarding für ISAKMP ................................................................................................... 6 1.6 Port-Forwarding für NON500-ISAKMP .................................................................................... 7 1.7 Port-Forwarding für Point-to-Point Tunneling Protocol (PPTP) .............................................. 8 1.8 Überblick Protocol-/Port-Forwardings .................................................................................... 9

2 HRG1000 LIVE! TITANIUM ............................................................................................................. 10 2.1 Dynamic DNS einrichten ........................................................................................................ 10 2.2 IP-Adresse im DHCP-Server für das VPN-Gateway dauerhaft reservieren ........................... 11 2.3 Protocol-Forwarding für Encapsulating Security Payload (ESP) ............................................ 12 2.4 Protocol-Forwarding für Authentication Header (AH) .......................................................... 12 2.5 Port-Forwarding für ISAKMP ................................................................................................. 13 2.6 Port-Forwarding für NON500-ISAKMP .................................................................................. 14 2.7 Port-Forwarding für Point-to-Point Tunneling Protocol (PPTP) ............................................ 15 2.8 Überblick Protocol-/Port-Forwardings .................................................................................. 16 2.9 DMZ Host einrichten ............................................................................................................. 17


2

1 OCG-218M/OCG-2018M

1.1 Dynamic DNS einrichten TOOLS => Dynamic DNS Enable Dynamic DNS: Haken setzen Server Address: DynDNS-Provider auswählen Host Name: eigenen Domain-Namen eintragen Username or Key: Registrierungsdaten eintragen (Benutzername) Password or Key: Registrierungsdaten eintragen (Passwort) Verify Password or Key: Registrierungsdaten eintragen (Passwort-Bestätigung) Timeout: Zahlenwert in Stunden Save Settings


3

1.2 IP-Adresse im DHCP-Server für das VPN-Gateway dauerhaft reservieren

Dies ist nur dann erforderlich, wenn die IP-Adresse durch das VPN-Gateway mittels DHCP bezogen wird. Eine Alternative wäre hier die feste Vergabe der IP-Adresse ohne Nutzung von DHCP. BASIC => Network Settings => Add DHCP Reservation Enable: Haken setzen Computer Name: VPN-Gateway aus Dropdown-Menü auswählen IP Address: wird automatisch ausgefüllt MAC Address: wird automatisch ausgefüllt Save Danach sollte ein entsprechender Eintrag in der „DHCP Reservation List“ stehen.


4

1.3 Protocol-Forwarding für Encapsulating Security Payload (ESP) ADVANCED => Virtual-Server Enable: Haken setzen Name: „ESP“ über Tastatur eintragen IP Address: VPN-Gateway aus Dropdown-Menü auswählen Protocol: „Other“ aus Dropdown-Menü auswählen und Zahl „50“ eintragen Public Port: -/- Private Port: -/- Schedule: „Always” belassen Inbound Filter: „Allow All” belassen Save Danach sollte ein entsprechender Eintrag in der „Virtual Server List“ stehen.


5

1.4 Protocol-Forwarding für Authentication Header (AH) ADVANCED => Virtual-Server Enable: Haken setzen Name: „AH“ über Tastatur eintragen IP Address: VPN-Gateway aus Dropdown-Menü auswählen Protocol: „Other“ aus Dropdown-Menü auswählen und Zahl „51“ eintragen Public Port: -/- Private Port: -/- Schedule: „Always” belassen Inbound Filter: „Allow All” belassen Save Danach sollte ein entsprechender Eintrag in der „Virtual Server List“ stehen.


6

1.5 Port-Forwarding für ISAKMP ADVANCED => Virtual-Server Enable: Haken setzen Name: „ISAKMP“ über Tastatur eintragen IP Address: VPN-Gateway aus Dropdown-Menü auswählen Protocol: „UDP“ aus Dropdown-Menü auswählen Public Port: Zahl „500” eintragen Private Port: Zahl „500” eintragen Schedule: „Always” belassen Inbound Filter: „Allow All” belassen Save Danach sollte ein entsprechender Eintrag in der „Virtual Server List“ stehen.


7

1.6 Port-Forwarding für NON500-ISAKMP ADVANCED => Virtual-Server Enable: Haken setzen Name: „NON500-ISAKMP“ über Tastatur eintragen IP Address: VPN-Gateway aus Dropdown-Menü auswählen Protocol: „UDP“ aus Dropdown-Menü auswählen Public Port: Zahl „4500” eintragen Private Port: Zahl „4500” eintragen Schedule: „Always” belassen Inbound Filter: „Allow All” belassen Save Danach sollte ein entsprechender Eintrag in der „Virtual Server List“ stehen.


8

1.7 Port-Forwarding für Point-to-Point Tunneling Protocol (PPTP) ADVANCED => Virtual-Server Enable: Haken setzen Name: „PPTP“ aus Dropdown-Menü auswählen IP Address: VPN-Gateway aus Dropdown-Menü auswählen Protocol: wird automatisch ausgefüllt Public Port: wird automatisch ausgefüllt Private Port: wird automatisch ausgefüllt Schedule: „Always” belassen Inbound Filter: „Allow All” belassen Save Danach sollte ein entsprechender Eintrag in der „Virtual Server List“ stehen.


9

1.8 Überblick Protocol-/Port-Forwardings Nachdem alle Einträge vorgenommen worden sind, sollte die „Virtual Server List“ so aussehen:

Viel Vergnügen mit Ihrem An!schluss!


10

2 HRG1000 LIVE! TITANIUM

2.1 Dynamic DNS einrichten Die während der Dokumenterstellung aktuelle Firmware bietet leider nicht die Möglichkeit, Dynamic DNS einzurichten. Es gibt aber auch den Weg, das Dynamic DNS von einem Client aus dem LAN (Local Area Network) heraus vorzunehmen.


11

2.2 IP-Adresse im DHCP-Server für das VPN-Gateway dauerhaft reservieren

Dies ist nur dann erforderlich, wenn die IP-Adresse durch das VPN-Gateway mittels DHCP bezogen wird. Eine Alternative wäre hier die feste Vergabe der IP-Adresse ohne Nutzung von DHCP. Network => DHCP => Add Static Host Hostname: Name des VPN-Gateways eintragen, falls bekannt MAC Address: MAC-Adresse des VPN-Gateways eintragen IP Address: wird automatisch ausgefüllt Leasetime: optionale Angabe der Leasetime Save Static Host Danach sollte ein entsprechender Eintrag in der „Static Address Assignment“ Liste stehen.


12

2.3 Protocol-Forwarding für Encapsulating Security Payload (ESP) Eine Weiterleitung von ESP-Paketen von außen nach innen ist beim HRG1000 mit der zum Zeitpunkt der Dokumenterstellung verwendeten Firmware nicht vorgesehen.

2.4 Protocol-Forwarding für Authentication Header (AH) Eine Weiterleitung von AH-Paketen von außen nach innen ist beim HRG1000 mit der zum Zeitpunkt der Dokumenterstellung verwendeten Firmware nicht vorgesehen.


13

2.5 Port-Forwarding für ISAKMP Network => Port Forward => Add New Rule Service Name: „ISAKMP“ über Tastatur eintragen Public Ports: Zahl „500” eintragen Local IP Address: IP Adresse des VPN-Gateways eintragen Local Ports: Zahl „500” eintragen Protocol: „UDP“ aus Dropdown-Menü auswählen Save New Rule Danach sollte ein entsprechender Eintrag in der „Port Forwarding Rule“ Liste stehen.


14

2.6 Port-Forwarding für NON500-ISAKMP Network => Port Forward => Add New Rule Service Name: „NON500-ISAKMP“ über Tastatur eintragen Public Ports: Zahl „4500” eintragen Local IP Address: IP Adresse des VPN-Gateways eintragen Local Ports: Zahl „4500” eintragen Protocol: „UDP“ aus Dropdown-Menü auswählen Save New Rule Danach sollte ein entsprechender Eintrag in der „Port Forwarding Rule“ Liste stehen.


15

2.7 Port-Forwarding für Point-to-Point Tunneling Protocol (PPTP) Network => Port Forward => Add New Rule Service Name: „PPTP“ über Tastatur eintragen Public Ports: Zahl „1723” eintragen Local IP Address: IP Adresse des VPN-Gateways eintragen Local Ports: Zahl „1723” eintragen Protocol: „TCP“ aus Dropdown-Menü auswählen Save New Rule Danach sollte ein entsprechender Eintrag in der „Port Forwarding Rule“ Liste stehen.


16

2.8 Überblick Protocol-/Port-Forwardings Nachdem alle Einträge vorgenommen worden sind, sollte die „Virtual Server List“ so aussehen:


17

2.9 DMZ Host einrichten Eine weitere Möglichkeit kann auch die Verwendung eines DMZ-Hosts darstellen. Man muss sich hier nur dessen bewusst sein, dass dieser Host mit allem Verkehr „bombardiert“ wird, welcher in einem normalen NAT-Szenario vom Router blockiert würde. Konkret beim HRG1000 verhält es sich so, dass all der Traffic zum DMZ-Host weitergeleitet wird, welcher nicht über etwaige NAT-Einträge durch andere Hosts im LAN anderweitig weitergeleitet wird. Es ist auf jeden Fall absolut empfehlenswert, diese Einstellung nur für Hosts anzuwenden, welche entsprechende eigene Schutzmechanismen, wie z. B. eine aktivierte Firewall, besitzen

Network => DMZ-Host => Add New Rule Enable DMZ Host: Haken setzen IP Adresse des VPN-Gateways in das danebenstehende Feld eintragen Save Danach sollte ein entsprechender Eintrag in der „Port Forwarding Rule“ Liste stehen.

Viel Vergnügen mit Ihrem An!schluss!

inhalt - forum.an.de - foren-Übersichtforum.an.de/ipsec_genexis.pdf · ·...

Documents