Erreichbarkeit von VPN-Gateways hinter einem Genexis FTTH-Abschlussrouter Dieses Dokument beschreibt die notwendigen Einstellungen, um ein VPN-Gateway hinter einer Genexis OCG-218M/OCG-2018M und HRG1000 LIVE! TITANIUM trotz NAT-Funktion erreichbar zu machen. Inhalt 1 OCG-218M/OCG-2018M ................................................................................................................. 2 1.1 Dynamic DNS einrichten .......................................................................................................... 2 1.2 IP-Adresse im DHCP-Server für das VPN-Gateway dauerhaft reservieren ............................. 3 1.3 Protocol-Forwarding für Encapsulating Security Payload (ESP) .............................................. 4 1.4 Protocol-Forwarding für Authentication Header (AH) ............................................................ 5 1.5 Port-Forwarding für ISAKMP ................................................................................................... 6 1.6 Port-Forwarding für NON500-ISAKMP .................................................................................... 7 1.7 Port-Forwarding für Point-to-Point Tunneling Protocol (PPTP) .............................................. 8 1.8 Überblick Protocol-/Port-Forwardings .................................................................................... 9 2 HRG1000 LIVE! TITANIUM ............................................................................................................. 10 2.1 Dynamic DNS einrichten ........................................................................................................ 10 2.2 IP-Adresse im DHCP-Server für das VPN-Gateway dauerhaft reservieren ........................... 11 2.3 Protocol-Forwarding für Encapsulating Security Payload (ESP) ............................................ 12 2.4 Protocol-Forwarding für Authentication Header (AH) .......................................................... 12 2.5 Port-Forwarding für ISAKMP ................................................................................................. 13 2.6 Port-Forwarding für NON500-ISAKMP .................................................................................. 14 2.7 Port-Forwarding für Point-to-Point Tunneling Protocol (PPTP) ............................................ 15 2.8 Überblick Protocol-/Port-Forwardings .................................................................................. 16 2.9 DMZ Host einrichten ............................................................................................................. 17 1 Erreichbarkeit von VPN-Gateways hinter einem Genexis FTTH-Abschlussrouter 1 OCG-218M/OCG-2018M 1.1 Dynamic DNS einrichten TOOLS => Dynamic DNS Enable Dynamic DNS: Server Address: Host Name: Username or Key: Password or Key: Verify Password or Key: Timeout: Haken setzen DynDNS-Provider auswählen eigenen Domain-Namen eintragen Registrierungsdaten eintragen (Benutzername) Registrierungsdaten eintragen (Passwort) Registrierungsdaten eintragen (Passwort-Bestätigung) Zahlenwert in Stunden Save Settings 2 Erreichbarkeit von VPN-Gateways hinter einem Genexis FTTH-Abschlussrouter 1.2 IP-Adresse im DHCP-Server für das VPN-Gateway dauerhaft reservieren Dies ist nur dann erforderlich, wenn die IP-Adresse durch das VPN-Gateway mittels DHCP bezogen wird. Eine Alternative wäre hier die feste Vergabe der IP-Adresse ohne Nutzung von DHCP. BASIC => Network Settings => Add DHCP Reservation Enable: Computer Name: IP Address: MAC Address: Haken setzen VPN-Gateway aus Dropdown-Menü auswählen wird automatisch ausgefüllt wird automatisch ausgefüllt Save Danach sollte ein entsprechender Eintrag in der „DHCP Reservation List“ stehen. 3 Erreichbarkeit von VPN-Gateways hinter einem Genexis FTTH-Abschlussrouter 1.3 Protocol-Forwarding für Encapsulating Security Payload (ESP) ADVANCED => Virtual-Server Enable: Name: IP Address: Protocol: Public Port: Private Port: Schedule: Inbound Filter: Haken setzen „ESP“ über Tastatur eintragen VPN-Gateway aus Dropdown-Menü auswählen „Other“ aus Dropdown-Menü auswählen und Zahl „50“ eintragen -/-/„Always” belassen „Allow All” belassen Save Danach sollte ein entsprechender Eintrag in der „Virtual Server List“ stehen. 4 Erreichbarkeit von VPN-Gateways hinter einem Genexis FTTH-Abschlussrouter 1.4 Protocol-Forwarding für Authentication Header (AH) ADVANCED => Virtual-Server Enable: Name: IP Address: Protocol: Public Port: Private Port: Schedule: Inbound Filter: Haken setzen „AH“ über Tastatur eintragen VPN-Gateway aus Dropdown-Menü auswählen „Other“ aus Dropdown-Menü auswählen und Zahl „51“ eintragen -/-/„Always” belassen „Allow All” belassen Save Danach sollte ein entsprechender Eintrag in der „Virtual Server List“ stehen. 5 Erreichbarkeit von VPN-Gateways hinter einem Genexis FTTH-Abschlussrouter 1.5 Port-Forwarding für ISAKMP ADVANCED => Virtual-Server Enable: Name: IP Address: Protocol: Public Port: Private Port: Schedule: Inbound Filter: Haken setzen „ISAKMP“ über Tastatur eintragen VPN-Gateway aus Dropdown-Menü auswählen „UDP“ aus Dropdown-Menü auswählen Zahl „500” eintragen Zahl „500” eintragen „Always” belassen „Allow All” belassen Save Danach sollte ein entsprechender Eintrag in der „Virtual Server List“ stehen. 6 Erreichbarkeit von VPN-Gateways hinter einem Genexis FTTH-Abschlussrouter 1.6 Port-Forwarding für NON500-ISAKMP ADVANCED => Virtual-Server Enable: Name: IP Address: Protocol: Public Port: Private Port: Schedule: Inbound Filter: Haken setzen „NON500-ISAKMP“ über Tastatur eintragen VPN-Gateway aus Dropdown-Menü auswählen „UDP“ aus Dropdown-Menü auswählen Zahl „4500” eintragen Zahl „4500” eintragen „Always” belassen „Allow All” belassen Save Danach sollte ein entsprechender Eintrag in der „Virtual Server List“ stehen. 7 Erreichbarkeit von VPN-Gateways hinter einem Genexis FTTH-Abschlussrouter 1.7 Port-Forwarding für Point-to-Point Tunneling Protocol (PPTP) ADVANCED => Virtual-Server Enable: Name: IP Address: Protocol: Public Port: Private Port: Schedule: Inbound Filter: Haken setzen „PPTP“ aus Dropdown-Menü auswählen VPN-Gateway aus Dropdown-Menü auswählen wird automatisch ausgefüllt wird automatisch ausgefüllt wird automatisch ausgefüllt „Always” belassen „Allow All” belassen Save Danach sollte ein entsprechender Eintrag in der „Virtual Server List“ stehen. 8 Erreichbarkeit von VPN-Gateways hinter einem Genexis FTTH-Abschlussrouter 1.8 Überblick Protocol-/Port-Forwardings Nachdem alle Einträge vorgenommen worden sind, sollte die „Virtual Server List“ so aussehen: Viel Vergnügen mit Ihrem An!schluss! 9 Erreichbarkeit von VPN-Gateways hinter einem Genexis FTTH-Abschlussrouter 2 HRG1000 LIVE! TITANIUM 2.1 Dynamic DNS einrichten Die während der Dokumenterstellung aktuelle Firmware bietet leider nicht die Möglichkeit, Dynamic DNS einzurichten. Es gibt aber auch den Weg, das Dynamic DNS von einem Client aus dem LAN (Local Area Network) heraus vorzunehmen. 10 Erreichbarkeit von VPN-Gateways hinter einem Genexis FTTH-Abschlussrouter 2.2 IP-Adresse im DHCP-Server für das VPN-Gateway dauerhaft reservieren Dies ist nur dann erforderlich, wenn die IP-Adresse durch das VPN-Gateway mittels DHCP bezogen wird. Eine Alternative wäre hier die feste Vergabe der IP-Adresse ohne Nutzung von DHCP. Network => DHCP => Add Static Host Hostname: MAC Address: IP Address: Leasetime: Name des VPN-Gateways eintragen, falls bekannt MAC-Adresse des VPN-Gateways eintragen wird automatisch ausgefüllt optionale Angabe der Leasetime Save Static Host Danach sollte ein entsprechender Eintrag in der „Static Address Assignment“ Liste stehen. 11 Erreichbarkeit von VPN-Gateways hinter einem Genexis FTTH-Abschlussrouter 2.3 Protocol-Forwarding für Encapsulating Security Payload (ESP) Eine Weiterleitung von ESP-Paketen von außen nach innen ist beim HRG1000 mit der zum Zeitpunkt der Dokumenterstellung verwendeten Firmware nicht vorgesehen. 2.4 Protocol-Forwarding für Authentication Header (AH) Eine Weiterleitung von AH-Paketen von außen nach innen ist beim HRG1000 mit der zum Zeitpunkt der Dokumenterstellung verwendeten Firmware nicht vorgesehen. 12 Erreichbarkeit von VPN-Gateways hinter einem Genexis FTTH-Abschlussrouter 2.5 Port-Forwarding für ISAKMP Network => Port Forward => Add New Rule Service Name: Public Ports: Local IP Address: Local Ports: Protocol: „ISAKMP“ über Tastatur eintragen Zahl „500” eintragen IP Adresse des VPN-Gateways eintragen Zahl „500” eintragen „UDP“ aus Dropdown-Menü auswählen Save New Rule Danach sollte ein entsprechender Eintrag in der „Port Forwarding Rule“ Liste stehen. 13 Erreichbarkeit von VPN-Gateways hinter einem Genexis FTTH-Abschlussrouter 2.6 Port-Forwarding für NON500-ISAKMP Network => Port Forward => Add New Rule Service Name: Public Ports: Local IP Address: Local Ports: Protocol: „NON500-ISAKMP“ über Tastatur eintragen Zahl „4500” eintragen IP Adresse des VPN-Gateways eintragen Zahl „4500” eintragen „UDP“ aus Dropdown-Menü auswählen Save New Rule Danach sollte ein entsprechender Eintrag in der „Port Forwarding Rule“ Liste stehen. 14 Erreichbarkeit von VPN-Gateways hinter einem Genexis FTTH-Abschlussrouter 2.7 Port-Forwarding für Point-to-Point Tunneling Protocol (PPTP) Network => Port Forward => Add New Rule Service Name: Public Ports: Local IP Address: Local Ports: Protocol: „PPTP“ über Tastatur eintragen Zahl „1723” eintragen IP Adresse des VPN-Gateways eintragen Zahl „1723” eintragen „TCP“ aus Dropdown-Menü auswählen Save New Rule Danach sollte ein entsprechender Eintrag in der „Port Forwarding Rule“ Liste stehen. 15 Erreichbarkeit von VPN-Gateways hinter einem Genexis FTTH-Abschlussrouter 2.8 Überblick Protocol-/Port-Forwardings Nachdem alle Einträge vorgenommen worden sind, sollte die „Virtual Server List“ so aussehen: 16 Erreichbarkeit von VPN-Gateways hinter einem Genexis FTTH-Abschlussrouter 2.9 DMZ Host einrichten Eine weitere Möglichkeit kann auch die Verwendung eines DMZ-Hosts darstellen. Man muss sich hier nur dessen bewusst sein, dass dieser Host mit allem Verkehr „bombardiert“ wird, welcher in einem normalen NAT-Szenario vom Router blockiert würde. Konkret beim HRG1000 verhält es sich so, dass all der Traffic zum DMZ-Host weitergeleitet wird, welcher nicht über etwaige NAT-Einträge durch andere Hosts im LAN anderweitig weitergeleitet wird. Es ist auf jeden Fall absolut empfehlenswert, diese Einstellung nur für Hosts anzuwenden, welche entsprechende eigene Schutzmechanismen, wie z. B. eine aktivierte Firewall, besitzen Network => DMZ-Host => Add New Rule Enable DMZ Host: Haken setzen IP Adresse des VPN-Gateways in das danebenstehende Feld eintragen Save Danach sollte ein entsprechender Eintrag in der „Port Forwarding Rule“ Liste stehen. Viel Vergnügen mit Ihrem An!schluss! 17
© Copyright 2024 ExpyDoc