Inhalt - Forum

Erreichbarkeit von VPN-Gateways hinter einem Genexis FTTH-Abschlussrouter
Dieses Dokument beschreibt die notwendigen Einstellungen, um ein VPN-Gateway hinter einer
Genexis OCG-218M/OCG-2018M und HRG1000 LIVE! TITANIUM trotz NAT-Funktion erreichbar zu
machen.
Inhalt
1
OCG-218M/OCG-2018M ................................................................................................................. 2
1.1
Dynamic DNS einrichten .......................................................................................................... 2
1.2
IP-Adresse im DHCP-Server für das VPN-Gateway dauerhaft reservieren ............................. 3
1.3
Protocol-Forwarding für Encapsulating Security Payload (ESP) .............................................. 4
1.4
Protocol-Forwarding für Authentication Header (AH) ............................................................ 5
1.5
Port-Forwarding für ISAKMP ................................................................................................... 6
1.6
Port-Forwarding für NON500-ISAKMP .................................................................................... 7
1.7
Port-Forwarding für Point-to-Point Tunneling Protocol (PPTP) .............................................. 8
1.8
Überblick Protocol-/Port-Forwardings .................................................................................... 9
2 HRG1000 LIVE! TITANIUM ............................................................................................................. 10
2.1
Dynamic DNS einrichten ........................................................................................................ 10
2.2
IP-Adresse im DHCP-Server für das VPN-Gateway dauerhaft reservieren ........................... 11
2.3
Protocol-Forwarding für Encapsulating Security Payload (ESP) ............................................ 12
2.4
Protocol-Forwarding für Authentication Header (AH) .......................................................... 12
2.5
Port-Forwarding für ISAKMP ................................................................................................. 13
2.6
Port-Forwarding für NON500-ISAKMP .................................................................................. 14
2.7
Port-Forwarding für Point-to-Point Tunneling Protocol (PPTP) ............................................ 15
2.8
Überblick Protocol-/Port-Forwardings .................................................................................. 16
2.9
DMZ Host einrichten ............................................................................................................. 17
1
Erreichbarkeit von VPN-Gateways hinter einem Genexis FTTH-Abschlussrouter
1 OCG-218M/OCG-2018M
1.1 Dynamic DNS einrichten
TOOLS => Dynamic DNS
Enable Dynamic DNS:
Server Address:
Host Name:
Username or Key:
Password or Key:
Verify Password or Key:
Timeout:
Haken setzen
DynDNS-Provider auswählen
eigenen Domain-Namen eintragen
Registrierungsdaten eintragen (Benutzername)
Registrierungsdaten eintragen (Passwort)
Registrierungsdaten eintragen (Passwort-Bestätigung)
Zahlenwert in Stunden
 Save Settings
2
Erreichbarkeit von VPN-Gateways hinter einem Genexis FTTH-Abschlussrouter
1.2 IP-Adresse im DHCP-Server für das VPN-Gateway dauerhaft
reservieren
Dies ist nur dann erforderlich, wenn die IP-Adresse durch das VPN-Gateway mittels
DHCP bezogen wird. Eine Alternative wäre hier die feste Vergabe der IP-Adresse ohne
Nutzung von DHCP.
BASIC => Network Settings => Add DHCP Reservation
Enable:
Computer Name:
IP Address:
MAC Address:
Haken setzen
VPN-Gateway aus Dropdown-Menü auswählen
wird automatisch ausgefüllt
wird automatisch ausgefüllt
 Save
Danach sollte ein entsprechender Eintrag in der „DHCP Reservation List“ stehen.
3
Erreichbarkeit von VPN-Gateways hinter einem Genexis FTTH-Abschlussrouter
1.3 Protocol-Forwarding für Encapsulating Security Payload (ESP)
ADVANCED => Virtual-Server
Enable:
Name:
IP Address:
Protocol:
Public Port:
Private Port:
Schedule:
Inbound Filter:
Haken setzen
„ESP“ über Tastatur eintragen
VPN-Gateway aus Dropdown-Menü auswählen
„Other“ aus Dropdown-Menü auswählen und Zahl „50“ eintragen
-/-/„Always” belassen
„Allow All” belassen
 Save
Danach sollte ein entsprechender Eintrag in der „Virtual Server List“ stehen.
4
Erreichbarkeit von VPN-Gateways hinter einem Genexis FTTH-Abschlussrouter
1.4 Protocol-Forwarding für Authentication Header (AH)
ADVANCED => Virtual-Server
Enable:
Name:
IP Address:
Protocol:
Public Port:
Private Port:
Schedule:
Inbound Filter:
Haken setzen
„AH“ über Tastatur eintragen
VPN-Gateway aus Dropdown-Menü auswählen
„Other“ aus Dropdown-Menü auswählen und Zahl „51“ eintragen
-/-/„Always” belassen
„Allow All” belassen
 Save
Danach sollte ein entsprechender Eintrag in der „Virtual Server List“ stehen.
5
Erreichbarkeit von VPN-Gateways hinter einem Genexis FTTH-Abschlussrouter
1.5 Port-Forwarding für ISAKMP
ADVANCED => Virtual-Server
Enable:
Name:
IP Address:
Protocol:
Public Port:
Private Port:
Schedule:
Inbound Filter:
Haken setzen
„ISAKMP“ über Tastatur eintragen
VPN-Gateway aus Dropdown-Menü auswählen
„UDP“ aus Dropdown-Menü auswählen
Zahl „500” eintragen
Zahl „500” eintragen
„Always” belassen
„Allow All” belassen
 Save
Danach sollte ein entsprechender Eintrag in der „Virtual Server List“ stehen.
6
Erreichbarkeit von VPN-Gateways hinter einem Genexis FTTH-Abschlussrouter
1.6 Port-Forwarding für NON500-ISAKMP
ADVANCED => Virtual-Server
Enable:
Name:
IP Address:
Protocol:
Public Port:
Private Port:
Schedule:
Inbound Filter:
Haken setzen
„NON500-ISAKMP“ über Tastatur eintragen
VPN-Gateway aus Dropdown-Menü auswählen
„UDP“ aus Dropdown-Menü auswählen
Zahl „4500” eintragen
Zahl „4500” eintragen
„Always” belassen
„Allow All” belassen
 Save
Danach sollte ein entsprechender Eintrag in der „Virtual Server List“ stehen.
7
Erreichbarkeit von VPN-Gateways hinter einem Genexis FTTH-Abschlussrouter
1.7 Port-Forwarding für Point-to-Point Tunneling Protocol (PPTP)
ADVANCED => Virtual-Server
Enable:
Name:
IP Address:
Protocol:
Public Port:
Private Port:
Schedule:
Inbound Filter:
Haken setzen
„PPTP“ aus Dropdown-Menü auswählen
VPN-Gateway aus Dropdown-Menü auswählen
wird automatisch ausgefüllt
wird automatisch ausgefüllt
wird automatisch ausgefüllt
„Always” belassen
„Allow All” belassen
 Save
Danach sollte ein entsprechender Eintrag in der „Virtual Server List“ stehen.
8
Erreichbarkeit von VPN-Gateways hinter einem Genexis FTTH-Abschlussrouter
1.8 Überblick Protocol-/Port-Forwardings
Nachdem alle Einträge vorgenommen worden sind, sollte die „Virtual Server List“ so aussehen:
Viel Vergnügen mit Ihrem An!schluss!
9
Erreichbarkeit von VPN-Gateways hinter einem Genexis FTTH-Abschlussrouter
2 HRG1000 LIVE! TITANIUM
2.1 Dynamic DNS einrichten
Die während der Dokumenterstellung aktuelle Firmware bietet leider nicht die Möglichkeit, Dynamic
DNS einzurichten. Es gibt aber auch den Weg, das Dynamic DNS von einem Client aus dem LAN (Local
Area Network) heraus vorzunehmen.
10
Erreichbarkeit von VPN-Gateways hinter einem Genexis FTTH-Abschlussrouter
2.2 IP-Adresse im DHCP-Server für das VPN-Gateway dauerhaft
reservieren
Dies ist nur dann erforderlich, wenn die IP-Adresse durch das VPN-Gateway mittels
DHCP bezogen wird. Eine Alternative wäre hier die feste Vergabe der IP-Adresse ohne
Nutzung von DHCP.
Network => DHCP => Add Static Host
Hostname:
MAC Address:
IP Address:
Leasetime:
Name des VPN-Gateways eintragen, falls bekannt
MAC-Adresse des VPN-Gateways eintragen
wird automatisch ausgefüllt
optionale Angabe der Leasetime
 Save Static Host
Danach sollte ein entsprechender Eintrag in der „Static Address Assignment“ Liste
stehen.
11
Erreichbarkeit von VPN-Gateways hinter einem Genexis FTTH-Abschlussrouter
2.3 Protocol-Forwarding für Encapsulating Security Payload (ESP)
Eine Weiterleitung von ESP-Paketen von außen nach innen ist beim HRG1000 mit der zum Zeitpunkt
der Dokumenterstellung verwendeten Firmware nicht vorgesehen.
2.4 Protocol-Forwarding für Authentication Header (AH)
Eine Weiterleitung von AH-Paketen von außen nach innen ist beim HRG1000 mit der zum Zeitpunkt
der Dokumenterstellung verwendeten Firmware nicht vorgesehen.
12
Erreichbarkeit von VPN-Gateways hinter einem Genexis FTTH-Abschlussrouter
2.5 Port-Forwarding für ISAKMP
Network => Port Forward => Add New Rule
Service Name:
Public Ports:
Local IP Address:
Local Ports:
Protocol:
„ISAKMP“ über Tastatur eintragen
Zahl „500” eintragen
IP Adresse des VPN-Gateways eintragen
Zahl „500” eintragen
„UDP“ aus Dropdown-Menü auswählen
 Save New Rule
Danach sollte ein entsprechender Eintrag in der „Port Forwarding Rule“ Liste stehen.
13
Erreichbarkeit von VPN-Gateways hinter einem Genexis FTTH-Abschlussrouter
2.6 Port-Forwarding für NON500-ISAKMP
Network => Port Forward => Add New Rule
Service Name:
Public Ports:
Local IP Address:
Local Ports:
Protocol:
„NON500-ISAKMP“ über Tastatur eintragen
Zahl „4500” eintragen
IP Adresse des VPN-Gateways eintragen
Zahl „4500” eintragen
„UDP“ aus Dropdown-Menü auswählen
 Save New Rule
Danach sollte ein entsprechender Eintrag in der „Port Forwarding Rule“ Liste stehen.
14
Erreichbarkeit von VPN-Gateways hinter einem Genexis FTTH-Abschlussrouter
2.7 Port-Forwarding für Point-to-Point Tunneling Protocol (PPTP)
Network => Port Forward => Add New Rule
Service Name:
Public Ports:
Local IP Address:
Local Ports:
Protocol:
„PPTP“ über Tastatur eintragen
Zahl „1723” eintragen
IP Adresse des VPN-Gateways eintragen
Zahl „1723” eintragen
„TCP“ aus Dropdown-Menü auswählen
 Save New Rule
Danach sollte ein entsprechender Eintrag in der „Port Forwarding Rule“ Liste stehen.
15
Erreichbarkeit von VPN-Gateways hinter einem Genexis FTTH-Abschlussrouter
2.8 Überblick Protocol-/Port-Forwardings
Nachdem alle Einträge vorgenommen worden sind, sollte die „Virtual Server List“ so aussehen:
16
Erreichbarkeit von VPN-Gateways hinter einem Genexis FTTH-Abschlussrouter
2.9 DMZ Host einrichten
Eine weitere Möglichkeit kann auch die Verwendung eines DMZ-Hosts darstellen. Man muss sich hier
nur dessen bewusst sein, dass dieser Host mit allem Verkehr „bombardiert“ wird, welcher in einem
normalen NAT-Szenario vom Router blockiert würde. Konkret beim HRG1000 verhält es sich so, dass
all der Traffic zum DMZ-Host weitergeleitet wird, welcher nicht über etwaige NAT-Einträge durch
andere Hosts im LAN anderweitig weitergeleitet wird. Es ist auf jeden Fall absolut empfehlenswert,
diese Einstellung nur für Hosts anzuwenden, welche entsprechende eigene Schutzmechanismen, wie
z. B. eine aktivierte Firewall, besitzen
Network => DMZ-Host => Add New Rule
Enable DMZ Host: Haken setzen
IP Adresse des VPN-Gateways in das danebenstehende Feld eintragen
 Save
Danach sollte ein entsprechender Eintrag in der „Port Forwarding Rule“ Liste stehen.
Viel Vergnügen mit Ihrem An!schluss!
17