Bintec RS123 - VPN für einzelne Nutzer

Dieses Thema im Forum "Bintec" wurde erstellt von ntq, 27. November 2019.

  1. ntq

    ntq Starter

    Registriert seit:
    30. August 2016
    Beiträge:
    9
    Punkte für Erfolge:
    1
    Hallo,
    ich habe letzte Woche den Bintec RS123 (V.10.2.6.102 IPv6) als Hauptrouter in unser kleines Firmennetzwerk eingebaut.
    Jetzt möchte ich einzelnen externen Mitarbeitern über VPN Zugriff gewähren. Da bin ich jetzt aber überfordert, denn ich habe nur Anleitungen gefunden um ganze Firmennetzwerke zu verbinden, aber keine Anleitung für einen einzelnen Nutzer, der irgendwo in einem Café sitzt und bei uns ins Netz möchte.
    Soweit ich das verstanden habe, muss ich L2TP über IPSec nutzen. Aber die Zusammenhänge verstehe ich nicht. In einem L2TP-Tunnelprofil muss ich lokale und entferne Hostnamen angeben, aber es gibt ja gar keinen entfernen Host, nur einen Client. Und auch die entfernte IP-Adresse kann ich nicht voraussehen. Was hat es überhaupt mit dem Passwort auf sich?
    Wenn ich einen Benutzer anlege, dann nehme ich an, dass ich als Verbindungstyp LAC und das soeben erstellte Tunnelprofil auswählen muss, da dieser externe Mitarbeiter natürlich ein Client ist und eine IP-Adresse aus dem lokalen Adresspool kriegen soll.

    Ich habe bisher nur Erfahrung mit der Konfiguration eines OpenVPN-Servers auf einer Ubuntu-Maschine. Das kam mir wesentlich übersichtlicher und besser dokumentiert vor. Deswegen tappe ich gerade etwas im Dunkeln bei dem Bintec. Ich hoffe ihr könnt mich erleuchten und mich in die richtige Richtung lenken.

    Am Ende sollten sich Mitarbeiter mit Windows 10, OSX und am besten noch Android über VPN mit dem Bintec verbinden und auf die Rechner im lokalen Netz zugreifen können. In meinem Android-Gerät kann ich z.B. zwischen PPTP, L2TP/IPSec PSK, L2TP/IPSec RSA, IPSec Xauth PSK, IPSec Xauth RSA und IPSec Hybrid RSA wählen. Wobe iich gelesen habe, dass man PPTP vermeiden sollte.

    Vielen Dank schon mal und entschuldigt den Roman.
     
  2. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    3.114
    Punkte für Erfolge:
    120
    Hi,

    vergiss mal l2tp (over IPSec): Das kann der bintec gar nicht :).

    Für alle von dir genannten Plattformen gibt es Tutorials, How-Tos in Text- und / oder Videoform:

    Beispielhaft:

    - Android - und -Windows 10 -.

    Falls du es mit diesen Anleitungen nicht zum Laufen bekommst, kannst du dich gerne wieder hier im Forum melden.

    VG
     
  3. ntq

    ntq Starter

    Registriert seit:
    30. August 2016
    Beiträge:
    9
    Punkte für Erfolge:
    1
    Danke!

    Die Anleitung für Windows 10 hat mir überhaupt nicht geholfen, weil man da keine einzelne Nutzer erstellen kann. Aber die für Android hat mich in die richtige Richtung gebracht. Allerdings wurde nicht erwähnt, dass man noch eine Firewall- und eine DNAT-Regel erstellen muss, damit man überhaupt nach außen offene Ports hat. Vorher hat mir nmap keinen einzigen offenen Port gezeigt, weder bei UDP, noch bei TCP.

    Jetzt kann ich mich über Android verbinden und bekomme eine IP aus dem richtigen Pool, allerdings kann ich auf niemanden im Intranet zugreifen. Ich dachte ich kann jetzt fröhlich auf irgendwelche Intranetserver verbinden, aber leider fehlt noch irgendwas. Nicht mal der DNS-Service des Gateways selbst funktioniert. Mein internes Netz ist 10.100.3.0/24, ich habe auch in den VPN-Einstellungen von Android als DNS-Server 10.100.3.1 und Weiterleitungsrouten 10.100.3.0/24 eingestellt. Trotzdem passiert nichts. Muss ich noch irgendwelche Löcher in irgendeine Firewall bohren oder NAT-Regeln vergeben? Momentan ist mein NAT nur für die öffentliche IP aktiv.
     
  4. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    3.114
    Punkte für Erfolge:
    120
    Hi,
    selbstverständlich kann man das: Für jeden Benutzer gibt es ein eigenes IPSec-Peer, das sich mindestens in der Peer-ID von den anderen Peers unterscheiden muss. Um nicht so viele Peers erzeugen zu müssen, gibt es auch eine - Multi-User - Peer-Konfiguration. Die Clients müssen aber auch in diesem Fall auf unterschiedliche Peer-IDs konfiguriert werden. Bevor du wieder rum murrst: Ja, das muss sein.
    Dann solltest du die Konfiguration der Firewall und die NAT-Einstellungen deines Routers hier posten. Der rs123 ist der Default-Gateway in deinem Netzwerk?

    VG
     
  5. ntq

    ntq Starter

    Registriert seit:
    30. August 2016
    Beiträge:
    9
    Punkte für Erfolge:
    1
    Naja, mit der Multi-User-Konfiguration hat aber laut der Anleitung jeder Client das selbe Passwort bzw. den selben PSK. Ich brauche aber einzelne Nutzerkennungen und Passwörter, da ich später auch wieder Nutzer entfernen können muss, ohne dass danach alle anderen den PSK ändern müssen.

    Ach und wegen des Murrens: Ich wollte nicht murren, ärgere mich nur ein bisschen, dass ich das nicht alleine schaffe über die GUI, die meiner Meinung nach etwas unübersichtlich ist. Ich bin eher so der Linux Terminal Poweruser, der gerne man pages liest. :-D
    Diese Daten kann ich morgen hier posten, wenn ich wieder vor Ort bin.
     
  6. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    3.114
    Punkte für Erfolge:
    120
    Hi,
    Jaja, natürlich geht das: In den erweiterten Einstellungen das Xauth-Profil für die zugelassenen Benutzer wählen.

    VG