vpn duch einen Router über DSL zum Server

[dany_dm]

Hi,

ich habe folgendes Problem. Mit einer einzelnen Windows-Kiste kann ich über Internet zu einem Server eine VPN-Verbindung aufbauen. ( die IP-Adresse der Windows-Kiste ist ja auch die selbe, wie die IP-Einwahladresse ) Steht die Windowskiste hinter einem Router / DSL hat sie nur eine lokale IP-Adresse. Jetzt will der Server die VPN-Verbindung mit dem Router aufbauen, und das ist mein Problem. Wenn ich NAT einstelle auf dem Router, geht es irgendwie immer noch nicht. Hier hab ich wohl einen Denkfehler ( glaub ich ). Irgendwie wollen nur der Server oder der Router die VPN-Verbindung aufbauen. Der Router soll es aber nur durchlassen und die Windows-Kiste muß die VPN-Verbindung initiieren. Vieleicht muß aber auch beim Server was geändert werden. Der sieht doch aber nur die öffentlich IP-Adresse, an der Seite kann man doch nichts machen, oder?

[fubak]

entweder mach auf dem Router ein porforwarding auf die Windows Mühle oder aber du stelltst die Windows Kiste in die DMZ wenn dein Router sowas hat !
wenn DMZ dann brauch der Windows VPN Server halt ein öffentliche IP

[meister_ede]

IPSec ist u.a. eine Vorrichtung um die Manipulation von Paketen zu verhindern, NAT tut aber genau dies. Es gibt drei Möglichkeiten:

1) Wie oben gesagt portforwarding für UDP 500 und Protokoll 'esp'
2) Manche NAT-Devices wie DSL-Router unterstützen ein Feature names IPSec-Passthrough oder so ähnlich, was dem Portforwarding recht ähnlich ist. Funktioniert auch nur mit einem VPN-Client pro LAN
3)NAT-Traversal (NAT-T). Der Windews IPSec/L2TP Client kann NAT-T von haus aus mit folgendem Patch (in SP2 enthalten):
http://support.microsoft.com/default.as ... -us;818043
Für 3rdParty-Clients gilt meist das selbe.
Für die Linux-Schiene gibt es entsprechende Patches für die Kernel- und Kernelmodule- Quellen. In OpenSwan und StrongSwan enthalten.
http://www.openswan.org/docs/local/README.NAT-Traversal