Netzwerkanalyse, Fehlersuche, Testberichte
Home / News
Netzwerkanalyse
Grundlagen
Verkabelung
Erste Schritte
Baselining
Let's sniff
Tools
Auswerten/Filtern
Typische Probleme 1
Typische Probleme 2
Sicherheit
Bücher
Tutorials
Cacti
DSL einrichten
DynDNS einrichten
m0n0wall | pfSense
Nmap
VirtualBox
Wireshark
FAQ
Know How
Testberichte
Hardware-DB
Netzwerklexikon
Links / Service
Suche
Kontakt
Impressum
Feedback
Sitemap
Tutorials

Site-to-Site VPN zwischen Astaro und Netgear

Mit einem Site-to-Site VPN lassen sich die lokalen Netzwerke zweier Standorte verbinden. Geräte wie Server, Netzwerkfestplatten und VoIP-Gateway sind damit aus beiden vernetzten Standorten erreichbar.

Zum Aufbau eines Site-to-Site VPN sollten sich die IP-Netze der Standorte nicht überlappen. Jeder Standort benötigt einen VPN-Router. Dieses Tutorial beschreibt den Aufbau einer LAN-Kopplung mit einem Astaro Security Gateway (ASG Firmware version 7.401) und einem Netgear Router FVS336G (Firmware Version 3.0.3-17). Jeder Router benötigt eine statische WAN-IP oder einen Hostnamen (z.B. von DynDNS). Im Beipiel kommt IPSec im Main Mode zum Einsatz.

VPN am Netgear einrichten

Am Netgear FVS336G kann das Site-to-Site VPN mit dem VPN Wizard angelegt werden.

VPN >> IPSec VPN >> VPN Wizard

Netgear VPN Wizard

Geben Sie den Verbindungsnamen, einen PSK, die WAN-IP der Astaro und das LAN-Subnetz der Astaro ASG ein. Der Wizard erzeugt eine IKE und eine VPN Policy. In der IKE Policy sind Main Mode, 3DES, SHA-1 und DH-Group 2 eingestellt.

Netgear IKE Policy

Die VPN Policy nutzt ebenfalls 3DES, SHA-1 sowie Diffie-Hellman-Gruppe 2. Diese VPN-Parameter müssen auf der Astaro identisch eingestellt werden.

Netgear VPN Policy

Der Netgear-Router ist damit bereit für den Aufbau des VPN-Tunnels zu Astaro.

VPN an der Astaro einrichten

IPSec Policy

Mit den Standardeinstellungen kommen Astaro und Netgear nicht zusammen. Daher legen wir für die Astaro eine neue IPSec Policy an. Gehen Sie dazu auf:

Site-to-Site VPN >> IPSec >> Policies >> New IPSec policy...

Neue IPSec Policy anlegen

Netgear nutzt als Default 3DES, SHA und DH-Gruppe 2. Tragen Sie die entsprechenden Werte in die neue Richtlinie ein. Entscheident ist die Übereinstimmung der Proposals auf beiden VPN-Routern.

Remote Gateway

Der Netgear-Router muss in der Astaro als Remote Gateway angelegt werden. Gehen Sie auf:

Site-to-Site VPN >> IPSec >> Remote Gateways >> New Remote Gateway...

und richten Sie den Router ein. Legen Sie dazu den Gateway und das Remote Network (LAN des Netgear) an. Geben Sie einen Preshared Key (PSK) mit mindestens acht Zeichen ein.

Wird der Netgear-Router an einem ADSL-Zugang mit einer dynamischen IP-Adresse betrieben, richten Sie DynDNS für den Router ein.

Neues Gateway anlegen

IPSec Connection

Im dritten Schritt wird die eigentliche IPSec-Verbindung unter

Site-to-Site VPN >> IPSec >> Connections >> New IPSec connection

konfiguriert. Wählen Sie Remote Gateway, Policy und das lokale Netz für die Verbindung aus.

Neuen IPSec Tunnel anlegen

Mit einem Ping ins Remote-LAN sollte sich der Tunnel nun von beiden Seiten aufbauen lassen.

Status der IPsec Verbindung

Die Logs der VPN-Router helfen bei der Fehlersuche. Kontrollieren Sie die Übereinstimmung der Proposals für Phase 1 und 2.

Weiterführende Informationen zu VPN

Bei Fragen wird Ihnen im Netzwerkforum geholfen.

 

 
© 2004-2023, network lab - we make your net work - Netzwerkforum
aktualisiert am 22.03.2012