Speedtouch 510 en VPN server

heb je GRE protocol 47 actief gemaakt, want het is een protocol en geen tcp port,

om je alvast een handje te helpen zet op je Speedtouch je Sweex Router als default server, dan moet je alleen nog even naar die sweex kijken, maar je bent dan al zover dat het zonder die sweex, met wat ip aanpassingen zo zou moeten werken. waarom gebruik je die eigenlijk? wil je een DMZ maken?

Verwijderd schreef op dinsdag 18 januari 2005 @ 21:18:
De default server is al ingesteld op de WAN kant van de router.
De router is er ooit tussen geplaatst om met meerdere mensen tegelijk te kunnen internetten via de ADSL modem

Waar en hoe moet ik dat GRE protocol actief maken? Op het modem of op de router? (of beide)

Heb je op de Sweex router een mogelijkheid zitten om een viruele server te draaien?
Ik heb namelijk exact dezelfde opstelling als jij die hebt. Het enigste verschil bij mij is dat ik i.p.v. die Sweex een US Robotics Router heb staan. Hierop heb ik bij het tabblad virtual server de optie PPTP geenabled en hierna functioneerde deze prima!

Verwijderd schreef op dinsdag 18 januari 2005 @ 21:57:
[...]

Heb je op de Sweex router een mogelijkheid zitten om een viruele server te draaien?
Ik heb namelijk exact dezelfde opstelling als jij die hebt. Het enigste verschil bij mij is dat ik i.p.v. die Sweex een US Robotics Router heb staan. Hierop heb ik bij het tabblad virtual server de optie PPTP geenabled en hierna functioneerde deze prima!

Maar dan draai je denk ik NAT op je Sweex Router en niet op de US Robotics, je koppelt het dan aan elkaar via een PPTP Tunnel, die is niet al te stabiel. zou dan onderstaande configuratie doen,

De default server is al ingesteld op de WAN kant van de router.
De router is er ooit tussen geplaatst om met meerdere mensen tegelijk te kunnen internetten via de ADSL modem

Waar en hoe moet ik dat GRE protocol actief maken? Op het modem of op de router? (of beide)

GRE is al actief, doordat je op de speedtouch als default server de wan kant van de sweex hebt staan.

Verder zou je kunnen overwegen om die sweex router in zijn geheel uit je netwerk te halen,
en je Speedtouch aan een switch knopen, je kan dan ook met meerdere pc's internetten, Tenzij je een DMZ / neutrale zone wilt bouwen dan is het wel handig,

Verder zou ik gewoon die Speedtouch NAT laten draaien, mocht je echt die sweex willen houden, is het misschien verstandig om te gaan supernetten.
De speedtouch draait inside network ID van 10.0.0.0/24 terwijl je LAN op 192.168.2.0/24 zit, wat je dan moet doen is een route aanmaken waarin je aangeeft dat 192.168.2.0/24 bereikbaar is via zeg 10.0.0.139/32 (de WAN kant van je Sweex router) en vervolgens testen,
Dan is weet de speedtouch waar je VPN server staat, en als default server geef je dan de VPN server op in de Speedtouch of je zal de BIND list van de Speedtouch moeten aanpassen om GRE goed aan de praat te krijgen.

Ik heb op dit moment een soort gelijke configuratie ergens staan met ook 1 Speedtouch en 2 Cisco PIX firewalls

Succes

[ Voor 5% gewijzigd door Movinghead op 18-01-2005 22:11 ]

heb je die route aangemaakt in de IP Routing Table op de speedtouch

het zou dan moeten zijn
Destination 192.168.2.0/24 wat ook mag is 192.168.0.0/16 (als je later nog meer subnets wil gebruiken
Gateway: ip adres van de WAN kant van de Sweex router
Interface: niks aan doen
Metric: 1

dan Apply

Verwijderd schreef op dinsdag 18 januari 2005 @ 23:29:
[...]


Zo ziet de routing table van de modem er al uit

dan als default server, op je speedtouch de WAN kant van je Sweex

en vervolgens port 1723 TCP forwarden op je speedtouch naar je VPN server dus naar een 192.168.2.x adres
en dan op je sweex ook een forwarder zetten naar je VPN server TCP 1723 en GRE 47 protocol toestaan

1723 is voor PPTP VPN mocht je IPsec gebruiken zijn dat andere porten,

Het zou zo moeten werken, tenzij die Sweex moeilijk doet met GRE, maar je zou dit makkelijk kunnen testen, door je PC tussen je Sweex Router en Speedtouch te prikken in een switch ofzo dan een route add maken naar je LAN en zo kijken of je een VPN tunnel kan opzetten werkt dat niet dan moet je die Sweex eens op z'n kopen zetten.

Success, ik zie morgen wel hoe het is gelopen

Verwijderd schreef op dinsdag 18 januari 2005 @ 23:47:
Ik heb nu de pc direct achter het modem gehangen en de pc hetzelfde ip gegeven als de router. Ook in deze opstelling kom ik niet ver. Als ik een VPN verbinding maak naar mn externe adres (van de modem), dan kan hij de verbinding niet eens opzetten... maw.. er gebeurt helemaal niet.

Ik ga er eerst maar eens een nachtje over slapen.. gaat morgen vast een stuk beter

Ik denk dat je het niet helemaal snapt,

internet>>modem>>
PC
Router>>VPNserver

Geef de PC gewoon een ip adres 10.0.0.254 bijvoorbeeld en als gateway de WAN poort van je router.
Vervolgens maak je een router add in Command Prompt in windows en dan zeg je dat hij voor 192.168.2.0 255.255.255.0 <Router WAN ipdress>

en maak dan een VPN tunnel aan naar 192.168.2.100 je zou dan als het goed is erbij kunnen,

Verwijderd schreef op dinsdag 18 januari 2005 @ 21:09:
Ik weet het...er zijn veel topics over VPN servers achter een Speedtouch modem, maar het wil in mijn situatie niet lukken om een VPN server op te zetten achter een Speedtouch 510 (v3.2).

De situatie is als volgt:

Internet<->SpeedTouch 510<->Sweex Router<->werkstations
De WAN kant van de router is geconfigureerd in een 10.0.0.0 netwerk en de LAN kant in een 192.168.2.0

Nu heb ik een VPN server opgezet met het IP 192.168.2.100
Op de router heb ik de volgende poorten gemapt naar die server:

1723(tcp)
47(tcp)
1701(udp)
500(tcp)

op de SpeedTouch modem heb ik onder NAT de default server ingesteld op het IPadres van de Router

Als ik nu een VPN connectie op probeer te zetten van buiten af, dan gaat alles goed tot de melding "Verifying username and password" Verder dan dat gaatie niet.

Wie kan mij vertellen waar de fout zit?

Ik heb gisteravond exact dezelfde problemen gehad, ik gebruik de ingebouwde XP VPN-client. Bij mij kwam na verifying username/password een error 721, lijkt op wat jij hebt. Ik heb het opgelost door het GRE-protocol te mappen naar mijn VPN-server, en niet poort 47. Het moet namelijk protocol 47 zijn, en niet poort 47.
Ik heb dit gedaan door te telnetten naar mijn SpeedTouch 510 (v4.2.7) en daar via menu --> nat
--> create een nieuwe entry aangemaakt, waarbij ik bij protocol "GRE" heb aangegeven en als te forwarden poort, poort 1. Daarna werkt het als een zonnetje. Suc6!
Ik zou overigens die sweex router puur als switch gebruiken, en de SpeedTouch als router/firewall/NAT. Ik heb thuis iets soortgelijks gedaan met een Netgear router, die werkt nu alleen nog als switch en Wireless AP.

[ Voor 9% gewijzigd door Langley78 op 19-01-2005 08:36 ]

Configureer je SpeedTouch als PPPoA & DHCP Spoofing (PPP over ATM- DHCP Spoofing)

Dan hangt je router "direct" aan het internet, hij zal dan jouw externe IP verkrijgen en je routeerd dan alleen met je router.
Dit kan met een handige tool, als je hem wilt hebben zal ik hem ff online zetten. Staat hier op een file server.

Dennis

Verwijderd schreef op woensdag 19 januari 2005 @ 11:19:
[...]


Routeert de sweex Router (model LB000020) ook het GRE protocol dan? Zo ja, moet dit ingesteld worden of is dit standaard?

Nee, althans, dat denk ik niet. Ik bedoelde ook dat je het mijns inziens het beste in je SpeedTouch kunt regelen, aangezien daar je internetverkeer binnenkomt, en daar dus ook je NAT en firewall e.d. geregeld worden. Ik zou je Sweex niet als router gebruiken (maar alleen als switch), die SpeedTouch kan dat ook prima; en dan maakt het ook niet uit of de Sweex GRE routeert, dat doet je SpeedTouch dan wel.
Heb je trouwens al wel getest of het binnen je netwerk (dus van PC naar VPN-server) werkt? Als dat zo is, gaat het vrijwel 100% zeker mis doordat je SpeedTouch de boel blocked.

Verwijderd schreef op woensdag 19 januari 2005 @ 11:51:
Ja, intern gaat als een speer
Hoe zijn die sweex bakkies om te zetten naar alleen switch? Gewoon NAT uitschakelen? Zo ja, hoe?

Nog makkelijker: UTP-kabel die nu van de SpeedTouch naar je Sweex loopt, aan de Sweex-kant ompluggen van de WAN-poort naar een van de (4?) LAN-poorten! Dan doet de Sweex niet meer aan NAT, alleen je SpeedTouch nog.

Verwijderd schreef op woensdag 19 januari 2005 @ 12:12:
Geen slecht idee
En NAT enabelen aan op het modem? Dan wel controleren of NAT aan staat?

Ja, je moet wel even je NAT-instellingen overnemen op de SpeedTouch, ofwel via de Webinterface of via telnet. Om GRE te enabelen en te forwarden naar je VPN-server moet je sowieso telnetten, dat kan niet in de Webinterface (zie ook mijn eerste post in dit topic hierboven).

Verwijderd schreef op woensdag 19 januari 2005 @ 13:07:
[...]


Maar hoe is te zien of NAT aan staat, of is dat standaard?

Ja, staat standaard aan.

Verwijderd schreef op donderdag 20 januari 2005 @ 22:10:
Ik begin er erg aan te twijfelen of mijn router wel het GRE protocol routeert.

Situatie is als volgt:

defserver op het Modem = 10.0.0.1 (wan kant sweex router)
DMZ op de router naar 192.168.2.100 (VPN server)

Als ik nu een vpn verbinding aanmaak op de server en daarmee connect naar mijn extern ip adres (IPadres dat ik van de ISP gekregen heb), dan kan ik nu verbinding leggen met de VPN server.
Maak ik de verbinding naar de VPN server op een andere pc (binnen of buiten mijn netwerk), dan kom ik niet verder dan het verifieren van naam/wachtwoord en error 721.

Iemand een idee?

Je moet de kabel tussen je SpeedTouch en je Sweex aan de Sweex-kant niet op de WAN-poort aansluiten maar op 1 van de 4 LAN-poorten. Je SpeedTouch is namelijk al je router! En de WAN-poort op je Sweex is bedoeld om een modem op aan te sluiten, en niet een modem/router, wat de SpeedTouch is!

Verwijderd schreef op dinsdag 18 januari 2005 @ 21:18:
De default server is al ingesteld op de WAN kant van de router.
De router is er ooit tussen geplaatst om met meerdere mensen tegelijk te kunnen internetten via de ADSL modem

Waar en hoe moet ik dat GRE protocol actief maken? Op het modem of op de router? (of beide)

Je kan via Telnet inloggen op je 510 en dan een nat-regel toevoegen, waarin je als protocol "47" opgeeft; daarmee kan je GRE gewoon forwarden..

KIjk eens of een SIP Spoof beter werkt ?? (Nat Modem uitzetten)