Toon posts:

[VPN / Networking] Meerdere VPN via RV042 <> WS2003

Pagina: 1
Acties:
  • 102 views sinds 30-01-2008
  • Reageer

maandag 20 februari 2006 13:59

Acties:

Verwijderd

Topicstarter
Case:
Meerdere VPN verbindingen realiseren en routeren op Linksys RV042

We hebben een zaak waarbij we op dit moment 10 VPN connecties laten inbellen op een WS2003SBE. Deze connecties worden geinitieerd door routers voorzien van een user+pass waarbij we een IP adres toekennen. Gezien de stress en licentieverbruik willen we deze harwarematig laten connecten op een VPN server en deze onderdeel laten uitmaken van het netwerk. We hebben gekozen voor Linksys RV042, deze is instaat om 30 VPN connecties op te bouwen, met het oog op uitbreiding.

Doel: VPN verbindingen laten inbellen op de Linksys RV042 en deze te intregreren in het netwerk, om verkeer visa/versa te laten routeren (denk aan E-mail, DB's RDP,etc)

Configuratie:
1 WS2003
1 SpeedTouch 510 ( Planet 8/1Mbit)
1 Linksys RV042
10 VPN clients (Hardware Vigor)

De SpeedTouch is aangesloten op ADSL en heeft een Planet internet verbinding. De Speedtouch is vanaf poort1 LAN-Side(10.0.0.138) aangesloten op de WAN1(10.0.0.155) van de RV042. De eerste LANSide poort1 (192.168.2.2) van de RV042 gaat naar NIC1(Internet)(192.168.2.1) van de WS2003. De NIC2 van de WS2003 Is aangesloten op een Switch en bied toegang tot een x-aantal werkstatations.

Op de tweede LAN-Side poort2 van de RV042 gaat naar de NIC1 van een memberserver


SpeedTouch 510LAN:10.0.0.138DMZ:10.0.0.155
Linksys RV042WAN1:10.0.0.155 LAN: 192.168.2.2DMZ: 192.168.2.1
SRV01NIC1:192.168.2.1NIC2:10.0.0.2

Dé Vraag: We hebben verschillende pogingen en configuraties geprobeerd, maar komen niet echt tot een werkende oplossing. De handleiding is van voor naar achteren doorgelezen, maar bied niet meer dan een summier verslag hoe je een instelling aanpast.


[Poging1]
We hebben geprobeerd om de ST510 te bridgen en direct aan de sluiten op de WAN1 van de RV042, maar er werd geen IP adres toegewezen. Niet ontmoedigd hebben we handmatig het WAN-IPAddress toegewezen en de RV042 laten aanmelden met de juiste credentials. Dit hebben we niet werkend gekregen, (Firmware geupdate R4.2.7) en alles opnieuw geprobeerd. Geen IP, geen connectie, tijd voor poging 2.


[Poging2]
De Speedtouch aangesloten zoals hieronder met de bijbehorende IPAddressen. Vervolgens de RV042 als DMZ opgegeven. De VPNServer(RV042) als router ingesteld, om te routeren tussen de WAN-side en de LAN-side van de modem. Het grappige is nu dat VPN request worden afgehandeld door SRV01 en niet worden opgepakt door de VPNServer(RV042). Bij de Poortfowarding functie enkel de essentiele poorten doorgegeven aan SRV01 zoals FTP&HTTP&RDP.

Ik twijfel of de onderliggende keuze in de netwerkIPplan de reden is of dat we iets fundamenteels over het hoofd zien. Momenteel lukt het dus niet om de VPN connecties te realiseren naar de router.


Misschien heeft iemand een tip..... :/

maandag 20 februari 2006 14:08

Acties:
  • Equator
  • Registratie: April 2001
  • Laatst online: 17:42

Equator

Crew Council

#whisky #barista

Alhoewel ik uit je verhaal niet precies kan opmaken hoe het e.e.a in elkaar zit met IP adressen etc. denk ik toch dat je een behoorlijke denkfout maakt.

Kan je misschien een tekeningetje maken hoe je het aan hebt gesloten..

Ik zou zelf denken aan iets dergelijks:
code:
1
2
3

www-----SpeedTouch-----LAN-----Server
             |
            DMZ-----RV042-----LAN


Of anders:
code:
1
2
3

www-----SpeedTouch-----LAN-----Server
                        |
                        RV042


En dan in de speedtouch (indien mogelijk) alle verkeer voor de tunnels richting RV042(lan zijde) laten routeren..

[ Voor 14% gewijzigd door Equator op 20-02-2006 14:14 ]

maandag 20 februari 2006 16:18

Acties:

Verwijderd

Topicstarter
Hi Cyberj!

De situatie is alsvolgt aangesloten:

code:
1
2
3

www-----SpeedTouch-----RV042-----Server
                                  |
                                  LAN

- Op de Speedtouch zit 1 NIC en deze is aangesloten op WAN1 poort van de RV042
- De RV042 Heeft 4 NICpoorten waarbij de eerste poort 1 is aangesloten op een NIC in de server

In het IP-plan ziet het er alsvolgt uit:
code:
1
2
3
4
5

                10.0.0.138     10.0.0.155      192.168.2.1
80.46.x.x-----Speedtouch--------RV042-----------Server
                                                |
                                                10.0.0.2
                                                LAN

-In de Speedtouch is de RV042 ingesteld als DMZ (alle verkeer gaat naar RV042)
-In de RV042 is de Speedtouch als default GW ingesteld
-In de RV042 zijn de poorten die van belang voor de server zijn (POP,RDP,FTP,HTTP) doorgezet naar SRV01 (Geen VPN)
- De LAN zijde van de RV042 is het ipadres 192.168.2.2 gegeven

Ik hoop dit het een en ander aan licht op de situatie schijnt :)

[ Voor 4% gewijzigd door Verwijderd op 20-02-2006 16:20 . Reden: LAN zijde van de RV042 bijgevoegd ]

maandag 20 februari 2006 17:38

Acties:

Verwijderd

1) Allereerst een basisprincipe: Gebruik IP ranges niet dubbel. Nu lijkt het erop dat je de range 10.0.0.x zowel voor het segment tussen de SP510 en RV042 als het segment voor je lokale netwerk gebruikt. Niet echt handig.

2) De VPN requests worden niet opgepakt door de RV042. Maar waarom zouden ze? Tenzij je de verbindingen hebt aangepast worden ze nog steeds getermineerd op de Windows Server. Het zou een mooie boel worden als je ze zomaar zou kunnen overnemen. Je zult dus de VPN verbindingen moeten aanmaken op de RV042 en de clients verbinding naar de RV042 moeten laten maken.
Zondere die aanpassing is de RV042 gewoon een willekeurige router die tussen de vpn client en server instaat en mag de RV042 zich niet met het vpn verkeer bemoeien.

Aangezien de server in de DMZ van de RV042 staat wordt al het verkeer daar automagisch naar toegeleidt. Dus ook het VPN verkeer.

[ Voor 9% gewijzigd door Verwijderd op 20-02-2006 17:41 ]

maandag 20 februari 2006 19:38

Acties:
  • markjuh
  • Registratie: Juli 2000
  • Laatst online: 16-11-2025

markjuh

Waarom draaid je die 10 range tussen je speedtouch en je Linksys? Druk je speedtouch achter de wan van de Linksys en laat de linksys pptp naar de speedtouch opzetten. Hoppa, weg extra ip range.
Wordt het een stuk makkelijker. Dan heb je toch ook je DMZ verhaal niet nodig? Of begrijp ik je niet goed en heb je een speciale reden voor een DMZ zone?

[ Voor 25% gewijzigd door markjuh op 20-02-2006 19:40 ]

dinsdag 21 februari 2006 08:34

Acties:

Verwijderd

Topicstarter
Verwijderd schreef op maandag 20 februari 2006 @ 17:38:
1) Allereerst een basisprincipe: Gebruik IP ranges niet dubbel. Nu lijkt het erop dat je de range 10.0.0.x zowel voor het segment tussen de SP510 en RV042 als het segment voor je lokale netwerk gebruikt. Niet echt handig..
Helemaal mee eens, daarom probeerde ik ook om de speedtouch te bridgen om zo dit probleem te slechten.. helaas kreeg ik dit niet voor elkaar. Ik neem dit advies wel te harte en ga eens kijken of ik niet 172 reeks wellicht kan toevoegen hoewel ik 2x routeren niet echt mijn voorkeur geniet.
2) De VPN requests worden niet opgepakt door de RV042. Maar waarom zouden ze? Tenzij je de verbindingen hebt aangepast worden ze nog steeds getermineerd op de Windows Server. Het zou een mooie boel worden als je ze zomaar zou kunnen overnemen. Je zult dus de VPN verbindingen moeten aanmaken op de RV042 en de clients verbinding naar de RV042 moeten laten maken.
Zondere die aanpassing is de RV042 gewoon een willekeurige router die tussen de vpn client en server instaat en mag de RV042 zich niet met het vpn verkeer bemoeien.
Ik heb in het eerste plaatje ook gezegt dat de server in de DMZ van de linksys staat, in de tweede poging heb ik alleen de noodzakelijke poorten doorgezet naar de server. VPN Clients aangemaakt op de RV042. Echter de RV042 pakt ze niet op.

dinsdag 21 februari 2006 09:24

Acties:
  • djluc
  • Registratie: Oktober 2002
  • Laatst online: 18:05

djluc

Hier staan een aantal tips betreffende deze router en ip's e.d.: http://www.experts-exchan...dband/VPN/Q_21135245.html Let er vooral op dat je een ook deze router niet zomaar kunt pingen! Test dus met een client naar een client.

dinsdag 21 februari 2006 14:15

Acties:
  • markjuh
  • Registratie: Juli 2000
  • Laatst online: 16-11-2025

markjuh

Op de kpn cd's die je bij de speedtouch krijgt staat een map met ini files. Zet de pptp.ini in je speedtouch. Zet in die linksys bij wan pptpoe aan naar 10.0.0.138 . vul naam + ww van isp in. Je krijgt nu i-net ip-adres op de wan van je linksys. de speedtouch is nu als het ware transparant.

Ik snap het nut niet van de DMZ die je probeert te maken. Deze constuctie die ik voorstel is makkelijker. En hij werkt ook nog eens.

[edit]
Je hebt de optie om een spoofing.ini file in je speedtouch te zetten. Hiermee wordt het ip-adres van je isp doorgegeven naar de client die je achter je speedtouch hangt (in dit geval dus de linksys). Echter, omdat kpn dsl een nogal vreemde gateway gebruikt zal waarschijnlijk je linksys deze droppen. De thuisroutertjes van linksys accepteren deze gateway iig niet. De pptp config van hierboven lijkt mij de handigste.

[ Voor 35% gewijzigd door markjuh op 21-02-2006 14:22 ]

dinsdag 21 februari 2006 14:31

Acties:

Verwijderd

Topicstarter
Markjuh schreef op dinsdag 21 februari 2006 @ 14:15:
Op de kpn cd's die je bij de speedtouch krijgt staat een map met ini files. Zet de pptp.ini in je speedtouch. Zet in die linksys bij wan pptpoe aan naar 10.0.0.138 . vul naam + ww van isp in. Je krijgt nu i-net ip-adres op de wan van je linksys. de speedtouch is nu als het ware transparant.

Ik snap het nut niet van de DMZ die je probeert te maken. Deze constuctie die ik voorstel is makkelijker. En hij werkt ook nog eens.

[edit]
Je hebt de optie om een spoofing.ini file in je speedtouch te zetten. Hiermee wordt het ip-adres van je isp doorgegeven naar de client die je achter je speedtouch hangt (in dit geval dus de linksys). Echter, omdat kpn dsl een nogal vreemde gateway gebruikt zal waarschijnlijk je linksys deze droppen. De thuisroutertjes van linksys accepteren deze gateway iig niet. De pptp config van hierboven lijkt mij de handigste.
Mooie Tip! ;) Ik ga beide opties proberen!, BTW ik dacht dat de RV042 prof. was, maar ik kan me vergissen, de DMZ oplossing is Nu tijdelijk om wat zaken (volledig) af te vangen die nu anders naar een membersvr zouden gaan, maar die gaat nu spoedig vervallen! Kijk voor werkende oplossingen zijn we altijd in... :*)

dinsdag 21 februari 2006 15:24

Acties:
  • markjuh
  • Registratie: Juli 2000
  • Laatst online: 16-11-2025

markjuh

Verwijderd schreef op dinsdag 21 februari 2006 @ 14:31:
[...]


Mooie Tip! ;) Ik ga beide opties proberen!, BTW ik dacht dat de RV042 prof. was, maar ik kan me vergissen, de DMZ oplossing is Nu tijdelijk om wat zaken (volledig) af te vangen die nu anders naar een membersvr zouden gaan, maar die gaat nu spoedig vervallen! Kijk voor werkende oplossingen zijn we altijd in... :*)
Ik vind linksys nu niet echt prof nee. Ik wil niet zeggen dat het niet werkt, maar het is toch niet te vergelijken met de oplossingen van Cisco, Netscreen, Watchguard of Netasq (wat wij vaak gebruiken). Maar de prijs is ook totaal anders.

woensdag 22 februari 2006 10:34

Acties:

Verwijderd

Topicstarter
Markjuh schreef op dinsdag 21 februari 2006 @ 15:24:
[...]


Ik vind linksys nu niet echt prof nee. Ik wil niet zeggen dat het niet werkt, maar het is toch niet te vergelijken met de oplossingen van Cisco, Netscreen, Watchguard of Netasq (wat wij vaak gebruiken). Maar de prijs is ook totaal anders.
Eens, dat is een andere class, er is voor Linksys gekozen vanwege de hoeveelheid aan tunnels die gemaakt kunnen worden voor een heel aantrekkelijke prijs, waarbij we natuurlijk hopen dat de spin-off van Cisco overgaat in hun dochter Linksys. ;)

woensdag 22 februari 2006 11:50

Acties:
  • markjuh
  • Registratie: Juli 2000
  • Laatst online: 16-11-2025

markjuh

Verwijderd schreef op woensdag 22 februari 2006 @ 10:34:
[...]


Eens, dat is een andere class, er is voor Linksys gekozen vanwege de hoeveelheid aan tunnels die gemaakt kunnen worden voor een heel aantrekkelijke prijs, waarbij we natuurlijk hopen dat de spin-off van Cisco overgaat in hun dochter Linksys. ;)
True, maar ik betwijfel of die linksys werkelijk krachtig genoeg is om full security te draaien op 15 tunnels. Dus ipsec vpn met 3des en SPI enabled op je firewall. Mijn ervaring is dat wanneer je dit doet op een aantal tunnels op dit soort budget oplossingen (no offence) dat zo'n apparaat niet vooruit te branden is. Is het trouwens gelukt?

vrijdag 24 februari 2006 12:27

Acties:

Verwijderd

Topicstarter
Markjuh schreef op woensdag 22 februari 2006 @ 11:50:
[...]


True, maar ik betwijfel of die linksys werkelijk krachtig genoeg is om full security te draaien op 15 tunnels. Dus ipsec vpn met 3des en SPI enabled op je firewall. Mijn ervaring is dat wanneer je dit doet op een aantal tunnels op dit soort budget oplossingen (no offence) dat zo'n apparaat niet vooruit te branden is. Is het trouwens gelukt?
Yep, we hebben de Speedtouch 510 in DHCP spoof mode gezet, de RV042 accepteerd het subnet 255.255.255.255 en routeerd nu door.. Nu nog even de VPN tunnels definieeren, daar ligt nog een uitdaging

zondag 26 februari 2006 13:27

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Markjuh schreef op woensdag 22 februari 2006 @ 11:50:
True, maar ik betwijfel of die linksys werkelijk krachtig genoeg is om full security te draaien op 15 tunnels. Dus ipsec vpn met 3des en SPI enabled op je firewall. Mijn ervaring is dat wanneer je dit doet op een aantal tunnels op dit soort budget oplossingen (no offence) dat zo'n apparaat niet vooruit te branden is.
Je zou in dat geval ook kunnen overwegen van AES (indien ondersteund) gebruik te maken.
3DES is inherent zwaarder qua processorbelasting (en dus minder efficient).

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

Pagina: 1
Reageer