Linksys BEFSX41 VPN-Endpoint

Wat ik graag wil is een VPN opzetten zodat ik bij onze server op kantoor kan komen vanaf thuis.
Een netwerk schets:


RedHat9 = Onze RedHat 9 Linux server welke op kantoor staat, dit is dus de machine waar ik primair bij wil komen.
XP 1 = XP machines die op kantoor staan (laptops). Als ze er zijn is het leuk om ze te kunnen benaderen maar het is geen must.
LinkSys = LinkSys BEFSX41 Cable/DSL router met VPN endpoint die alle machines op kantoor van internet voorziet en als FireWall fungeert.
Aangezien deze een VPN EndPoint heeft (aldus documentatie) wil ik graag met deze router mijn VPN tunnel gaan opzetten.
Internet verbinding is een synchrone 3 MBit/s verbinding.
ST510 = Alcatel SpeedTouch 510 v4. Dit is dus geen Home model. Dit modem heeft de SIP spoof tweak 'ondergaan' waardoor dit modem niet langer als router fungeert maar alleen de connectie naar het internet verzorgt. De Debian server heeft dus het publieke IP adres.
Snelheid op moment van schrijven is ADSL Basic (2240/416).
Debian = Debian Testing Linux server. Deze verzorgt internet en firewall voor andere machines thuis middels IPTables.
XP 2 = Laptop welke ik normaal meeneem naar de zaak maar vanaf waar ik dus ook op de zaak wil komen; middels VPN
XP 3 = Vaste machine thuis vanwaar ik eventueel ook nog kan werken.

Aangezien ik de laptop (XP 2) zowel thuis als op kantoor gebruik heb ik thuis dezelfde IP range als op kantoor (192.168.0.x). IP adressen van alle machines (zowel op kantoor als thuis) zijn static ingesteld binnen deze range. LinkSys BEFSX41 heeft IP adres 192.168.0.1 en dus het externe adres 195.xxx.xxx.xxx, Debian server thuis heeft IP adres 192.168.0.1 en extern adres 80.xxx.xxx.xxx.

Nu wil ik dus een VPN connectie opzetten maar ik kom er dus echt niet uit met de documentatie van LinkSys, de uitleg voor Windows 2000/XP is te uitgebreid/simplistisch beschreven en die voor de router zelf te miniem (2 plaatjes).
Hoe kan ik nu toch een VPN opzetten met deze bestaande hardware want zo kom ik er niet uit.

[ Voor 2% gewijzigd door Koffie op 07-07-2004 12:55 ]

Wat er mis gaat:
De hele opzet. Kennelijk kan deze router niet als VPN server fungeren waardoor ik niet eenvoudigweg met XP een VPN sessie kan opbouwen met de router.
Vraag is dus simpelweg: hoe dan wel? De documentatie vermeldt namelijk dat er 2 VPN Endpoints nodig zijn, 1 is dus de router en de andere kan bijv. de WinXP VPN client zijn.
Vraag is dan alleen: wie is de VPN server en als de router dit niet is waarvoor heeft deze dan een VPN EndPoint.
Kennelijk snap ik het gewoon niet.

Heb inmiddels, om de tutorial, goed te kunnen volgen zodat daar geen misverstanden over kunnen ontstaan mijn Debian vervangen door Windows 2000 Server. Tips zijn natuurlijk welkom. Ik ga dus kijken of de tunnel nu wel lukt.

Alle instellingen maar eens op een rijtje zetten:
Op de BEFSX41, tunnel 1 aangemaakt:
Local secure group: Subnet 192.168.0.0/255.255.255.0
Remote secure group: Subnet 192.168.1.0/255.255.255.0
Remote security group: IP address: 80.xxx.xxx.xxx (WAN IP thuis)
Encryption: DES
Authentication: MD5
Key management: Auto (IKE), PFS Enabled, Pre-shared key: xxx, Key lifetime: 3600
Status: connected

Op mijn Windows 2000 bak thuis:
Middels secpol.msc bij IP security Policies on Local Machine een IP security policy toegevoegd met volgende instellingen:
Name: IPSec tunnel to office
IP Security Rules:
Office network to Home network:
Office network to Home network filter geactiveerd, source address: IP subnet 192.168.0.0/255.255.255.0, destination address: IP subnet 192.168.1.0/255.255.255.0, Mirrored enabled, Any protocol
Filter action Require security geactiveerd, accept unsecured, but always respond using IPSec disabled
Authentication Methods Preshared Key met zelfde sleutel als ingevoerd bij de BEFSX41
Tunnel setting endpoint specified by IP address 80.xxx.xxx.xxx (WAN thuis)
Connection type All network connections

Home network to Office network:
Home
Office network to Home network:
Office network to Home network filter geactiveerd, source address: IP subnet 192.168.0.0/255.255.255.0, destination address: IP subnet 192.168.1.0/255.255.255.0, Mirrored enabled, Any protocol
Filter action Require security geactiveerd, accept unsecured, but always respond using IPSec disabled
Authentication Methods Preshared Key met zelfde sleutel als ingevoerd bij de BEFSX41
Tunnel setting endpoint specified by IP address 80.xxx.xxx.xxx (WAN thuis)
Connection type All network connections

Home network to Office network:
Home network to Office network geactiveerd, source address: IP subnet 192.168.1.0/255.255.255.0, destination address: IP subnet 192.168.0.0/255.255.255.0, Mirrored enabled, Any protocol
Filter action Require security geactiveerd, accept unsecured, but always respond using IPSec disabled
Authentication Methods Preshared Key met zelfde sleutel als ingevoerd bij de BEFSX41
Tunnel setting endpoint specified by IP address 195.xxx.xxx.xxx (WAN kantoor)
Connection type All network connections

De connectie is er dus, maar ik kan aan beide zijden geen enkele machine aan de andere kant van de tunnel bereiken. Moet ik nog iets anders doen?

GREENSKiN schreef op 09 juli 2004 @ 02:02:
Vraagje tussendoor: kan je, wanneer je de VPN client gebruikt op deze Linksys (BEFSX41), instellen dat de verbinding enkel via die VPN loopt voor een bepaald subnet?

Voorbeeld: Alleen verkeer voor IP's 212.66.x.x gaat over de VPN, de rest gaat over de normale verbinding.

Ik denk het niet, je kunt wel aangeven welke secure lan group (IP range) bij de tunnel kan maar je kan (denk ik) niet aangeven dat een bepaalde group alleen via VPN loopt en de rest via de router-functie. Of bedoel je iets anders?

GREENSKiN schreef op 09 juli 2004 @ 11:03:
Hmm, wat ik bedoel is dat pakketjes bedoeld voor de range 221.33.x.x over de VPN verbinding gaan, en alle andere pakketjes over de normale verbinding. Soort van routering zegmaar.

Dat is dus precies wat ik ook wil bereiken. Als het met lukt dan plaats ik de oplossing. Het is me nu overigens een keer gelukt om te pingen vanaf mijn PC thuis naar een PC op kantoor. Hierbij werd de name geresolved maar voor de rest kwam er niks. Ben dus op de goede weg.

Lees net in ander topic dat IPSec over Alcatel SpeedTouch 510 voor problemen kan zorgen met SIP spoof/DHCP Spoof.
SIP spoof geeft nl. als eerste hop 1.2.3.4 i.p.v. gateway adres (80.xxx.xxx.xxx)
Naja, de verbinding is nu wel constant maar data-overdracht tussen die router op kantoor en Windows 2000 server thuis lukt nog niet.

Na het verwijderen van de SIP spoof heb ik helaas nog geen beter resultaat kunnen bereiken. Gebruik nu de oude ADSL_PPTP.ini.
Als iemand nog tips heeft dan hoor ik deze graag want ik begin aan het einde van alle mogelijkheden te raken.

Het is me nog steeds niet gelukt. Ik heb echter nog wel wat vraagjes
Moet ik de externe IP's overal invullen of moet ik daar de eerste hop invullen van een tracert naar buiten?

Verwijderd schreef op 14 juli 2004 @ 17:41:
Moet je die Linksys router daarvoor niet in combinatie met een USB VPN adapter http://www.linksys.com/pr...?grid=34&scid=30&prid=543
gebruiken?

Nee, de VPN connectie wordt wel opgebouwd maar communicatie via de tunnel lijkt onmogelijk