Welche Arten von VPN gibt es und wie unterscheide ich das?

Welche Arten von VPN gibt es und wie unterscheide ich das?

Impressum | Werbung

Geizhals » Forum » Netzwerk »

Welche Arten von VPN gibt es und wie unterscheide ich das? (27 Beiträge, 236 Mal gelesen)

Top-100 | Fresh-100

Du bist nicht angemeldet. [ Login/Registrieren ]

Hintergrund:

in einem Thread in dem keiner antwortete ging es um einen Router, der nach 1 min die VPN Verbindung unterbrach.

http://forum.geizhals.at/t314535.html

jetzt hat der Support gemeint, das das Verhalten auftritt, wenn eine VPN Verbindung benutzt wird, die der Router nicht unterstützt.

Er unterstützt nur PPTP VPN Verbindungen.
Was ist das? Woran erkenne ich das bei einer eingerichteten Verbindung?
Und wo kann ich das umstellen?

Am Telefon sagte mir der Supportmensch das der Router nur Passthrough Verbindungen kann. Ist das das selbe wíe PPTP?

mfg

Ramses

--------------------------------------------------------------------------------
PLUG & PLAY Schraubenzieher erkannt, legen Sie den Datenträger mit der Aufschrift Driver Disk ein und drücken Sie die Anykey Taste.
--------------------------------------------------------------------------------

blöde fragen, aber wieso fragst du das alles nicht den support wenn er schon mit dir redet? warum sagt man am telefon auf alles ja und amen obwohl man sich nicht auskennt?

I google, therefore I am
nico

Vote 4 FireFox

Public CSS: server.rawclan.at

blöde fragen,

Es gibt keine blöden Fragen, nur blöde Antworten

Das eine war ein Telefonat vor einigen Tagen, das andere eine E-Mail die ich eben empfangen habe.

Wenn Du nichts nützliches zum Thema beitragen kannst/willst, lass bitte die Kommentare.

mfg

Ramses

--------------------------------------------------------------------------------
PLUG & PLAY Schraubenzieher erkannt, legen Sie den Datenträger mit der Aufschrift Driver Disk ein und drücken Sie die Anykey Taste.
--------------------------------------------------------------------------------

Es gibt keine blöden Fragen, nur blöde Antworten

das war gültig, als die leute noch selber mitdachten

Wenn Du nichts nützliches zum Thema beitragen kannst/willst, lass bitte die
Kommentare.

ich will aber von DIR wissen wieso DU nicht diese fragen den support stellst.

wenn mir ein supportler sagt "mach das und das und nur mit dem geht es"
und ich weiss nicht was er meint dann sag ich nicht "vielen dank" und frag dann in einem forum sondern sag "was meinen sie damit?"

I google, therefore I am
nico

Vote 4 FireFox

Public CSS: server.rawclan.at

das war gültig, als die leute noch selber mitdachten

Diese Meinung teile ich nur teilweise

wenn mir ein supportler sagt "mach das und das und nur mit dem geht es"
und ich weiss nicht was er meint dann sag ich nicht "vielen dank" und frag
dann in einem forum sondern sag "was meinen sie damit?"

hmm ich muss Dir Recht geben.

Man denkt während solch einem Telefonat halt auch nicht an alles.
Der Support Mensch hat während des Telefonats auch 2x einen Kollegen Fragen müssen.

Das hilft mir aber jetzt nicht weiter. Kannst Du mir denn Helfen bei der Frage?

Dich ja als letzten Stand nun die E-Mail habe, frage ich eben in deren Beantwortung noch mal nach. Das erhöht vielleicht die Chance eine Antwort zu bekommen.

Wäre dennoch nett wenn mir hier einer helfen kann, die letzte E-Mail des Support hat nämlich 3 Tage gedauert.

mfg

Ramses
--------------------------------------------------------------------------------
PLUG & PLAY Schraubenzieher erkannt, legen Sie den Datenträger mit der Aufschrift Driver Disk ein und drücken Sie die Anykey Taste.
--------------------------------------------------------------------------------

Ich würde sagen das PPTP Pass-Through eigentlich nur ein VPN-Protokoll ist (wird manchmal als PPTP als auch Pass-Through bezeichnet), und z.B. IPSec ist ein anderes, aber schau mal hier
http://www.zyxel.com/support/supportnote/zywall10/faq/vpn_faq.htm
da stehen am Anfang der Seite einige Erklärungen zu VPN drinnen.

lg
Maximus

My name is Maximus Decimus Meridius, Commander of the Armies of the North,
General of the Felix Legions, loyal servant to the true emperor, Marcus Aurelius.

Hi !

Ich hatte heut' schon ein paar Bierchen - versuch's aber trotzdem:

1.) Wenn du Windows-Clients hast und mit "Bordmitteln" arbeiten willst - kommen nur 2 VPN-Typen in Frage:
IPSec und PPTP.
IPSec ist ein "ganz offener Standard" - und wäre sowohl technisch als auch von der Verfügbarkeit vorzuziehen.
PPTP ist eine M$-Lösung und schwieriger unter anderen Systemen zu implementieren (Du kannst PoPToP als Server verwenden, nur kann's lizenztechnisch bei MPPE (der Encryption) Streß geben.

Beide haben aber Probleme, wenn mehr als ein Client hinter einem NAT-Device ist (meist dein Router).

IPSec zB unterstützt AH und ESP.
AH = Authentication Header
ESP = Encrypt Security Payload
Bei AH (das den Absender von Paketen authentifiziert) wird eine MD5-Summe über Quell-IP/Port genommen. Das klappt niemals bei Source-Natting (weil die Infos eben verändert werden).
ESP wiederum Vercrypted die komplette IP-Payload.
Der "Witz" dabei ist, daß das genau solange klappt, solange der Client der einzige Rechner hinter einem NAT-Device ist.
Warum ?
Angenommen, du baust hinter einer NAT eine Connection auf.
Die NAT-FW tauscht die Quell-IP durch die eigene aus und merkt sich die originale Quell-IP für Retour-Packerl -> das klappt.
Angenommen, der 2. Client beginnt ebenfalls eine Connection aufzubauen -> Dann ändert das NAT-Device zusätzlich den QuellPort - den es aber bei ESP so nicht gibt ... -> Eine der 2 Client-Connections stirbt.
Lösung: NAT-Traversal.
Das muß Client- und Server-seitig konfiguriert sein. Dann werden alle IPSec-Packerl in ein UDP-Packerl gepackt und die Welt ist schön (=dann klappt es mit NAT)... Nachteil: Ich vermute stark, daß das unter XP-Home nicht klappt (habe keinen Config-Schalter gefunden).

PPtP:
PPtP verwendet _2_ Kanäle - einen Steuer- und einen Datenkanal.
Wenn der RTR das Unterstützt (das ist naturgemäß nicht NW-Transparent) - _kann_ es klappen.

Wenn du eine Wahl hast, welches VPN du verwenden kannst (weil Du den Concentrator administrierst/betreibst) -> verwende den von openvpn.sf.net

Bietet echt viele Möglichkeiten, watscheneinfach zum Aufsetzen (sowohl Server als auch Clients), extrem sicher und erspart viele Probs mit PPtP, in die du in der Folge gerne reinläufst (MTU-Gschichterl, ...)

Hoffe, daß es half - wenn nicht lags an meinem letzten Bier - mail einfach nochmal

Ich erklär nochmal worum es bei mir geht.

2 PCs hinter einem Devolo Modem Router der laut Hersteller nur PPTP VPN kann.

der eine Rechner hat win2k, der andere win xppro.

Der mit win2k ist egal, der interessiert hier nicht.

Der mit win xp pro sp2 muß eine VPN Verbindung aufbauen können (ausgehend)
Darüber wiederum soll VNC eingehend möglich sein.
Wichtiger aber ist dass wenn die VPN Verbindung aufgebaut ist eine Intranetseite zugreifbar sein muß, mit der gearbeitet wird. Diese wird momentan nach 1 min getrennt.
Und der Hersteller sagt daß der Router das bei Nicht PPTP VPN machen täte.

Für mich wäre jetzt interessant, wie ich erkenne, welche Art von VPN momentan eingestellt ist und wie und wo ich das ändern kann um dann eine VPN Verbindung herzustellen die der Router unterstützt.

Ansonsten täte mir nur ein Router-Austausch als mögliche Lösung einfallen.

Ein anderer User wählt sich erfolgreich ein, hat aber Einzelplatz (Home PC)
Und keinen Router davor.

Ansonsten Danke für Deinen Beitrag, den lese ich morgen noch mal nach dem 2. Kaffee, ist für jetzt zwischen Stargate Atlantis und schlafen zu viel.

mfg

Ramses

--------------------------------------------------------------------------------
PLUG & PLAY Schraubenzieher erkannt, legen Sie den Datenträger mit der Aufschrift Driver Disk ein und drücken Sie die Anykey Taste.
--------------------------------------------------------------------------------

Hi !

Also möglicherweise steh' ich total auf der Seif'...

Also die Situation ist scheinbar jetzt folgende:

Concentrator C === INET === RTR R --- Clients A und B

Auf C hast du net die Hand drauf - kannst also net sagen, daß du gerne VPN xyz fahren würdest - sondern du Konfigurierst nur A und B.

Soweit ich XP im Kopf habe (ich meide es und kenn nur Home - sorry) - hat man dort bei Verbindungen irgendwie "Verbindung mit dem Firmennetz herstellen" ausgewählt und sich dann für Wahlweise "L2TP/PPTP oder IPSec" entschieden - also sollte dir dein Protokoll eh' klar sein.

Für mich klingt es auf jeden Fall so, als ob du IP/Sec fährst - und der 2. PC oder was anderes reinpfuscht (siehe meine "klappt nur bei einem"-Erklärung).

Wenn du mal auf die schnelle rausfinden willst, was wirklich über's Netz übertragen wird - und evtl. die Abbruchursache mitbekommen willst - nimm tcpdump.

tcpdump gibt's 100pro auch in einer Windows-Version...
IP/Sec ist ein eigenes Protokoll und sofort am Dump erkennbar - PPTP imho wird ebenfalls von tcpdump erkannt...

Ich werde es so mal versuchen.

Die Situation hast Richtig erkannt. Ich habe nur mit den 2 Clients hinter dem Router zu tun.

Ich werd mir tcpdump mal heranziehen und sehen was für ein protokoll da gefahren wird.

Wenn es IPSEC ist, kann ich das ja theoretisch am Clienten nicht so einfach ändern, da ich es am Server auch ändern müsste, sehe ich das richtig?

In dem Falle wäre ein Router der das unterstützt ggf die bessere Wahl.

Wir wollen ja nicht wegen 2 Clients ein ganzes NW ändern.

mfg Ramses

PS: prost

--------------------------------------------------------------------------------
PLUG & PLAY Schraubenzieher erkannt, legen Sie den Datenträger mit der Aufschrift Driver Disk ein und drücken Sie die Anykey Taste.
--------------------------------------------------------------------------------

Wenn es IPSec ist - was ich vermute - dann hast sehr wohl noch Möglichkeiten.

Jeder IPSec-Concentrator (den ich kenne) bietet NAT-Traversal.
Dein Problem wäre dann "nur", das unter Windows zum laufen zu kriegen.
Es ist zwar denkbar, daß der Server NAT-Traversal deaktiviert hat - nur ist mir das noch nie untergekommen und ich wüßte auch keinen logischen Grund dafür.
Das Problem wäre dann so oder so _nicht_ RTR-Seitig zu lösen, sondern Clientseitig.
Unter XP-Home hab' ich da nix gefunden, aber ich bin mir ziemlich sicher, daß XP Prof das kann (wär' ja schlimm sonst).

BTW (falls es doch PPTP ist) -> auf dem RTR muß man dann PPtP-Unterstützung extra aktivieren - könnte es sein, daß du das einfach vergessen hast ?

cu
gepeinigter.

Auszug Support Mail:

"der devolo MicroLink ADSL Modem Router unterstützt derzeit nur VPN über PPTP. Sollte in Ihrem Fall eine andere VPN-Lösung genutzt werden kann dies zu dem beschriebenen Verhalten führen." (vpn nach 1 min getrennt)

Ich wüst nicht wo man das PPTP extra einhaken kann.
hier ist ne Routersimulation, kannst ja selber mal schauen.

http://www.devolo.de/opt/konfig_adsl_modem_router/de/index.htm

sorry aber das versteh ich nicht ganz

mfg

Ramses

--------------------------------------------------------------------------------
PLUG & PLAY Schraubenzieher erkannt, legen Sie den Datenträger mit der Aufschrift Driver Disk ein und drücken Sie die Anykey Taste.
--------------------------------------------------------------------------------

Seltsam...

Ich _hörte_ nur von anderen Routern, wo man das extra aktivieren mußte.

Vielleicht erklärt http://www.microsoft.com/technet/community/columns/cableguy/cg0103.mspx
einiges ? Mein PPTP-Wissen stammt ausschließlich von dort bzw. der PoPToP-Doku...

in meinem letzten post fehlt was

Jeder IPSec-Concentrator (den ich kenne) bietet NAT-Traversal.

das meinte ich mit verstehe ich nicht ganz.

ich habe alle links erst ma in den fav. schaue mir das in ruh mal an.

mfg

Ramses

--------------------------------------------------------------------------------
PLUG & PLAY Schraubenzieher erkannt, legen Sie den Datenträger mit der Aufschrift Driver Disk ein und drücken Sie die Anykey Taste.
--------------------------------------------------------------------------------

Aso... Also:

Ein Concentrator ist die Bezeichnung für einen VPN-"Server" - eben wo sich alle VPN-Clients anmelden.

Bei IPSec rennt's grundsätzlich so, daß unten IP verwendet wird - aber nicht wie sonst üblich TCP oder UDP gleich drauf sondern eben die IPSec-header. Erst TCP und UDP bringen die Portnummern mit - daher gibt's eben genau den Streß bei NAT.

Näheres:
http://www.ipsec-howto.org/ (echt gute Quelle).
NAT-Traversal hier: http://www.ipsec-howto.org/x175.html

"normales" IPSec und NAT verträgt sich mal grundsätzlich nicht...
Daher gibt's die Funktionalität NAT-Traversal - dann klappt es wieder.

NAT-Traversal ist aber eine Option - Jeder mir bekannte Concentrator bietet sie - aber das bedeutet nicht
a.) Daß das auch für deinen Firmenserver gilt oder
b.) daß das dort auch aktiviert ist...

cu
gepeinigter.

Am Telefon sagte mir der Supportmensch das der Router nur Passthrough Verbindungen kann. Ist das das selbe wíe PPTP?

Er schleift pptp nur durch
(dein router)
er kann selbst keine pptp verbindungen aufbauen

Der mit win xp pro sp2 muß eine VPN Verbindung aufbauen können (ausgehend)
Darüber wiederum soll VNC eingehend möglich sein.

Versteh ich nicht
wieviele VPN verbindungen baust du auf?

Ich dachte du willst nur zu dem firmenrechner
und dort auf den internen webserver zugreifen

ABgesehen davon wie baust du eine verbindung zu deinem ISP auf?

Wichtiger aber ist dass wenn die VPN Verbindung aufgebaut ist eine Intranetseite zugreifbar sein muß, mit der gearbeitet wird. Diese wird momentan nach 1 min getrennt.

Wenn die VPN verbindung nach einer min. getrennt wird
dann beendet entweder der Client oder der server die verbindung
weil er keine packte mehr bekommt oder verfaelschte.
Was sagt denn dein sysadmin in der firma dazu?

um dann eine VPN Verbindung herzustellen die der Router unterstützt.

Du hast keine auswahl
der kann nur pptp durschleifen

Ein anderer User wählt sich erfolgreich ein, hat aber Einzelplatz (Home PC)
Und keinen Router davor.

..und der hat ISDN, analog-modem?

##Versteh ich nicht
##wieviele VPN verbindungen baust du auf?

eine vpn Verbindung von einem PC wäre schon mal gut, das habe ich auch so versucht.

##Ich dachte du willst nur zu dem firmenrechner
##und dort auf den internen webserver zugreifen

Das ist Richtig. Aber wenn die VPN Verbindung steht wäre es gut wenn man diese für VNC in die andere Richtung nutzen könnte. Das ist zweitrangig, aber hilfreich damit der "Sysadmin" nicht so viel rumfahren muß.

##ABgesehen davon wie baust du eine verbindung zu deinem ISP auf?

T-DSL im Router konfiguriert
ich persönlich Arcor DSL mit Netgear WLAN Router

##Wenn die VPN verbindung nach einer min. getrennt wird
##dann beendet entweder der Client oder der server die verbindung
##weil er keine packte mehr bekommt oder verfaelschte.
##Was sagt denn dein sysadmin in der firma dazu?

Irgendwie kennt sich da keiner richtig aus.
Habe den wo ich dachte er wär der Admin angerufen, der kannte sich nicht aus. Ich wollt dass er mal in seine Protokolle schaut, ob da was zu lesen ist bzgl. Disconnect oder so.
Das VPN hat nach Aussage der Mitarbeiterin noch nie funktioniert.

Ein anderer User wählt sich erfolgreich ein, hat aber Einzelplatz (Home PC)
Und keinen Router davor.

##..und der hat ISDN, analog-modem?

er hat DSL Anbieter mir gerade nicht bekannt

und er nutzt vpn

mfg

Ramses
--------------------------------------------------------------------------------
PLUG & PLAY Schraubenzieher erkannt, legen Sie den Datenträger mit der Aufschrift Driver Disk ein und drücken Sie die Anykey Taste.
--------------------------------------------------------------------------------

24.02.2005, 21:46 Uhr - Editiert von Ramses, alte Version: hier

Hi !

Könnte auch ein MTU-Prob sein - daß eben beim 1. großen Paket alles steht.

So oder so - hol dir tcpdump, starte es, bau dann die Verbindung auf und stell die Ausgabe da rein... Sonst wird's nix.

die ausgabe wo rein?

mfg

Ramses
--------------------------------------------------------------------------------
PLUG & PLAY Schraubenzieher erkannt, legen Sie den Datenträger mit der Aufschrift Driver Disk ein und drücken Sie die Anykey Taste.
--------------------------------------------------------------------------------

habe windump installiert, (auch winpccap)

hast Du vielleicht den richtigen Befehl (schalter) zur Hand?

Oder reicht es das einfach zu starten?

Wenn ich das richtig interpretiere müsst ich zumindest den NW Adapter angeben.

mfg

Ramses

--------------------------------------------------------------------------------
PLUG & PLAY Schraubenzieher erkannt, legen Sie den Datenträger mit der Aufschrift Driver Disk ein und drücken Sie die Anykey Taste.
--------------------------------------------------------------------------------

Hi !

Ich komm aus der Linuxwelt - da klappt die erste Annäherung einfach so:
tcpdump -i eth0 > Datei

http://www.secure-access.at.tf/

wenn du interesse hast, kannst du dir hier unsere Diplomarbeit runterladen, handelt komplett von VPN

lg
Amorphis

ah lustig tgm ^^ ich würd mal bei der protokoll db ein pw machen sonst löscht da jemand noch was

tagesschule oder kolleg ?
wer is euer betreuer ?

ups ... da is der serverumzug schuld dran ^^ keine .htaccess ... na egal is ma e wurscht wenn da wer was löscht ^^

is ja schon a paar monate her

Kolleg
Bucsics war unser betreuer

Eine Gilde der Horde auf Kel'Thuzad

ah deswegen is die site in php

wer macht denn jetzt die ainac seite schaut ja schlimm aus

Danke sehr

mfg

Ramses
--------------------------------------------------------------------------------
PLUG & PLAY Schraubenzieher erkannt, legen Sie den Datenträger mit der Aufschrift Driver Disk ein und drücken Sie die Anykey Taste.
--------------------------------------------------------------------------------

Dieses Forum ist eine frei zugängliche Diskussionsplattform.
Der Betreiber übernimmt keine Verantwortung für den Inhalt der Beiträge und behält sich das Recht vor, Beiträge mit rechtswidrigem oder anstößigem Inhalt zu löschen.
Datenschutzerklärung