[Router] Zugang zu einem Firmennetzwerk ? Frage für Profis!

Zugang zu einem Firmennetzwerk ? Frage für Profis!

Hallo,

ich habe eine für mich sehr schwierige Aufgabe zu bewältigen. Ich verfüge über eine Notebook von Dell, für das ich nur lokale Admin Rechte besitze.


Zu Hause verfüge ich über einen Versatel DSL Flatrate Zugang und eine gehe über einen FRITZ!Box Fon WLAN 7050 Router ins Netz.

Nun möchte ich von zu Hause über mein Firmennotebook und meinen Router auf das interne Netzwerk meines Arbeitgebers zugreifen.

Kollegen brichten mir von Problemen mit dem Fritz7050 Router. Geht wohl nicht. Einfache Netgear Router sollen funktionieren. Der Grund ist uns aber nicht bekannt. Die Kollegen vermuten, dass es was mit Proxy zu tun haben kann. Ich habe keine Ahnung davon. Die Kollegen aber auch nicht.

Ich würde gerne über meinen Fritz Router zugreifen, sonst muß ich mir einen neuen Router kaufen.

Die Systemverwaltung meines Arbeitgebers hat mir eine Liste mit folgenden Voraussetzungen gesendet:

1. Für die LAN Verbindung ist das Protokoll IP unter Nutzung von DHCP zu aktivieren. Desweiteren ist die Installation des VPN-Clients und Aktivierung einer lokalen Firewall notwendig.

2. Installation eines DSL Routers mit folgenden Optionen:

-DHCP Server
-Lan Verbindung zwischen PC und Router über LAN Kabel (hab ich)
-Der PC sollte im Router nicht als DMZ-Host konfigurriert sein. Bitte stellen Sie Ihren Router entsprechend ein.
-Der Router muss in der Lage sein VPN-Daten eines PCs weiterzuleiten, dies bezieht sich auf IP Protokolle UDP(IKE) und UDP 4500 (esp im NAT/transpartent mode) Der Router braucht nicht die Option zu besitzen, selbst VPN-Verbindungen herzustellen.

Also, ich verstehe von den o.g. Anforderungen gar nichts. Habe ich die Möglichkeit meinen Fritz Router 7050 so einzustellen, dass er die o.g. Anforderungen erfüllt ? Oder brauche ich zwangsläufig einen anderen Router. Welchen ??

Vielen Dank für Eure Hilfe !

Schau Dir mal diesen Link an sowie die Antworten und weiterführenden Links. Die Box scheint es grundsätzlich zu unterstützen, hat aber dabei ihre Tücken.

Welche VPN- lösung benutzt den deine Firma

Sollst du die MS-VPN Lösung nutzen .......

Hast du den VPN-clienten schon installiert wenn ich richtig lese aus den Anweisung deiner Firma mußt du eine Firewall installieren (sowie Konfigurieren) dein Home-Netzwerk auf DHCP stellen (was ich nicht als zwingend notwendig halte) und in der fritzbox eine Portweiterleitung UDP 4500
auf den VPN-client PC.....


Müßte meiner meinung realiesierbar sein...........

Hier ist mal ne Anleitung für eine VPN-Verbindung per MS

Gestern erst eingerichtet. Funktioniert bestens mit der MS eigenen VPN.

So gehts mit dem 7050
-VPN einrichten. (siehe Freaks Link)

-Portweiterleitung auf den VPN Server:

Ports 1723 & 50 (TCP)
Protokolle GRE & ESP (ohne Port/IPangabe)

Ähh, vielen Dank für Eure Hilfe. Ich werde am 15.12.05 erst meinen Zugang erhalten. Ich kann es erst dann ausprobieren. Seit mir aber bitte nicht böse, aber ich verstehe eigentlich nur Bahnhof. Ich glaube, ich bin so etwas wie ein Enduser.

Die Anleitung auf dem Link von Freak bekomme ich wahrscheinlich hin, ist ja alles genau beschrieben.

@MaXg
Wie geht es dann weiter ? Was meinst Du mit:

Portweiterleitung auf deb VPN Server: Ports 1723 & 50 (TCP)
Protokolle GRE & ESP (ohne Port/IPangabe)

Wo muß ich was genau wie machen ?????? Kannst Du das vielleicht fur Enduser beschreiben ??

Lieben Dank !

Einstellungen in der AVM Box vornehmen.

Internet -> Portweiterleitungen.

Zur Fritzbox gibts Gratis ein Handbuch dazu. Da werden schon die meissten Fragen beantwortet.

Wenn du die VPN Verbindung einrichten kannst, ist die Weiterleitung ein klacks für dich.

Danke! Ich werde alles am 15.12.2005 versuchen und mich dann sicher wieder melden. Ich leite diesen Thread erst mal an alle Kollegen weiter, die auch einen Home Office Zugang haben. Vielleicht kommt auch von dort noch eine Frage.

Vielen Dank an alle ! Dies ist wirklich ein Spitzenforum

Hab grade den ersten post nochmal gelesen.

Da steht was von "Systemverwaltung meines Arbeitgebers"

Was Verwalten die Systemverwalter eigentlich?

Dann steht da noch: "port 4500 UDP"

Das wiederum klingt nach nicht von MS....

In diesem Fall sollte man wissen welche Soft zum Einsatz kommt und wie die Serverkonfiguration ist.
PRE-KEY; PRE-Share Key; via Zertifikat usw....


Die Keys oder Zertifikate braucht man auch beim MS-VPN. Hast du die?

MaXg schrieb:

Hab grade den ersten post nochmal gelesen.

Da steht was von "Systemverwaltung meines Arbeitgebers"

Was Verwalten die Systemverwalter eigentlich?

Dann steht da noch: "port 4500 UDP"

Das wiederum klingt nach nicht von MS....

In diesem Fall sollte man wissen welche Soft zum Einsatz kommt und wie die Serverkonfiguration ist.
PRE-KEY; PRE-Share Key; via Zertifikat usw....


Die Keys oder Zertifikate braucht man auch beim MS-VPN. Hast du die?

Zum Vergrößern anklicken....

Ich habe keine Keys. Wir wählen uns bzw. haben so ein kleines Gerät, dass bei jedem Einwählvorgang über DSL einen Code generiert. Immer wenn ich neu in den Rechner will, brauche ich einen neuen Code. Token heißt das Teil. Das liegt dann neben dem Rechner zu Haus.

Ich würde Dir Deine weiteren Fragen so gerne beantworten. Aber ich habe doch leider von diesen Dingen keine Ahnung und ich verstehe Deine Frage auch nicht.

Mein Arbeitgeber ist eine große europäische Bank mit 20.000 Mitarbeitern. In Deutschland gibt es 2 System Admins die Notebooks mit Homeoffice Zugang verwalten.

Die Typen bekommt man nie ans Telefon. Und wenn doch nach 6 Wochen Anmeldung, dann verstehe ich noch viel weniger als hier im Forum.

Ich kann den Admins aber eine eMail schreiben. Was soll ich genau fragen? Sicherheitsrelvante Dinge rücken die aber nicht raus. Ist gibt eigentlich nur die Infos, die ich im ersten Beitrag beschrieben habe. Allein die Infos finde ich schon frech. Was soll da denn ein normaler Banker von verstehen bzw. mit anfangen ??????

P.S.: Ich weise noch mal darauf hin, dass bis jetzt nur Probleme beim fritz 7050 Router aufgetaucht sind. Ein Kollege mit einem einfachen Netgaer Router und ein anderer Kollege mit einem alten Siemens Router sind in den Bankrechner reingekommen, ohne groß was einzustellen. Die hatten noch nicht mal die Infos aus dem ersten Beitrag.

Das klingt für mich, als ob Ihr Ethernet to token-ring bridging betreibt.

Da Tokenring und Ethernet den gleichen Data Link Layer nach 802.2 benutzen, und es keine Überschneidungen der MAC-Adressräume gibt, ist es möglich, Ethernet-Frames nach Tokenring und umgekehrt zu konvertieren ohne über höhere ISO-Schichten, z.B. routing, zu müssen. Allerdings gibt es einige Haken.
Da die Pakete im Ethernet und im Tokenring unterschiedlich lang sind (und damit die IP-MTU), werden zu lange Pakete nicht in das jeweils andere Segment transportiert, sondern einfach verworfen. Man muss also die MTUs in beiden Segmenten aneinander anpassen, z.B. die TR-MTU auf 1500 Bytes setzen.
Das klassische Gerät zu diesem Thema ist die Bridge IBM 8229.

Man kann sowas nur als Fummelei bezeichnen und nur davon abraten. Man zieht sich mit sowas Fehlerquellen an Land, die zu finden eine neue Herausforderung darstellen können.

Zum Vergrößern anklicken....

Quelle:
http://www.trinler.de/de/service/technik/nfaq.html#i__4972864_1475
(Stichpunkt 3.3: Ethernet Bridging)

Frag am Besten einfach mal bei AVM nach (oder schau im Handbuch nach), ob die FritzBox in den Bridge-Modus (statt als Router im Routing-Modus) einzustellen geht.
Damit wird dann aber die Router-Funktion abgeschaltet, die Box arbeitet nur noch als reines Modem.

Edit:
Die Anforderungen oben: "weiterleiten", "transparent mode", das klingt nach bridging und nicht nach routing.
/Edit

Hast Du so eine Kiste neben dem Rechner stehen?

koloth schrieb:

Hast Du so eine Kiste neben dem Rechner stehen?

Zum Vergrößern anklicken....

Nee, ich glaub nicht. Ich habe das teil noch nicht. Ich werde einen Kollegen bitten, ein Foto von dem Token Gerät einzustellen. So wie ich meine Kollegen verstanden habe, generiert dieses kleine Token Gerät bei jeder Einwahl einen anderen PIN, den man dann für den Zugang eingeben muß.

Dieser Code Token ist wohl nicht mit dem Rechner oder Lan verbunden.

Hier die Antwort vom AVM Support auf meine Anfrage, ob die Fritz Box 7050 die Anforderungen die im ersten Thread beschrieben sind erfüllen kann:

vielen Dank für Ihre Anfrage.

Die FRITZ!Boxen unterstützen die Nutzung von VPN-Verbindungen mittels
IP-Sec-Passthrough-Verfahren. Die Hinweise zur Konfiguration der FRITZ!Box
zur Nutzung von VPN-Verbindungen entnehmen Sie bitte dem Mailanhang.

Bitte beachten Sie außerdem, dass AVM professionelle Software für
VPN-Verbindungen anbietet. Bei weitergehendem Interesse daran beachten Sie
bitte unsere Internetseiten:
http://www.avm.de/de/Produkte/Server-Produkte/index.html
oder wenden sich direkt an unseren Vertrieb:

Tel.: +49 (0)30 / 39 97 66 96 (Mo-Do 8.30-18.00 Uhr; Fr 8.30-17.00 Uhr)
Fax.: +49 (0)30 / 39 97 62 50
E-Mail: info@avm.de


Mit freundlichen Grüßen

Matthias Schreck (AVM Support)

Ein Token ist momentan die ziemlich sicherste Möglichkeit sich remote irgendwo einzuwählen. Das Gerät generiert alle 60sek einen neuen Schlüssel, den man dann beim einloggen eingeben muss.

Ist in etwa so groß wie ein USB-Stick. Passt also bequem an den Schlüsselbund

Habt ihr nur eine "IT-Abteilung" oder auch eine Art Help Desk?
Bei uns werden die Home-Offices an sich von externen Mitarbeitern aufgestellt, konfiguriert und die User eingewiesen.

Ansonsten warte erstmal ab was genau du bekommst, ich schätze du wirst auch eine IQ (Installation Qualifikation), also eine Installationsanleitung o.Ä. bekommen,
ansonsten weißt du aber schonmal was du hast und dann können wir gezielter helfen als jetzt mehr oder minder ins Blaue zu raten!

d

sErPeNz schrieb:

Ein Token ist momentan die ziemlich sicherste Möglichkeit sich remote irgendwo einzuwählen. Das Gerät generiert alle 60sek einen neuen Schlüssel, den man dann beim einloggen eingeben muss.

Ist in etwa so groß wie ein USB-Stick. Passt also bequem an den Schlüsselbund

Habt ihr nur eine "IT-Abteilung" oder auch eine Art Help Desk?
Bei uns werden die Home-Offices an sich von externen Mitarbeitern aufgestellt, konfiguriert und die User eingewiesen.

Ansonsten warte erstmal ab was genau du bekommst, ich schätze du wirst auch eine IQ (Installation Qualifikation), also eine Installationsanleitung o.Ä. bekommen,
ansonsten weißt du aber schonmal was du hast und dann können wir gezielter helfen als jetzt mehr oder minder ins Blaue zu raten!

Zum Vergrößern anklicken....

Genau das ist das Token was wir haben ! Richtig ! Leider gibt es keine weiteren Anleitungen und nach Hause kommt leider auch keiner.
Wir haben nur ca. 40 Leute mit Homeoffice Zugang. Da wollte man sich wohl das Geld sparen. Der normale USER Help Desk bei uns betreut 5000 PCs in der Bank. Von den 40 Home Office Lösungen haben die leider keine Ahnung.

Ab heute Abend wird mein Kollege Ulf(kingdia) den Thread weiter führen. Der hat schon alles zu Hause und kommt mit der Fritz Box auch nicht rein. Nur mit seinem alten Siemens Router.

Die Frage ist nun, was sollte man als erstes versuchen, um einen Zugang über Fritz zu bekommen. Was ich noch vergessen habe, der Zugang selber läuft neben dem Token Code über ein kleines Programm was sich Connect.exe schimpft.


@Kingdia
Brauchst kein Foto vom Token hier einstellen,da sErPeNz ja genau erklärt hast was wir für ein Token habe. Vielleicht teilst Du hier mal mit, was genau für ein Siemens Router Du hast und welche Einstellungen der Router hat. Wenn ein alter Siemens Router das kann, muß die Fritz Box doch auch irgendwie einzustellen sein.

LordSmile schrieb:

d

@Kingdia
Brauchst kein Foto vom Token hier einstellen,da sErPeNz ja genau erklärt hast was wir für ein Token habe.

Zum Vergrößern anklicken....

Hier nun doch ein Bild von diesem Token. Ich arbeite übrigens mit dem Siemens Gigaset SE515 dsl Router und habe nie eine besondere Einstellung für VPN vorgenommen. Was ist an der Fritz Box anderes?
Hängt das vielleicht mit der VoIP-Funktion zusammen?

So, möchte das Thema noch mal aufgreifen. Ich habe jetzt meinen eigenen Zugang zum Firmennetz. Man wählt sich über ein Programm Connect.exe ein, gibt seinen Zugangspin plus dem aktuellen Code aus dem Token Gerät ein und fertig.

Meine 7050 Box steht eigentlich auf Auslieferungszustand.

WELCHE EINSTELLUNGEN SOLLTE ICH BEI DER 7050 BOX ODER IN DEN NETZWERKEINSTELLUNGEN ALS ERSTES VORNEHMEN BZW. AUSPROBIEREN UM DIE ANFORDERUNGEN ZU ERFÜLLEN ?

BEI DEM O.G. SIEMENS ROUTER WAREN KEINE BESONDEREN EINSTELLUNGEN ERFORDERLICH. WAS WIRD DIE ROUTER UNTERSCHEIDEN ?

Das Problem wurde gelöst!! Nach 2 Stunden Gespräch mit einem IT-Profi kam ich über die FritzBox ins Firmennetz. Man mußte lediglich die Geschwindigkeit der Lan Verbindung auf automatic stellen und schon war ich drin ! Wer denkt schon an so was !!! Vielen Dank für Eure Hilfe !