13. november 2007 - 23:22Der er
30 kommentarer og 1 løsning
Opsætning af VPN - Zywall 5
Jeg har tidligere brugt VPN muligheden i Windows 03 server til at forbinde til mit firma.
Jeg vil gerne gøre brug af den VPN mulighed der skulle være i min Zywall 5, som jeg har forstået det understøtter den 5 VPN connections.
Jeg har hentet trail version af ZyWALL IPSec VPN Client der jeg regner med det er det software jeg skal bruge til at connecte til firewallen (VPN serveren)
Jeg har aldrig sat VPN op på en Zywall før og er derfor helt blank. Har rodet lidt rundt uden held.
Så hvis noget har lyst til at forklare mig, helst punkt for punkt hvordan min Zywall samt Zyxel klient skal sættes op for at jeg af den vej kan lave VPN forbindelse til mit firma. Og derfra tilgå vores netværksdrev enchange server mm.
Tror jeg har fået min Zywall sat korrekt op nu. Jeg bruger en evaluate client downloaded fra Zyxel, så jeg lige kunne prøve inde jeg indvisterer i licenser.. Men jeg kan ikke komme ind og konfigurerer den, jeg har slet ikke de samme muligheder som på guiden.
Jeg har igår prøvet selv samme client hvor jeg godt kunne konfigurere den, jeg har så afinstalleret den igår og installeret den igen, og nu får jeg slet ikke den mulighed. Hvad gør jeg galt?
Fik min Client til at makke ret igen. Guiden passer desværre ikke helt til mit udstyr. Min Zywall 5 har en lidt andet Webinterface, men det burde være til at se sig ud af.
Men desværre er den client de anvender meget anderledes fra den jeg har hentet på deres website ZyWALL IPSec VPN Client_2.0.204.61.01 hvad skal jeg gøre for at få den sat op?
nix for det der sker er, at din klient laver en forbindelse til din zywall 5's adresse. her laver den en autorisation hen over 2 faser ... når disse faser er etableret har din klient VIA dit netkort en krypteret forbindelse...
der eksitere faktisk også et lille smart program kaldet hamachi som kan skabe vpn forbindelser ekstremt nemt fra pc til pc ... denne klient installere et ekstra netkort din computer og dette NIC får så en seperat unik IP sammensat med de andre der har hamachi kørende og er tilmeldt samme netværk som dig ...
kig lidt på programmet ... det er freeware og ret godt... og efterhåenden også meget udbredt ...
Hvis jeg nu kommer på et lokalt netværk der kører samme netadresse hvordan fortæller jeg så min VPN klient at den skal overrule mit local network?
Eksempel.
Jeg kører net 10.0.8.0 /24 hjemme - serveren står på 10.0.8.2
Jeg er ude af huset, et sted hvor de kører samme net. Jeg går på VPN og prøver at pinge min server, men istedet for at spørge på VPN spørger den lokalt da det lokale net er det samme.
Så den skal sættes op til at VPN overruler det lokal net.. på en eller anden måde
uhh ... det var sq et RIGTIG godt spørgsmål ... der kommer jeg altså til kort ... jeg tror ikke du kan gøre så meget ved det faktisk ...
nu ved jeg selvfølgelig ikke om du er rendt ind i det problem, men som canon teknikker (jeg ser rigtig mange netværk) har jeg ikke set nogle netværk der kører det subnet ....
alternativt skal du skifte til et andet subnet hjemme også tilrette din VPN-regel...
Jeg kan se, at I har siddet med et problem lignede hvad jeg sidder med nu. Håber I kan hjælpe mig!
Jeg har en ZyXEL P-335WT router, som jeg forsøger at connecte til via ZyWALL IPSec VPN Client 2.4. Her er mit setup på min router: http://dennismadsen.com/uploads/vpn01.jpg
Jeg forsøger nu at opsætte ZyWALL, så jeg kan connecte til den VPN som er aktiveret på routeren. Først skal jeg have opsat Fase 1: http://dennismadsen.com/uploads/zyxel01.jpg
Interface er selv udfyldt med den IP der står der nu, som er den IP jeg har på det nuværende netværk. Hvad skal jeg skrive som "Remote gateway"?
Mange tak for dit svar. Dvs. den IP jeg får, når jeg går ind på myip.dk, ikke?
Mit netværk består af en zyxel prestige 2602R som jeg har fået af min ISP Fullrate. Den står selvfølgelig yderst og så er min 335WT koblet derpå. Prestige har DHCP og NAT aktiveret - og alle porte i NAT forwardet til den 335WT router, hvor jeg har forsøgt at opsætte VPN (192.168.1.3).
Jeg har prøvet med min IP som remote gateway - men det virker ikke. Kan du se, om jeg har gjort noget forkert i opsætnigen på VPN her: http://dennismadsen.com/uploads/vpn01.jpg
Når jeg prøver at connecte i ZyWALL siger den bare: Send SA Phase1 (try to reach gateway)
Håber meget du kan hjælpe mig! Opretter gerne et spørgsmål hvor du kan få 60 point efterfølgende, hvis vil prøve at hjælpe mig.
din remote policy ser fin ud... dvs det i din zyxel p335wt... og ja den IP du får når du går på www.myip.dk du skal benytte som remote gateway i din zyxel klientsoftware...
udfordringen er bare lidt hvordan kommunikationen igennem den prestige kører... står den bare som modem så fint... men står den som router foran din zyxel p335 som også er en router så har du et problem...
alternativt skal du have 2 offentlige ip'ere hvor så prestigen får den første, nat/dhcp slås fra, også benytter du den som passthrough til din zyxel p335 som så får den sekundære offentlige ip...
Ja, jeg havde godt tænkt over, at det kunne være fordi det ikke var min router med VPN der var den første router på netværket - og at NAT ikke kunne få det sendt rigtigt videre.
Jeg har prøvet af deaktivere DHCP på min Prestige og aktivere det på min p335. Men så kan jeg ikke gå på nettet. Skal DHCP på Prestige stå til none eller relay? Hvis jeg vælger relay, skal den også have IP'en på den anden router som er remote DHCP. Der er opsat primær og sekundær DNS under DHCP på Prestige som jeg også forsøgte at kopiere over på P335..
Jeg oprettede i går et spørgsmål for at finde ud af, om jeg kunne skaffe mig af med min router fra Fullrate og erstatte den med min egen i stedet: http://www.eksperten.dk/spm/888440
Der har jeg lagt denne kommentar: Min router fra ZyXEL har et modem stik som indgang (DSL). RJ-11 eller hvad det hedder. Min ZyXEL P-335 router har et WAN med RJ-45 som indgang. Kan man få et kabel med RJ-11 i den ene ende og RJ-45 i den anden, så telefonstikket i vægen skal gå ind i WAN på min ZyXEL router med RJ-45?
Jeg har netop bestilt en ekstra offentlig IP hos Fullrate. Jeg har en ekstra P-335 router, som jeg vil koble til på denne IP. Den er jo selvfølgelig nødt til at være koblet til min Prestige - men hvordan skal man sætte den op, så den bruger den nye offentlige IP?
til dit indlæg i #19: Din prestige router indeholder modem OG router i et og det afhænger en del af Fullrate hvordan du kommer uden om dette problem.
TDC tilbyder f.eks, at man bare får et RENT modem tilsendt (går fra RJ11 --> RJ45 hvortil du så tilslutter router
Cybercity kunne ikke fravige modem/router. til gengæld havde (de dengang) så en procedure der gjorde at; 1. man fik en ekstra IP, 2. man slog DHCP & NAT fra i deres udstyr, 3. satte den sekundære offentlige IP manuelt ind i sin egen router.
hvorledes fullrate opsætter dette kan jeg ikke svare dig på... men det ser UD til, at man hos fullrate kan betale 10,- ekstra om måneden også få opsat sin prestige router/modem i "Bridge" mode.
dvs prestigen ikke længere fungerer som modem/router men kun som modem og derved kan du så tilslutte en router serielt bagved prestigen.
1) Den laptop jeg connecter fra, får sin IP af DHCP serveren. Så det er sandsynligvis 192.168.1.34. Jeg er ikke helt med de subnet? Hvordan indstiller jeg det? Laver jeg en IP config står 255.255.255.0 som subnet mask. Dvs. at VPN skal køre en anden subnet mask? 2) Key group står til DH1 i både Phase1 og Phase2 3) Du kan se advanced her: http://dennismadsen.com/uploads/vpn-setup2.jpg
ahh .. det er noget besværligt, at forklarer... grundlæggende skal du nok sætte dig og læse lidt om TCP v4 og subnet masks mv.
MEN en subnet mask på 255.255.255.0 er det man kalder et 24bit netværk og definere, at man har 254 adresser til rådighed. hvis det f.eks hed 255.255.255.128 snakker man vist om et 16bit netværk og har kun 128 adresser til rådighed. dog er jeg ret usikker på dette selv.
eftersom en IP-adresse ligger i 4 segmenter vil det kun være det 4.segment der kan variere.
derfor hvis 2 lokalnetværk der har en subnetmask på 255.255.255.0 og en DHCP ip på 192.168.1.x vil begge netværk ligge i samme subnet.
DERFOR skal du sørge for, at de 2 DHCP setups IKKE har samme subnet. f.eks 192.168.1.x og det andet netværk f.eks 192.168.2.x
med hensyn til dit screenshot kan du se phase 1 & 2... de settings du har der i routeren med authentication, encryption mv skal være identiske ...
dvs IKE Phase 1/2 i P335 og i VPN klienten skal være identiske...
Tak for dit svar. Et sted på nettet skrev en, at det er port 50 og 51 der bruges til IPSec? Er det korrekt? Hvis jeg pinger min IP fra ping.eu på port 50 og 51 siger den, at porten er lukket. Har du nogen idé om, hvordan jeg kan åbne dem?
remote policy er den adresse den henvender sig til, når der skal laves de indledende forhandlinger... dvs ike-faserne....
de 2 DHCP scopes i de 2 netværk må IKKE være identiske... dvs hvis firmanetværket hedder 192.168.1.x og dit hjemmenetværk også har samme subnet så skal du tilrette DHCP-scopet for 1 af 2 netværk til et andet subnet...
Jeg har nu ændret på routeren, så local address på VPN-setup er 192.168.2.50. Det gør dog ingen forskel. Tror jeg prøver at smide en support-mail til ZyXEL i morgen - de må da vide, hvad det drejer sig om :)
Svaret fra ZyXEL er, at VPN i P-335 kun er en klient og ikke en server.
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.