DFÜ-basierte Router-zu-Router-VPN-Verbindungen

Router-zu-Router-VPN-Verbindungen werden i. d. R. eingesetzt, um voneinander entfernte Büros miteinander zu verbinden, deren Router über ständige WAN-Verbindungen, z. B. T1 oder Frame Relay, mit dem Internet verbunden sind. In dieser Konfiguration steht die VPN-Verbindung immer zur Verfügung. Wenn eine ständige WAN-Verbindung jedoch nicht möglich oder nicht praktikabel ist, kann eine DFÜ-basierte Router-zu-Router-VPN-Verbindung konfiguriert werden.

Die folgende Abbildung zeigt eine DFÜ-basierte Router-zu-Router-VPN-Verbindung.

Eine DFÜ-basierte Router-zu-Router-VPN-Verbindung besteht aus zwei Schnittstellen für Wählen bei Bedarf und zwei statischen Routen, die auf dem VPN-Client (dem anrufenden Router) konfiguriert werden müssen:

  1. Eine Schnittstelle für Wählen bei Bedarf zum Einwählen beim lokalen Internetdienstanbieter.

  2. Eine Schnittstelle für Wählen bei Bedarf für die Router-zu-Router-VPN-Verbindung.

  3. Eine statische Hostroute, mit der Verbindungen mit dem Internet dynamisch hergestellt werden.

  4. Eine statische Route zu den Adressen in der Unternehmenszentrale.

Wenn Datenverkehr an eine bestimmte Adresse weitergeleitet wird, wird automatisch eine DFÜ-basierte Router-zu-Router-VPN-Verbindung aufgebaut. Wenn beim Router einer Zweigstelle z. B. ein Datenpaket eintrifft, das an die Unternehmenszentrale weitergeleitet werden soll, verwendet der Zweigstellenrouter eine Einwählverbindung, um eine Verbindung mit dem lokalen Internetdienstanbieter herzustellen, und baut anschließend eine Router-zu-Router-VPN-Verbindung mit dem Router der Unternehmenszentrale auf, der sich im Internet befindet.

Anmerkung

  • Bei dieser Erläuterung wird davon ausgegangen, dass der Router in der Unternehmenszentrale (der antwortende Router) über eine ständige WAN-Verbindung mit dem Internet verbunden ist. Es ist aber auch möglich, dass beide Router über eine DFÜ-WAN-Verbindung mit dem Internet verbunden sind. Dafür muss der Internetdienstanbieter jedoch bei Bedarf herzustellende Routingverbindungen zum Kunden unterstützen, d. h., dass der Internetdienstanbieter den Router des Kunden anruft, wenn ein IP-Datagramm an den Kunden gesendet werden soll. Bei Bedarf herzustellende Routingverbindungen zu Kunden werden nur von wenigen Internetdienstanbietern unterstützt.

So konfigurieren Sie eine DFÜ-basierte Router-zu-Router-VPN-Verbindung auf dem Zweigstellenrouter:

  1. Erstellen Sie eine Schnittstelle für Wählen bei Bedarf für die Verbindung mit dem Internet, die für die entsprechenden Geräte (Modem oder ISDN-Gerät), die Rufnummer des lokalen Internetdienstanbieters sowie den Benutzernamen und das Kennwort konfiguriert ist, um eine Verbindung mit dem Internet herzustellen.

  2. Erstellen Sie eine Schnittstelle für Wählen bei Bedarf für die VPN-Verbindung mit dem Router der Unternehmenszentrale, der für einen VPN-Anschluss (einen PPTP-Port oder einen L2TP-Port), die IP-Adresse für die Schnittstelle des Routers der Unternehmenszentrale im Internet sowie einen Benutzernamen und ein Kennwort, das durch den VPN-Server verifiziert werden kann, konfiguriert ist. Der Benutzername muss dem Namen einer Schnittstelle für Wählen bei Bedarf des Routers in der Unternehmenszentrale entsprechen.

  3. Erstellen Sie eine statische Hostroute zum Router in der Unternehmenszentrale, der die Schnittstelle für Wählen bei Bedarf zum Internetdienstanbieter verwendet.

  4. Erstellen Sie eine oder mehrere statische Routen für die IP-Netzwerkkennungen im Intranet des Unternehmens, das die VPN-Schnittstelle für Wählen bei Bedarf verwendet.

So konfigurieren Sie den Router in der Unternehmenszentrale:

  1. Erstellen Sie eine Schnittstelle für Wählen bei Bedarf für die VPN-Verbindung mit der Zweigstelle. Verwenden Sie dabei ein VPN-Gerät (einen PPTP-Port oder einen L2TP-Anschluss). Der Name der Schnittstelle für Wählen bei Bedarf muss mit dem Benutzernamen übereinstimmen, den der Router der Zweigstelle beim Herstellen der VPN-Verbindung als Teil der Anmeldeinformationen übermittelt.

  2. Erstellen Sie eine oder mehrere statische Routen für die IP-Netzwerkkennungen im der Zweigstelle, das die VPN-Schnittstelle für Wählen bei Bedarf verwendet.

Der Router in der Zweigstelle initiiert die Router-zu-Router-VPN-Verbindung automatisch. Dabei geschieht Folgendes:

  1. Datenpakete, die von einem Computer in der Zweigstelle an eine Netzwerkadresse in der Unternehmenszentrale gesendet werden, werden an den Router der Zweigstelle weitergeleitet.

  2. Der Router in der Zweigstelle prüft seine Routingtabelle und sucht eine Route zur Netzwerkkennung im Intranet der Unternehmenszentrale, bei der die VPN-Schnittstelle für Wählen bei Bedarf verwendet wird.

  3. Der Router in der Zweigstelle prüft den Zustand der VPN-Schnittstelle für Wählen bei Bedarf und stellt fest, dass sie nicht verbunden ist.

  4. Der Router in der Zweigstelle liest die Konfiguration der VPN-Schnittstelle für Wählen bei Bedarf.

  5. Auf der Grundlage der Konfiguration der VPN-Schnittstelle für Wählen bei Bedarf versucht der Router in der Zweigstelle, eine Router-zu-Router-VPN-Verbindung mit der IP-Adresse des Routers der Unternehmenszentrale im Internet zu initialisieren.

  6. Um eine VPN-Verbindung herzustellen, muss entweder ein TCP-Paket (mit PPTP) oder ein UDP-Paket (mit L2TP/IPSec) an den Router in der Unternehmenszentrale übermittelt werden, der als VPN-Server fungiert. Das Paket zum Herstellen des VPN wird erstellt.

  7. Um das Paket zum Herstellen der VPN-Verbindung an den Router in der Unternehmenszentrale zu übermitteln, prüft der Router in der Zweigstelle die Routingtabelle und sucht die Hostroute, bei der die Schnittstelle für Wählen bei Bedarf zum Internetdienstanbieter verwendet wird.

  8. Der Router in der Zweigstelle prüft den Zustand der Schnittstelle für Wählen bei Bedarf zum Internetdienstanbieter und stellt fest, dass sie nicht verbunden ist.

  9. Der Router in der Zweigstelle liest die Konfiguration der Schnittstelle für Wählen bei Bedarf zum Internetdienstanbieter.

  10. Auf der Grundlage der Konfiguration der Schnittstelle für Wählen bei Bedarf zum Internetdienstanbieter verwendet der Router in der Zweigstelle sein Modem, um sich beim Internetdienstanbieter einzuwählen und eine Verbindung herzustellen.

  11. Nachdem die Verbindung mit dem Internetdienstanbieter hergestellt wurde, wird das Paket zum Herstellen des VPN an den Router in der Unternehmenszentrale übermittelt.

  12. Zwischen dem Router in der Zweigstelle und dem Router in der Unternehmenszentrale wird eine Router-zu-Router-VPN-Verbindung ausgehandelt. Als Teil der Verhandlung sendet der Router in der Zweigstelle Anmeldeinformationen, die durch den Router in der Unternehmenszentrale verifiziert werden.

  13. Der Router in der Unternehmenszentrale prüft seine Schnittstelle für Wählen bei Bedarf. Dabei sucht er eine Schnittstelle, deren Namen dem bei der Authentifizierung übermittelten Benutzernamen entspricht, und setzt den Zustand der Schnittstelle auf "verbunden“.

  14. Der Router in der Zweigstelle übermittelt das Datenpaket über das VPN, und der Router in der Unternehmenszentrale leitet das Datenpaket an die entsprechende Adresse im Intranet weiter.

  15. Wenn eine Antwort von der Adresse im Intranet an den Benutzer in der Zweigstelle bereitsteht, wird das Datenpaket an den Router in der Unternehmenszentrale übergeben.

  16. Der Router in der Unternehmenszentrale prüft seine Routingtabelle und sucht eine Route zum Netzwerk in der Zweigstelle, bei der die VPN-Schnittstelle für Wählen bei Bedarf verwendet wird.

  17. Der Router in der Unternehmenszentrale prüft den Zustand der VPN-Schnittstelle für Wählen bei Bedarf und stellt fest, dass sie verbunden ist.

  18. Das Antwortpaket wird mithilfe der VPN-Verbindung über das Internet übertragen.

  19. Der Router in der Zweigstelle empfängt das Antwortpaket und leitet es an den ursprünglichen Benutzer weiter.