IPSec VPN Tunnel zwischen 2 Standorten einrichten

Ja sicher doch   
Aber vllt schilderst Du uns mal Dein Problem  ???

Ich muss 2 Standorte mit IPSec VPN Tunnel verbinden. Mein Problem besteht nämlich darin, dass am Standort B noch ein zusätzlicher Router, welcher die Verbindung zum Internet aufbaut, von der Telekom installiert ist (habe darauf leider keinen Zugriff - evtl. muss ich denen mitteilen was auf dessen Router zu konfigurieren ist). Ich bin diverse Tutorials durchgegangen und habe die Konfiguration 2er Router zwischen Standort A und B verstanden. Aber in meinem Falle ist noch ein zusätzlicher Router dazwischen  ??? ???

Standort A = Zyxel P-662H
Standort B = WLAN Router Linksys WRVS4400N
dazwischen = Aethra Starvoice SV 1242

LG

am Telekom-Router muß  UDP 500, UDP 4500 und Protokoll 50 geforwardet werden.

am Telekom-Router muß  UDP 500, UDP 4500 und Protokoll 50 geforwardet werden.

wohin? zu welcher IP?

der Telekom-Router hat eine statische öffentliche IP 95.171.50.120 und die interne LAN ist 10.0.0.18.   
Mein Linksys WLAN Router hängt per Netzwerkkabel am LAN vom Telekom-Router, und hat die WAN IP 10.0.0.19 und Gateway 10.0.0.18.

Ich verstehe nicht so recht wohin geforwardet werden muss  ???

LG

im Telekom-Router müssen die oben genannten Ports von 10.0.0.19 geforwardet werden. 

im Telekom-Router müssen die oben genannten Ports von 10.0.0.19 geforwardet werden. 

Bitte entschuldige meine Unwissenheit, aber ich blicke nicht durch.
die Telekom soll die genannten Ports von 10.0.0.19 an welche IP weiterleiten?  An die statische IP vom Standort A ?

Konfiguration Router Standort-A:
Remote Secure Gateway: geb ich hier die statische IP vom Telekom-Router ein?
Remote Secure Group: und hier die LAN-IP vom WLAN Linksys,  oder die LAN-IP vom Telekom-Router?

LG

Mit Unbekanntem durch Lesen vertraut werden - http://de.wikipedia.org/wiki/Portweiterleitung

am Telekom-Router muß  UDP 500, UDP 4500 und Protokoll 50 geforwardet werden.

von der Telekom wird mir bestätigt dass nur Ports geforwardet werden können, keine Protokolle aber 
habe es mal trotzdem versucht, aber leider ohne Erfolg...

welche andere Möglichkeit hätte ich da sonst noch diese IPSec VPN Tunnel Site-to-Site herzustellen?

wenn ESP nicht weitergeleitet wird, gibts trotzdem noch Alternativen:
- in TCP kapseln
- in UDP kapseln

arbeite das hier mal in Ruhe durch:
http://www.administrator.de/IPSEC_Protokoll_-_Einsatz,_Aufbau,_ben%C3%B6tigte_Ports_und_Begriffserl%C3%A4uterungen.html

- in TCP kapseln
- in UDP kapseln

in TCP kapseln: müssen hier alle beide Router IPSec over TCP unterstützen?

in UDP kapseln: habe gesehen dass beim Router Standord-A das Häckchen NAT-Traversal nicht aktiviert ist !  und beim Router Standord-B ich gar keine Auswahlmöglichkeit habe zum aktivieren oder deaktivieren dieser Option  ???  vielleicht aktiviert er dies schon automatisch?

weiters: bei Router-A habe ich die (Phase1) SA Life Time (Seconds) auf 28800 gesetzt. Der Router-B hingegen nimmt mir keinen Wert an...  ist das von Bedeutung?
Phase2 hingegen ist bei allen beiden Routern 28800

IPSec over TCP ist eine proprietäre Methode von Cisco, habe ich (erstmal) nur der Vollständigkeit halber erwähnt. Kannst darüber bei Interesse  aber 'ne Menge im Netz finden.
u.a. hier:
http://www.ciscoarticles.com/CCSP-Cisco-Certified-Security-Professional/IPSec-over-TCP.html

Was den den Router Standort-B betrifft: der WLAN Router Linksys WRVS4400N unterstützt NAT-T , allerdings benutze ich selber dieses Modell nicht -> schau mal ins Handbuch für Details.

Das gleiche(Handbuch) gilt für die Einstellung von SA Life Time , dabei ist es aber so, dass die Life-Time für die Erneuerung der Verschlüsselung zuständig ist. Der mit der kürzeren Life-Time fragt als erster nach dem Schlüssel, hinterher wird der Timer zurückgesetzt.
Die Verbindung bricht nicht ab, der Tunnel bleibt erhalten.

beim Router-A habe ich unter den VPN Einstellungen jetzt NAT-T aktiviert.
beim Router-B habe ich diese Option nicht gefunden und daher eine mail an cisco gesendet und folgende Antwort erhalten: "Leider ist die NAT-T keine Option für die Verwendung mit VPN-Tunnel. Der Router müsste eine öffentliche IP-Adresse haben."
Was bedeutet dieser Satz?
Was bleibt mir jetzt noch übrig?

Die jeweiligen Tunnelenden müssen NAT-T unterstützen.

Standort B -> VPN-Server?

Standort B -> VPN-Server?

ich verstehe nicht ganz deine Frage... ???

auf welcher Seite? Standort A oder B  oder überhaupt nicht?

Du mußt auch nicht unbedingt einen Router als VPN-Gateway nutzen.

ich benutze keinen VPN-Server....
IpSec VPN wollte ich eigentlich nur zwischen den 2 Router einrichten...

Router-A: welche IP Remote Adress muss hier stehen: Die LAN IP oder die WAN-IP vom Router-B ? ???
Als "Remote Secure Gateway" habe ich die öffentliche IP vom Telekomrouter eingegeben, ich denke das müsste stimmen.