EasyBox 802A mit Fritzbox 7270 und VPN?

Da Fritz VPN NAT Traversal benutzt macht es ggf. noch Sinn auf der Easybox zusätzlich den Port UDP 4500 an deine FB per Port Forwarding zu übertragen.
Damit sollte dann alles sauber funktioneren.
Technisch das gleiche Szenario wie hier:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
beschrieben, allerdings nutzt OpenVPN andere Ports als das von AVM verwendete IPsec VPN Protokoll. Siehe oben wie von Goscho schon richtig angeführt !
Wenn du das beachtest funktioniert das vollkommen problemlos !
Das richtige Koppelszenario zeigt dir dieses Tutorial:
Kopplung von 2 Routern am DSL Port

Ganz ungesichert ist RDP Forwarding ohne die FB im Schlepptau allerdings nicht, sondern bedingt sicher, da RDP eine einfache RC4 Verschlüsselung besitzt dessen wirkliche Sicherheit damit aber dann nur von einem starken und sicheren Passwort abhängig ist ! Banalpasswörter lassen sich in Minuten hacken und damit hat man dann vollen Zugriff auf deinen Rechner. IPsec ist in der Beziehung etwas sicherer, schützt aber auch nicht bei Banalpasswörtern !
Allerdings musst du auch dann dafür ein Loch in die Firewall der Easybox bohren für den RDP Port TCP 3389. Wenn du damit leben kannst ist das auch eine Möglichkeit, die allerdings weniger sicher und weniger flexibel ist als ein IPsec VPN !
Bedenke das dein RDP empfangener Rechner dann auch eine Freigabe in der lokalen Firewall haben muss um den RDP Zugriff von nicht lokalen, remoten IP Adressen zu erlauben !
Das stellst du in den erweiterten Eigenschften der Firewall unter Remote Desktop --> Port --> Bereich ändern --> Alle Computer inkl. Internet ein.
Sinn macht es zusätzlich auch den Rechner dann mit einer statischen IP zu betreiben die außerhalb des DHCP Bereichs der Easybox liegt. Ansonsten kann es sein das der statische Port Weiterleitungs Eintrag auf der Easybox auf einen dedizierte lokale IP ins Leere geht, sollte der PC im lokalen LAN durch die Dynamik von DHCP einmal seine IP Adresse verändert haben.
Ggf. kann man die Mac Adresse an eine feste DHCP IP binden sofern die Easybox so etwas supportet. Da hilft dir dann ein Blick ins Handbuch...wie immer !

Hallo,

Naja nicht ganz. Firewall <> NAT. NAT wird aber oft als Firewallfunktion bezeichnet / verwendet. Und das dein Vodaphone Teil immer noch NAT macht, hätte dir bei deiner IP an der FB sowie deiner Öffentliche IP auffallen müssen da die bestimmt nicht im gleichen Netz sind.

Klasse.

Gruß,
Peter

@spamme
Bitte dann auch
How can I mark a post as solved?
nicht vergessen !!

Hallo,

ich habe ähnliches Szenario, jedoch mit der Easybox 803 (LTE). Ich habe die Ports für IPsec UDP 500 und 4500 an die FritzBox weitergeleitet, aber bei mir sagt der Fritz Fernzugang Client log das "die Gegenstelle nicht erreichbar ist". DynDNS läuft aber problemlos.
Ich habe mich durch diverse Foren gearbeitet und auch gefunden das die FritzBox als NAT-Router verwendet werden muß, was aber nirgends richtig bestätigt wurde. Auch das habe ich getestet. Also Fritzbox und Easybox in einem eigenen Netz mit jeweils fix IP´s und wieder die Ports an die Fritzbox weitergeleitet, auch das war vergebens.
Weiterhin habe ich mal einen DMZ Port für die FritzBox eingerichtet und das NAT über die Fritzbox gemacht, das VPN hat da aber auch nicht funktioniert. Es antwortet weiterhin laut Fritz Client "die Gegenstelle" nicht. Ich habe immer von externen Netzen (UMTS) von außen getestet und es hat mit DSL sauber funktioniert, weiterhin auch vom iPhone. Jetzt wo die Easybox 803 von mir wegen LTE eingesetzt werden muß, kriege ich das VPN nicht mehr hin.

Hat jemand noch eine Idee ?

Gruß
Karsten

..."Ich habe die Ports für IPsec UDP 500 und 4500 an die FritzBox weitergeleitet,"...
Das ist ja auch nur die halbe Miete. Die Pruduktivdaten werden in einem ESP Tunnel übertragen bei IPsec !
Logischerweise musst du also auch noch das ESP Protokoll mit einem Port Forwarding Eintrag weiterleiten !! (Analog wie das GRE Protokoll Nr. 47 bei PPTP basierten VPNs wie du #comment-toc5 hier als Beispiel sehen kannst !)
ESP ist ein eigenständiges IP Protokoll mit der Protokoll Nummer 50 (nicht TCP oder UDP 50 !).
Ohne das funktioniert schonmal gar nix mit dem IPsec VPN. Vielleicht solltest du dir nochmal die Feinheiten des IPsec Protokolls anlesen:
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen
Kein großes Wunder also das deine Gegenstelle nicht antwortet wenn du das nicht gemacht hast und ESP nicht durchkommt !

Hi,

wenn ich das hier aus deinem Link lese:

ESP hat jedoch den Nachteil, dass es bei Netzwerken, die PAT Router (Port Address Translation) benutzen (wie gängige Heim-Router), Einschränkungen unterliegt. Im Grunde kann nur EIN PC im Heimnetz einen VPN Tunnel in die Firma aufbauen - würde es gleichzeitig ein zweiter versuchen, würde dies prinzipbedingt scheitern, da ESP keine Ports benutzt, die man "patten" könnte.

Aus diesem Grunde wurde NAT-Traversal erfunden.
Dabei wird ESP in UDP gekapselt, und auf UDP Port 4500 über den NAT-Router (der aber in Wahrheit allermeist ein PAT-Router ist) gesendet.

... dann stelle ich fest das ESP ohne Port ist und ich doch Nat-T verwende, was auch in den config files .cfg die mit der Fernzugangs Software erstellt werden mit "nat_t=yes" zu lesen ist. Dann wäre das ja Port 4500 den ich bereits weitergeleitet habe ...

Du schreibst das ich das ESP Protokoll mit einem Port Forwarding Eintrag weiterleiten soll ... wie soll das dann bei einem portlosen Protokoll gehen ?

Wenn gekapselt in TCP dann Port 10000 ?

Ja ja ist nur die Frage ob du NAT Traversal machst bzw. das in deiner Konfig aktiviert ist.
Ansonsten nimme einen Wireshark Sniffer und sieh dir das genau an. Da kannst du dann wenigstens 100% sicher sein wo diese Pakete abbleiben.
Generell ist dieser "Easybox" Schrott allerbilligste HW die so gut wie nix kann. Man sollte also davon rein gar nichts erwarten, denn für VPN Support wollen solche Provider meistens teure Business Pakete verkaufen... Es mag also durchaus gewollt sein das es nicht geht.

Wie du auch am 3.4. geschrieben hast, nutzt die FritzVPN Lösung NAT-T und wie geschrieben ist NAT-T auch in den cfg Files aktiviert !?
Also muß ich wohl davon ausgehen das NAT-T aktiv ist ...

Wie gesagt nachmessen mit dem Wireshark...dann musst du nicht nur davon ausgehen sondern weisst es ganz genau.
Die Frage ist warum du überhaupt diese sinnlose Router Kaskadierung machst und die FB nicht direkt an den Splitter hängst. Damit hättest du die Probleme gar nicht erst !

Jo, das würde ich wohl gerne. Das Stichwort ist LTE ...

Sehe derzeit nicht ein gut 300 € für eine LTE Fritzbox auszugeben

Hi,

habe es hinbekommen. Grundsätzlich falsch gemacht habe ich nichts, es lag ganz einfach an einem Bug in der neuen AVM Fritz Fernzugangs Client Software 64 Bit. Da scheint ein Bug im IKE Dienst gewesen zu sein. zufällig herausbekommen weil ein Kollege das gleiche Problem hatte wie ich, obwohl er die FritzBox nativ einsetzt und es vorher immer geklappt hat.
Also: IPsec Ports UDP 500 und 4500 an die FB weiterleiten, wichtig ist nur das sich die FritzBox im NAT Modus mit IP befindet und beide Router ein anderes Netz haben als das LAN mit den Clients.

Funktioniert nun bei mir einwandfrei vom Laptop und dem iPhone

Gruß
Karsten

Hallo, ich habe gerade ein ähnliches Problem:

FritzBox hängt hinter einer Easybox 803. Die Easybox (Schrott von Vodafone) läßt sich nicht entfernen, da sie lediglich dafür da ist, bei der Anmeldung die PIN an das LTE-Modem weiterzugeben.
Nun soll VPN auf der nachgeschalteten FritzBox (habe da mittlerweile folgende ausprobiert: 7170, 7240, 7270) realisiert werden.
- Internet über LAN 1
- NAT-Router mit IP
- Zugangsdaten werden nicht benötigt
- DynDns über goip.de
Alles läuft soweit. Sobald ich meine VPN-Datei übertrage (UDP-Ports 500 und 4500) übertrage, läuft nichts mehr:

/*

• C:\Users\Brilonese\AppData\Roaming\AVM\FRITZ!Fernzugang\dyndns-server_com\fritzbox_dyndns-server_com.cfg
• Wed Aug 17 10:55:28 2011

*/

vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "xxx.goip.de";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "xxx.goip.de";
localid {
fqdn = "yyy.goip.de";
}
remoteid {
fqdn = "xxx.goip.de";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "123";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.100.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.200.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.200.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

Welche Ports müssen wie freigegeben werden? Verstehe auch nicht den letzten Beitrag:

Beide Router haben ein anderes Netz: 192.168.100.1 (FB) und 192.168.178.1 (Schrottbox von Vodafone)
Welches LAN mit Clients ist gemeint. Ich habe doch nur zwei Netze mit zwei Routern?
Wie stelle ich sicher, dass sich die FritzBox im NAT Modus befindet? Ohne NAT würde das doch sowieso nicht funzen, oder? Habe doch eingangs bereits NAT ausgewählt.

Vielleicht kann mir jemand helfen?