VPN Tunnel über zwei Linksys VPN-Routern RV042 einrichten?

Wenn es eine Wahl für "die Watsch'n des Tages" geben würde, würde ich diese Antwort von aqui vorschlagen

Ja, Panis, kann ich!
Nimm' meinen Kommentar nicht so persönlich, etwas Spaß im Leben muss noch erlaubt sein!

Ok, also: Du hast das Problem schon richtig erkannt, Du versuchst nämlich, ein VPN aufzubauen mit einer externen IP vom Provider, also etwa 88.77.66.55 und der interne RV042 hat diese IP aber nicht. Folglich schlägt die Überprüfung fehl, weil eine "falsche" IP zurückgegeben wird.
Jetzt musst Du dem RV042 erklären, dass er sich nicht daran stören soll, sondern die Authentisierung über irgendwas anderes laufen soll. Im RV042 kannst Du verschiedene Dinge dafür eintragen, z.B. dyndns oder dyndns+IP oder Domain+IP und noch ein paar andere. Da solltest Du irgendwas, aber auf keinen Fall dyndns auswählen.

Was macht der Zyxel: Leitet der einmal alles komplett weiter an ein interne Adresse? Dann sollte das der RV042 sein, der dann natürlich entsprechend sicher eingestellt sein sollte.
Wenn Du explizit Ports weiterleiten musst: Port 500/udp muss weitergeleitet werden, der Rest baut selbständig auf.

Wenn Du die genauen Punkte und Einstellungen brauchst: Ich habe selbst eine solche Konstruktion hier, muss aber erstmal weg, könnte ich Dir heute Abend im Einzelnen mitgeben.

So, wieder gut gemacht meinen Spruch?

Schönen Sonntag!

Bonkers

@Panis77
Ja, richtig das ist das Problem. Du musst auf dem Zyxel die folgenden Ports an den RV042 weiterleiten:
Port UDP 500 (IKE)
Port UDP 4500 (NAT-T)
ESP Protokoll (Protokoll Nummer 50)

ESP baut sich nur selber auf wenn der Zyxel das Feature VPN Passthrough supportet, aber das ist nicht sicher. Besser man traegt es explizt statisch ein !!
Solange du das nicht machst wird es nicht funktionieren, denn die IPsec Packete koennen die NAT Firewall des Zyxel nicht ueberwinden und gelangen so niemals zum RV042, das ist klar.

Funktioniert es dennoch nicht hast du noch die Chance einen sog. Exposed Host oder DMZ Host auf dem Zyxel einzutragen sofern er das supportet.
Das ist dann allerdings eine bedenkliche "Scheunentor" Loesung wo der Router alles an Ports an diese IP Adresse forwardet.
Nicht gut da sicherheitstechnisch mehr als bedenklich aber wenns nicht klappt hilft das ggf.
Sollte das auch nicht klappen, kannst du nur den RV042 direkt an die DSL Leitung hängen.
Warum du das nicht sowieso machst bleibt auch unverstaendlich, denn diese Kopplung ist eigentlich sinnlos und ueberfluessig !!!

So, ja, gestern Abend war nix mehr, Stadtfest und Sohn haben's verhindert.

Hier dann mal die Konfiguration:

Linksys RV042
Webconfig
VPN

Tunnel No.: 2
Tunnel Name: -
Interface: WAN1
Enable: yes
--
Local Security Gateway Type: IP only
IP Address: 192.168.x.5
Local Security Group Type: Subnet
IP Address: 192.168.x.0
Subnet Mask: 255.255.255.0
--
Remote Security Gateway Type: IP only
IP Address: 10.y.z.0
Remote Security Group Type: Subnet
IP Address: "entfernte-externe-ip.dyndns.org"
--
Keying mode: IKE with PSK
Phase1 / DH: Group 2
Phase1 Encryption: AES128
Phase1 Authentication: MD5
Phase1 Lifetime :14400 seconds
PFS: yes
Phase2 / DH: Group 2
Phase2 Encryption: AES128
Phase2 Authentication: MD5
Lifetime: 3600 seconds
PSK: ismirundsachichnich
--
Button Advanced +
--
DPD: yes, alles andere no
--

Davor steht eine FritzBox mit folgenden Einstellungen:
Eingehend UDP-Port 500 frei, Ziel auf den RV042, keine weiteren Ports, die mit VPN zu tun haben.
Die FritzBox macht den vorgelagerten Router und DSL-Modem, Internettelefonie und WLAN zum Nachbarn, falls 1und1 mal wieder die Leitung abschaltet (hatte ich jetzt dreimal in vier Monaten für je vier bis sechs Tage, daher überhaupt dieses Konstrukt)

--
Auf den Gegenseiten (mehrere) stehen auch jeweils RV042, allerdings direkt, d.h., mit Modem an DSL, kein weiterer Router davor.

Beide Seiten arbeiten jeweils mit dynamischen Adressen.

Die VPNs werden von dem oben beschriebenen Gerät aus aufgebaut, was dann auch die Erklärung dafür ist, dass ich Port 4500 nicht freigeben brauchte. Das wäre dann der Fall, wenn von der anderen Seite aus aufgebaut werden müsste. Ist mir ein wenig entfallen, weil ich Linksys-Geräte noch nicht so auswendig kenne. Habe üblicherweise mehr mit Bintec und Astaro zu tun und da hat man einfachere Möglichkeiten.

--

Insofern hat aqui mit dem Port 4500 natürlich Recht, wenn Du das so auf beiden Seiten hast bzw. wenn die Seite, zu der das VPN hin aufgebaut wird, zwei Router hintereinander hat. Ebenso ESP.

Und? Läuft bei Dir schon?

Gruß

Bonkers

Hm, ich habe da gerade ein gedankliches Problem:

Was nennst Du "als Bridge betreiben"? Wenn der Zyxel nur noch das Modem spielt, vom Linksys also nicht mehr über eine IP angesprochen wird, müssen im Linksys die Zugangsdaten hinterlegt sein und er muss als Gateway arbeiten.

Sind die Zugangsdaten aber im Zyxel und dieser ist der nächste Hop für den Linksys, dann muss der Linksys im Router-Mode arbeiten.
Vorsicht beim Router-Mode: Der Linksys macht dann kein NAT mehr, das musst Du erst manuell wieder einstellen. Das wäre auch so ein Punkt, wo zwar ein VPN, aber kein Internet funktioniert.

Gruß

Bonkers

Also ich hab nochmal nachgeschaut:
Der RV042 arbeitet bei mir im Gateway Mode, hat aber nicht die Zugangsdaten zum Provider, die sind in der vorgelagerten Fritzbox. Der Gateway Mode sorgt automatisch für NAT.

Wie schon beschrieben wird bei mir das VPN (bzw. es sind mehrere) von mir aus zum Kunden hin aufgebaut, nicht umgekehrt. Das vereinfacht natürlich ein paar Dinge.

Sind bei Dir die Netze spiegelbildlich aufgebaut, d.h., muss das VPN immer durch einen Zyxel durch? Dann muss das mit den Portfreigaben eingestellt sein, was aqui schon geschrieben hat.

Was passiert denn eigentlich, wenn Du am Zyxel einstellst, dass alle ankommenden Pakete 1:1 an den Linksys weitergegeben werden sollen, also die Exposed-Host-Einstellung oder auch DMZ-Rechner genannt (herstellerabhängig). In dem Fall muss der Linksys im Gateway-Mode arbeiten (wegen NAT). Da der dann letztlich aber alles von außen abbekommt, aber auch alles senden kann, sollte das mal der kleinste Nenner sein, bei dem sowohl VPN als auch Internet funktionieren müssen. Wenn Du da schon ein Problem damit hast, müssen wir die Linksys-EInstellungen genauer durchleuchten, dann stimmt da an anderer Stelle was nicht.

Video-Überspielungen von Kamera auf Vista-PC mit mäßiger Leistung sind übrigens sch***! Grrr!

Grüße aus Bayern mit etwas Sonne

Bonkers

Ah, halt, hab was vergessen:


PPPoA ist falsch eigentlich, es sollte PPPoE sein, es sein denn, Du hast eine ATM-Leitung. Allerdings kann man in manchen Routern die Modem-Einstellungen ändern, so dass es zwar noch PPPoA heißt, aber trotzdem mit PPPoE funktioniert. Mit Bintec-Routern kann man sowas rumspielen. RFC 1483 ist auch ATM, hat was mit Layer 5 zu tun, habe ich mir nicht genau durchgelesen, würde jedenfalls sagen, das sieht ganz falsch aus.

Bonkers

Wenn das Zyxel-Gerät als Modem fungiert, macht es eben genau das. Der Linksys spricht also auch nur ein Modem an, keinen Router, also braucht er kein Gateway, denn das wird ihm vom Provider über das Modem mitgegeben.
Außer der IP vom Provider wird auch ein Gateway übertragen, ebenfalls vom Provider. Wenn Zyxel = Modem, dann alle IP-Konfiguration vom Provider.

Wenn Du das in der zuletzt von Dir beschriebenen Art betreibst, also Linksys bekommt externe Daten für WAN1 vom Provider, dann funktioniert doch auch das VPN, richtig? Wenn Du das nun abbaust, funktioniert dann das Internet?

Bonkers

Ah - da haben wir's !! Zürich! Was ist denn in Zürich überhaupt für eine Leitung angesagt? In Österreich gelten ja auch so ein paar Besonderheiten. Möglich, dass in der Schweiz ATM funktioniert? Weißt Du da was darüber? Oder ein anderer Mitleser?

Bonkers