eb-stefan
Goto Top

IP-Sec Verbindung über Speedport W702V mit m0n0wall

Hallo zusammen,
ich habe eine frage bezüglich einer VPN-Verbindung die ich aufbauen möchte. Jedoch bin ich hier teilweise noch Anfänger face-sad

Wir haben bei uns auf der Firma eine Firewall mit der ich schon mehrerer IPsec Verbindungen aufgebaut habe. Nun kommt noch etwas neues hinzu.
Ich habe eine Außenstelle die an einem "normalen" Speedport hängt. Dorthin soll ich nun eine VPN Verbindung schaffen. Der Speedport hat eine feste Öffentliche IP-Adresse.
Nun habe ich folgendes versucht was jedoch nur teilweise funktioniert.
Ich habe im Speedport die NAT Funktion eingeschaltet und den Port 500 und 4500 an einen PC weitergeleitet. Der PC hat 2 Netzwerkkarten und darauf ist M0n0wall installiert.
Nun habe ich es relativ schnell geschafft, dass die Firewall in der Zentrale sagt dass der Tunnel Online ist.
Ich kann auch von der Monowall bzw. den PCs am LAN Anschluss auf alle Geräte in der Zentrale Pingen....

Die Frage ist nun wo ist mein Problem... ganz einfach... ich komm nur in die eine Richtung face-sad

Firewalls sind aber alle aus bzw. der Ping ist in die entsprechenden Richtungen freigegeben (alles ist genau so wie zu den anderen Außenstellen bei denen die FW sofort am Modem hängt).
Kann es am Speedport liegen? Muss ich vielleicht irgendwie noch eine zusätzliche Route setzten?

Ich hoffe jemand hat eine Idee und kann mir hier ein wenig helfen. Ich denke ich bin nicht mehr weit vom Ziel entfernt.

Danke + Gruß
Stefan

Content-Key: 217161

Url: https://administrator.de/contentid/217161

Ausgedruckt am: 28.03.2024 um 18:03 Uhr

Mitglied: colinardo
colinardo 17.09.2013 um 18:39:01 Uhr
Goto Top
Hallo Stefan,
das sind die typischen Speedport-Probleme mit IPSEC Passthrough, siehe auch: VPN Passthrough vs Speedport
Besorg dir einen vernünftigen Router und du bist glücklich ...

Grüße Uwe
Mitglied: aqui
aqui 17.09.2013 aktualisiert um 18:51:20 Uhr
Goto Top
IPsec besteht aus:
  • UDP 500
  • UDP 4500
  • ESP Protokoll mit der IP Nummer 51 (Achtung: **Nicht TCP oder UDP 51 !)
Du hast also das wichtigeste vergessen forzuwarden, den VPN Tunnel selber der mit ESP läuft.
Kann der Speedport das nicht hats du Pech. Wegen der vielen Probleme beim Speedport solltest du zwingend dort einen Firmware Update auf die aktuellste Firmware Version machen !
Klappt es dennoch nicht gilt was Kollege Collinardo oben schon richtig bemerkt hat.
Grundlagen und Lösungsvorschäge zu dem Thema findest du in diesen beiden Forums Tutorials:
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen
und
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software

Preiswerteste Option ist den Speedport mit der PPPoE Passthroug Funktion zu einem nur Modem zu machen und dahinter einen Mirkrotik 750GL zu hängen mit LAN to LAN IPsec.
Oder eben auch einen pfSense/Moowall:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Mitglied: 108012
108012 17.09.2013 um 20:41:45 Uhr
Goto Top
Hallo,

ich würde ja mal folgendes in Betracht ziehen wollen:
- Einen anständigen Router kaufen statt des Speedports!
- Den Speedport Router zum Modem degradieren bzw. es in dem "bridged Modus" und dahinter dann eine Firewall betreiben

Grundsätzlich von mOnOwall auf pfSense umsteigen, ist kein Muss, aber ich täte es wirklich machen wollen, denn zum Einen hat man
mehr Einstellungsmöglichkeiten und zum Anderen hat man hier im Forum ein paar Anleitungen die man schnell abtippen muss.


Gruß
Dobby
Mitglied: EB-Stefan
EB-Stefan 17.09.2013 um 21:40:36 Uhr
Goto Top
Danke schon mal für die Info. Ich guck morgen mal ob ich es schaffe... Evtl. bekomme ich auch noch ein roter.
Mitglied: EB-Stefan
EB-Stefan 18.09.2013 um 08:33:06 Uhr
Goto Top
Hallo zusammen,
ich habe mir den Speedport mal angeschaut. Es gibt eine PPPoE Einstellung. Diese habe ich aktiviert.
Was nun?

Muss ich jetzt die Zugangsdaten aus dem Speedport "löschen" und dann diese Zugangsdaten an der Monowall als "WAN - > PPPoE" eingeben?
Mitglied: 108012
108012 18.09.2013 um 11:01:49 Uhr
Goto Top
Hallo,

ich habe mir den Speedport mal angeschaut. Es gibt eine PPPoE Einstellung. Diese habe ich aktiviert.
Was nun?
Nun hast Du ein Modem daraus gemacht und kannst den Rest an der mOnOwall terminieren!

Muss ich jetzt die Zugangsdaten aus dem Speedport "löschen" und dann diese Zugangsdaten an der Monowall als "WAN - > PPPoE" eingeben?
So kann man es wohl sagen, und dort wird dann auch das IPSec VPN terminiert! Aber die mOnOwall kann das wenigstens alles, Dein Speedport
eben nicht!

Gruß
Dobby
Mitglied: aqui
aqui 19.09.2013 aktualisiert um 19:32:11 Uhr
Goto Top
..."Muss ich jetzt die Zugangsdaten aus dem Speedport "löschen" und dann diese Zugangsdaten an der Monowall als "WAN - > PPPoE" eingeben?"

Ja, natürlich wenn du den dummen SP nur als Modem benutzen willst !!
PPPoE Passthrough aktivieren und PPPoE Provider Zugangsdaten in der Monowall / pfSense am WAN Port eingeben.
Bei T-Com im Format:
Internet Service Provider: „other“ bzw. “PPPoE” (je nach Routermodell) Im Loginfeld:
(T-Onlinenummer zwölf Stellen)
AAAAAAAAAAAATTTTTTTTTTTT0001@t-online.de
(T-Onlinenummer kürzer als zwölf Stellen)
AAAAAAAAAAAATTTTTTTTTTT#0001@t-online.de
Im Feld „Password“ ihr persönliches Kennwort bei T-Online


Den WAN Port natürlich in den Modus PPPoE setzen !!!