dmxaver
Goto Top

IPSec VPN von Client hinter Fritzbox zu Astaro Firewall - End-to-Site

Hallo,

möchte es Clients ermöglichen extern über ihre Internetverbindung eine
VPN-Verbindung mit unserem Netzwerk herzustellen.

Ist es möglich ein IPSec-VPN von einem Client hinter einer Fritzbox, welche NAT verwendet, zur Astaro Security Gateway V7 (Firewall) herzustellen?

VPN-Client ---> FritzBox7141 ---> Internet ---> Astaro V7

Wenn ich die Fritzbox als DSL-Modem nutze, dann funktioniert die Verbindung,
wenn ich die Fritzbox als Router (mit NAT) nutze, dann nicht.

Habe etwas gelesen, wo geschrieben stand, dass der AH von IPSec den IP-Header verpackt und einen HASH-Wert bildet, der durch das NAT natürlich erneut verpackt, also verändert wird und somit ungültig wird.
Nun würde ich gerne wissen, ob es da eine Lösung gibt, bei der der Client weiterhin hinter einem Router stehen darf, um eine VPN-Verbindung aufzubauen?

Port 500 und ESP ist natürlich offen.
Als VPN-Client verwende ich Astaro Secure Client.

Vielen Dank im Voraus.

P.S.: Bin neu hier ;)

Content-Key: 78956

Url: https://administrator.de/contentid/78956

Ausgedruckt am: 29.03.2024 um 11:03 Uhr

Mitglied: aqui
aqui 25.01.2008, aktualisiert am 18.10.2012 um 18:35:20 Uhr
Goto Top
Du schreibst selber das du IPsec in der AH Variante benutzt. Das ist technisch nicht möglich dies über einen NAT Router zu übertragen !!!
AH vermutet einen Man in the Middle Attack da durch NAT die IP des Packetes verändert wird und verweigert den Verbindungsaufbau !

Du hast nur die Chance wenn der VPN Client den ESP Modus benutzt das über den NAT Router zu bringen. Dazu müssen folgende Ports in die Port weiterleitung auf die Client IP eingetragen werden:

ESP IP Protokoll Nummer 50 (Achtung nicht TCP/UDP 50 !)
IKE UDP 500
NAT-T UDP 4500

Wie gesagt mit IPsec im AH Mode ist es nicht möglich. Siehe auch hier:

IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen