Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Problem beim VPN Aufbau End-To-Site

Mitglied: casper99

casper99 (Level 1) - Jetzt verbinden

12.11.2006, aktualisiert 14.11.2006, 12777 Aufrufe, 4 Kommentare

VPN Aufbau zwischen Draytek Smart VPN Client hinter AVM FRITZ BOX 3030 zu einem externen Teledat 803 Router funktioniert nicht mit Fritz Box

Hallo, ich habe folgendes Scenario

PC (Draytek VPN Client) --> FritzBox 3030 --> Internet --> Teledat 803 VPN Router

Die Einwahl per L2TP und Ipsec funktioniert nur wenn ich die FritzBox umgehe und direkt über ein Modem die Verbindung aufbaue.
Habe NAT in Verdacht. Hat jemand ne Idee wie das auch mit der Fritz Box geht?
Habe laut den Seiten von AVM auch den AH serverseitig schon abgeschaltet.
Mitglied: aqui
13.11.2006 um 12:58 Uhr
Ja das vermutest du richtig mit NAT ! L2TP benutzt IPsec. IPsec AH Mode lässt sich überhaupt nicht über NAT übertragen, da es dann in den encapsulated Packets zu einem Checksummen Problem kommt. IPsec vermutet dann eine Manipulation und stoppt den Verbindungsaufbau. Du kannst nur IPsec im ESP Mode übertragen.
Dafür muss die Fritzbox im IP Forwarding Setup IKE/ISAKMP Port UDP 500 und ESP (Protokoll 50 ,Achtung NICHT Port TCP 50) auf die IP Adresse deines Clients eingetragen haben !
Kann die FB das nicht, kannst du den Port an dem dein Client ist als sog. "DMZ" Port definieren, dann forwardet die FB alles was nicht anderweitig in der Port Forwarding Tabelle angegeben ist auf diesen Port.
Bitte warten ..
Mitglied: hevtig
13.11.2006 um 23:31 Uhr
Dafür muss die Fritzbox im IP
Forwarding Setup IKE/ISAKMP Port UDP 500 und
ESP (Protokoll 50 ,Achtung NICHT Port TCP 50)
auf die IP Adresse deines Clients eingetragen
haben !
Kann die FB das nicht, kannst du den Port an
dem dein Client ist als sog. "DMZ"
Port definieren, dann forwardet die FB alles
was nicht anderweitig in der Port Forwarding
Tabelle angegeben ist auf diesen Port.

Das ist nach meinen Erfahrungen so nicht ganz richtig.
Selbst wenn der Draytek Client in der DMZ stehen würde, was natürlich möglichst zu verhindern gilt, so muß dennoch ESP weitergeleitet werden.
Die Fritzbox sollte das allerdings auch so können.
Also ESP und Port 50 UDP an den Client weitergeleitet und es sollte gehen.
Sollte NAT-T unterstützt werden muß Port 4500 UDP weitergeleitet werden.

AVM sagt dazu folgendes:
Zitat
ID Related Document Nr. 5511 1
VPN-Verbindungen über die Internetverbindung der FRITZ !Box herstellen
Ist Ihre FRITZ!Box als DSL-Router eingerichtet, kann sich über die Internetverbindung der
FRITZ!Box ein VPN-Klient in Ihrem Netzwerk mit einem VPN-Server im Internet verbinden.
Die Firewall der FRITZ!Box unterstützt dafür "VPN-Passthrough" für die VPN-Protokolle
IPSec und PPTP.
Um eine VPN-Verbindung zwischen dem Klienten und dem VPN-Server aufzubauen, führen
Sie bitte die hier beschriebenen Maßnahmen nacheinander durch.
1 Vorbereitungen
1. Erkundigen Sie sich beim Hersteller oder Administrator des VPN-Servers, ob beim
Aufbau der VPN-Verbindung das Protokoll PPTP oder das Protokoll IPSec
verwendet wird.
Wenn das Protokoll IPSec verwendet wird, fragen Sie außerdem nach, ob die
VPN-Lösung IPSec NAT-Traversal unterstützt, und ob der VPN-Server
ausschließlich IKE-Pakete (Internet Key Exchange Protocol) vom Quell-Port UDP
500 entgegennimmt oder auch von anderen Quell-Ports.
Das Standardprotokoll des VPN-Servers von Windows XP und
Windows 2003 ist PPTP.
2. Wird das Protokoll IPSec verwendet und unterstützt die VPN-Lösung IPSec
NAT-Traversal, können Sie ohne weitere Maßnahmen eine VPN-Verbindung
zwischen dem Klienten und dem VPN-Server aufbauen.
Wird das Protokoll IPSec verwendet und unterstützt die VPN-Lösung nicht IPSec
NAT-Traversal, fahren Sie mit Abschnitt 2 fort und beachten Sie die Hinweise in
Abschnitt 3.
Wird das Protokoll PPTP verwendet, können Sie ohne weitere Maßnahmen eine
VPN-Verbindung aufbauen. Beachten Sie jedoch die Hinweise in Abschnitt 3.
2 FRITZ!Box einrichten
Richten Sie die FRITZ!Box wie hier beschrieben ein, wenn die VPN-Verbindung über
das Protokoll IPSec aufgebaut wird, die VPN-Lösung nicht IPSec NAT-Traversal
unterstützt und der VPN-Server ausschließlich IKE-Pakete vom Quell-Port UDP 500
entgegennimmt.
ID Related Document Nr. 5511
1. Rufen Sie an einem Computer, der mit der FRITZ!Box verbunden ist, die
Benutzeroberfläche der FRITZ!Box auf. Geben Sie dazu im Internetbrowser (z.B.
Internet Explorer) die Adresse http:
fritz.box ein.
2. Klicken Sie auf "Einstellungen", und wählen Sie im Menü "Internet" den Punkt
"Portfreigabe" aus.
3. Klicken Sie auf "Neue Portfreigabe"
4. Wählen Sie im Dropdown-Menü hinter "Portfreigabe aktiv für:" "Andere
Anwendungen" aus
5. Tragen Sie unter "Bezeichnung" einen Namen für die neue Portfreigabe ein (z.B.
VPN).
6. Wählen Sie unter "Protokoll" im Dropdown-Menü das Protokoll UDP aus.
7. Tragen Sie unter "von Port" und "an Port" jeweils 500 ein.
8. Tragen Sie unter "an IP-Adresse" die IP-Adresse des Computers ein, von dem
VPN-Verbindungen ins Internet hergestellt werden sollen.
9. Klicken Sie auf "Übernehmen".
3 Einschränkungen beim Aufbau von VPN -Verbindungen
Diese Einschränkungen gelten nicht, wenn die VPN-Verbindung über das
Protokoll IPSec aufgebaut wird und die VPN-Lösung IPSec NAT-Traversal
unterstützt.
An einem VPN-Klienten können Sie nicht mehrere Verbindung gleichzeitig zu ein
und demselben VPN-Server im Internet aufbauen.
Den IPSec-Betriebsmodus "Authentification Header" (AH) können Sie nicht
nutzen.
Den automatischen Auf- und Abbau von Internetverbindungen
("Short-Hold-Mode") durch die FRITZ!Box können Sie nur eingeschränkt nutzen.
Da der VPN-Klient den Abbau einer Internetverbindung nicht mitbekommt,
handelt er nach dem erneuten Aufbau einer Internetverbindung nicht automatisch
eine neue VPN-Verbindung mit dem VPN-Server im Internet aus. Dies ist aber in
der Regel notwendig, da die FRITZ!Box üblicherweise bei Aufbau einer neuen
Internetverbindung vom Internetanbieter auch eine neue IP-Adresse erhält.
//Zitat Ende
Bitte warten ..
Mitglied: casper99
14.11.2006 um 00:08 Uhr
Danke für die bisherigen Antworten.
Das hat leider alles nichts geholfen.
Weder die Portfreigaben noch das einstellen des Rechners in die DMZ.
Es funktioniert nur auf 1 Weise:
Das Modem der Fritz Box ausschalten bzw. keine Einwahl der Fritz Box ins Internet.
Ein externes DSL Modem an die LAN Buchse, und dann vom Notebook per PPPoE eine Internetverbindung aufbauen. Dann hat mein Notebook auch die öffentliche IP Adresse.
Somit kann ich mich verbinden und IpSec funktioniert auch.
Liegt das eventuell am Client, der unbedingt die öffentliche IP Adresse haben will???
Diese Lösung ist natürlich nicht optimal da die anderen PCs im LAN kein Internet mehr haben.
Es sollte nur zur Lösung beitragen. Ich weiss nicht weiter.
Bitte warten ..
Mitglied: hevtig
14.11.2006 um 00:41 Uhr
Schon sehr seltsam.
Ich selber habe es mit einer LANCOM Lösung hinbekommen.
Du solltest auf alle Fälle den "Aggressive Mode" einsetzen hinter einem NAT.
Desweiteren wäre es natürlich interessant, was das logging des Teledat 803 VPN Router anzeigt.
Bitte warten ..
Ähnliche Inhalte
Voice over IP

VOIP Problem über VPN Site-to-Site Tunnel

gelöst Frage von clemens-der-vierteVoice over IP19 Kommentare

Hallo an die Experten, folgendes Problem tritt aktuell bei mir auf: Ein Mitarbeiter im HomeOffice ist per VPN (Site-to-Site ...

LAN, WAN, Wireless

Site to Site VPN FritzBox

gelöst Frage von marni1996LAN, WAN, Wireless7 Kommentare

Hallo Zusammen, Ich versuche vergeblich eine VPN Verbindung zwischen Office <> RZ herzustellen. Leider klappt es nicht im RZ ...

Firewall

VPN Konfiguration End - Site(NAT) - Site mit Fortigate

Frage von itprojectFirewall3 Kommentare

Hallo zusammen, ich brauche eure Hilfe, ich blick noch nicht ganz durch ;) Die Situation: Ein Entwickler verbindet sich ...

Router & Routing

Mikrotik Site to Site VPN Firewall Probleme

gelöst Frage von Rolf14Router & Routing19 Kommentare

Hallo Leute, ich habe mal eine kleine Frage. Ich habe hier zwei Mikrotik Router. Einer hat extern eine feste ...

Neue Wissensbeiträge
Ausbildung

Linux-Ausstieg in Niedersachsen - Windows statt Bugfix

Information von StefanKittel vor 14 StundenAusbildung8 Kommentare

Sind ja nur Steuergelder

Speicherkarten

Neuer Speicherkartentyp - zunächst nur für Huawei-Smartphones (künftig auch für Notebooks u. Tablets?)

Tipp von VGem-e vor 2 TagenSpeicherkarten2 Kommentare

Servus, als ob das "Chaos" i.S. Speicherkarten noch nicht groß genug wäre?! Evtl. kommt dieser neue Kartentyp bald auch ...

Sicherheit

Diverse D-Link-Router durch drei Schwachstellen kompromittierbar

Information von kgborn vor 2 TagenSicherheit

Hat jemand D-Link-Router in Verwendung? Einige Modelle sind sicherheitstechnisch offen wie ein Scheunentor. Äußerst unschöne Sache, aber nichts neues ...

Hardware

100.000 Mikrotik-Router ungefragt von Hacker abgesichert

Information von 7Gizmo7 vor 3 TagenHardware3 Kommentare

Hallo zusammen, da hier ja öfters mal von Mikrotik gesprochen wird. Trotz Updates klafft eine Sicherheitslücke in Hundertausenden Mikrotik-Routern. ...

Heiß diskutierte Inhalte
Off Topic
SysAdmin im öffentlichen Dienst - jemand Erfahrungen?
Frage von JohnDorianOff Topic22 Kommentare

Hallo zusammen, hat jemand Erfahrung wie es so ist als SysAdmin im öffentlichen Dienst (Landkreis) im Südwesten der Republik ...

SAN, NAS, DAS
Nas mit USB und LAN gleichzeitig zugreifen
gelöst Frage von MarkBeakerSAN, NAS, DAS16 Kommentare

Hallo zusammen, ich suche eine Art NAS, womit ich via LAN und USB zugreifen kann. Folgender Aufbau ist gedacht: ...

Vmware
Offene LDAP-Server in AS
gelöst Frage von obi-wan-kenobiVmware16 Kommentare

Hallo alle Miteinander, ich habe ein Problem, unsere VM-Ware Appliance (Version. 6.5.0.10000) ist scheinbar angreifbar. Wir haben eben die ...

Entwicklung
Ist dies als Programmieren zu bezeichen?
Frage von kmsw110Entwicklung13 Kommentare

Hallo, ein Kollege redet dauernd darüber das er im Betrieb seine Maschinen (Fräsmaschinen) Programmiert bzw. Zahlenwerte in ein .txt ...