Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Problem beim VPN Aufbau End-To-Site

Mitglied: casper99

casper99 (Level 1) - Jetzt verbinden

12.11.2006, aktualisiert 14.11.2006, 12695 Aufrufe, 4 Kommentare

VPN Aufbau zwischen Draytek Smart VPN Client hinter AVM FRITZ BOX 3030 zu einem externen Teledat 803 Router funktioniert nicht mit Fritz Box

Hallo, ich habe folgendes Scenario

PC (Draytek VPN Client) --> FritzBox 3030 --> Internet --> Teledat 803 VPN Router

Die Einwahl per L2TP und Ipsec funktioniert nur wenn ich die FritzBox umgehe und direkt über ein Modem die Verbindung aufbaue.
Habe NAT in Verdacht. Hat jemand ne Idee wie das auch mit der Fritz Box geht?
Habe laut den Seiten von AVM auch den AH serverseitig schon abgeschaltet.
Mitglied: aqui
13.11.2006 um 12:58 Uhr
Ja das vermutest du richtig mit NAT ! L2TP benutzt IPsec. IPsec AH Mode lässt sich überhaupt nicht über NAT übertragen, da es dann in den encapsulated Packets zu einem Checksummen Problem kommt. IPsec vermutet dann eine Manipulation und stoppt den Verbindungsaufbau. Du kannst nur IPsec im ESP Mode übertragen.
Dafür muss die Fritzbox im IP Forwarding Setup IKE/ISAKMP Port UDP 500 und ESP (Protokoll 50 ,Achtung NICHT Port TCP 50) auf die IP Adresse deines Clients eingetragen haben !
Kann die FB das nicht, kannst du den Port an dem dein Client ist als sog. "DMZ" Port definieren, dann forwardet die FB alles was nicht anderweitig in der Port Forwarding Tabelle angegeben ist auf diesen Port.
Bitte warten ..
Mitglied: hevtig
13.11.2006 um 23:31 Uhr
Dafür muss die Fritzbox im IP
Forwarding Setup IKE/ISAKMP Port UDP 500 und
ESP (Protokoll 50 ,Achtung NICHT Port TCP 50)
auf die IP Adresse deines Clients eingetragen
haben !
Kann die FB das nicht, kannst du den Port an
dem dein Client ist als sog. "DMZ"
Port definieren, dann forwardet die FB alles
was nicht anderweitig in der Port Forwarding
Tabelle angegeben ist auf diesen Port.

Das ist nach meinen Erfahrungen so nicht ganz richtig.
Selbst wenn der Draytek Client in der DMZ stehen würde, was natürlich möglichst zu verhindern gilt, so muß dennoch ESP weitergeleitet werden.
Die Fritzbox sollte das allerdings auch so können.
Also ESP und Port 50 UDP an den Client weitergeleitet und es sollte gehen.
Sollte NAT-T unterstützt werden muß Port 4500 UDP weitergeleitet werden.

AVM sagt dazu folgendes:
Zitat
ID Related Document Nr. 5511 1
VPN-Verbindungen über die Internetverbindung der FRITZ !Box herstellen
Ist Ihre FRITZ!Box als DSL-Router eingerichtet, kann sich über die Internetverbindung der
FRITZ!Box ein VPN-Klient in Ihrem Netzwerk mit einem VPN-Server im Internet verbinden.
Die Firewall der FRITZ!Box unterstützt dafür "VPN-Passthrough" für die VPN-Protokolle
IPSec und PPTP.
Um eine VPN-Verbindung zwischen dem Klienten und dem VPN-Server aufzubauen, führen
Sie bitte die hier beschriebenen Maßnahmen nacheinander durch.
1 Vorbereitungen
1. Erkundigen Sie sich beim Hersteller oder Administrator des VPN-Servers, ob beim
Aufbau der VPN-Verbindung das Protokoll PPTP oder das Protokoll IPSec
verwendet wird.
Wenn das Protokoll IPSec verwendet wird, fragen Sie außerdem nach, ob die
VPN-Lösung IPSec NAT-Traversal unterstützt, und ob der VPN-Server
ausschließlich IKE-Pakete (Internet Key Exchange Protocol) vom Quell-Port UDP
500 entgegennimmt oder auch von anderen Quell-Ports.
Das Standardprotokoll des VPN-Servers von Windows XP und
Windows 2003 ist PPTP.
2. Wird das Protokoll IPSec verwendet und unterstützt die VPN-Lösung IPSec
NAT-Traversal, können Sie ohne weitere Maßnahmen eine VPN-Verbindung
zwischen dem Klienten und dem VPN-Server aufbauen.
Wird das Protokoll IPSec verwendet und unterstützt die VPN-Lösung nicht IPSec
NAT-Traversal, fahren Sie mit Abschnitt 2 fort und beachten Sie die Hinweise in
Abschnitt 3.
Wird das Protokoll PPTP verwendet, können Sie ohne weitere Maßnahmen eine
VPN-Verbindung aufbauen. Beachten Sie jedoch die Hinweise in Abschnitt 3.
2 FRITZ!Box einrichten
Richten Sie die FRITZ!Box wie hier beschrieben ein, wenn die VPN-Verbindung über
das Protokoll IPSec aufgebaut wird, die VPN-Lösung nicht IPSec NAT-Traversal
unterstützt und der VPN-Server ausschließlich IKE-Pakete vom Quell-Port UDP 500
entgegennimmt.
ID Related Document Nr. 5511
1. Rufen Sie an einem Computer, der mit der FRITZ!Box verbunden ist, die
Benutzeroberfläche der FRITZ!Box auf. Geben Sie dazu im Internetbrowser (z.B.
Internet Explorer) die Adresse http:
fritz.box ein.
2. Klicken Sie auf "Einstellungen", und wählen Sie im Menü "Internet" den Punkt
"Portfreigabe" aus.
3. Klicken Sie auf "Neue Portfreigabe"
4. Wählen Sie im Dropdown-Menü hinter "Portfreigabe aktiv für:" "Andere
Anwendungen" aus
5. Tragen Sie unter "Bezeichnung" einen Namen für die neue Portfreigabe ein (z.B.
VPN).
6. Wählen Sie unter "Protokoll" im Dropdown-Menü das Protokoll UDP aus.
7. Tragen Sie unter "von Port" und "an Port" jeweils 500 ein.
8. Tragen Sie unter "an IP-Adresse" die IP-Adresse des Computers ein, von dem
VPN-Verbindungen ins Internet hergestellt werden sollen.
9. Klicken Sie auf "Übernehmen".
3 Einschränkungen beim Aufbau von VPN -Verbindungen
Diese Einschränkungen gelten nicht, wenn die VPN-Verbindung über das
Protokoll IPSec aufgebaut wird und die VPN-Lösung IPSec NAT-Traversal
unterstützt.
An einem VPN-Klienten können Sie nicht mehrere Verbindung gleichzeitig zu ein
und demselben VPN-Server im Internet aufbauen.
Den IPSec-Betriebsmodus "Authentification Header" (AH) können Sie nicht
nutzen.
Den automatischen Auf- und Abbau von Internetverbindungen
("Short-Hold-Mode") durch die FRITZ!Box können Sie nur eingeschränkt nutzen.
Da der VPN-Klient den Abbau einer Internetverbindung nicht mitbekommt,
handelt er nach dem erneuten Aufbau einer Internetverbindung nicht automatisch
eine neue VPN-Verbindung mit dem VPN-Server im Internet aus. Dies ist aber in
der Regel notwendig, da die FRITZ!Box üblicherweise bei Aufbau einer neuen
Internetverbindung vom Internetanbieter auch eine neue IP-Adresse erhält.
//Zitat Ende
Bitte warten ..
Mitglied: casper99
14.11.2006 um 00:08 Uhr
Danke für die bisherigen Antworten.
Das hat leider alles nichts geholfen.
Weder die Portfreigaben noch das einstellen des Rechners in die DMZ.
Es funktioniert nur auf 1 Weise:
Das Modem der Fritz Box ausschalten bzw. keine Einwahl der Fritz Box ins Internet.
Ein externes DSL Modem an die LAN Buchse, und dann vom Notebook per PPPoE eine Internetverbindung aufbauen. Dann hat mein Notebook auch die öffentliche IP Adresse.
Somit kann ich mich verbinden und IpSec funktioniert auch.
Liegt das eventuell am Client, der unbedingt die öffentliche IP Adresse haben will???
Diese Lösung ist natürlich nicht optimal da die anderen PCs im LAN kein Internet mehr haben.
Es sollte nur zur Lösung beitragen. Ich weiss nicht weiter.
Bitte warten ..
Mitglied: hevtig
14.11.2006 um 00:41 Uhr
Schon sehr seltsam.
Ich selber habe es mit einer LANCOM Lösung hinbekommen.
Du solltest auf alle Fälle den "Aggressive Mode" einsetzen hinter einem NAT.
Desweiteren wäre es natürlich interessant, was das logging des Teledat 803 VPN Router anzeigt.
Bitte warten ..
Ähnliche Inhalte
Voice over IP

VOIP Problem über VPN Site-to-Site Tunnel

gelöst Frage von clemens-der-vierteVoice over IP19 Kommentare

Hallo an die Experten, folgendes Problem tritt aktuell bei mir auf: Ein Mitarbeiter im HomeOffice ist per VPN (Site-to-Site ...

LAN, WAN, Wireless

Site to Site VPN FritzBox

gelöst Frage von marni1996LAN, WAN, Wireless7 Kommentare

Hallo Zusammen, Ich versuche vergeblich eine VPN Verbindung zwischen Office <> RZ herzustellen. Leider klappt es nicht im RZ ...

Router & Routing

Site to Site IPSEC VPN Tunnel mit Windows Server 2012 aufbauen

Frage von mymodeRouter & Routing3 Kommentare

Hallo, ich möchte einen Site to Site Tunnel auf Basis von IPSEC IKEV1 aufbauen. Dass dies normalerweise mit 2 ...

Firewall

VPN Konfiguration End - Site(NAT) - Site mit Fortigate

Frage von itprojectFirewall3 Kommentare

Hallo zusammen, ich brauche eure Hilfe, ich blick noch nicht ganz durch ;) Die Situation: Ein Entwickler verbindet sich ...

Neue Wissensbeiträge
Windows 10
Zero-Day-Lücke in Microsoft Edge
Information von kgborn vor 1 TagWindows 10

In Microsofts Edge-Browser klafft wohl eine nicht geschlossene (0-Day) Sicherheitslücke im Just In Time Compiler (JIT Compiler) für Javascript. ...

Sicherheit
Microsoft und Skype: Sicherheit
Information von kgborn vor 1 TagSicherheit

Die Tage gab es ja einige Berichte zur Sicherheit des Skype-Updaters. Der Updater von Skype läuft unter dem Konto ...

Datenschutz

Behörden ignorieren Sicherheitsbedenken gegenüber Windows 10

Information von Penny.Cilin vor 2 TagenDatenschutz8 Kommentare

Hallo, passend zum Thema Ablösung LIMUX in München ein Beitrag bei Heise (siehe Link folgend). Behörden ignorieren Sicherheitsbedenken gegenüber ...

Sicherheit
Information Security Hub Munich airport
Information von brammer vor 2 TagenSicherheit

Hallo, Neues Center für Cyber Kriminalität am Münchener Flughafen brammer

Heiß diskutierte Inhalte
DSL, VDSL
Mindestgeschwindigkeiten DSL Telekom
Frage von justlukasDSL, VDSL13 Kommentare

Hallo zusammen, Seit diesem Jahr habe ich Verständnisprobleme mit dem Verhalten der Telekom. Wir haben seit einem Jahr VDSL ...

Switche und Hubs
LANCOM-Switch: Probleme (no link) mit SFP-Modulen?
Frage von THETOBSwitche und Hubs10 Kommentare

Hi zusammen, ich habe folgendes Problem: Und zwar habe ich an einem Standort drei Switche verbaut - LANCOM GS-2326P+, ...

Firewall
RB2011 Firewall Rule eine bestimmte Mac oder IP Adresse nicht zu blockieren
Frage von lightmanFirewall10 Kommentare

Hallo liebes Forum mit ihren Spezialisten. Ich habe meine Firewall so konfiguriert das kein Endgerät ohne meine Speziellen Erlaubnis ...

Humor (lol)
Was könnte man mit einem Server machen? Idee gesucht
Frage von 2SeitenHumor (lol)8 Kommentare

Hey Zusammen Ich habe einen alten HP G2 Rackserver zu Hause rumliegen. 28GB Ram, 1xAMD Prozi mit etwa 2GHz. ...