carpediem89
Goto Top

VPN bricht zusammen wenn mehr als ein Device verbunden ist mit der gleichen öfftentlichen IP

Guten Abend,

Ich habe das Problem das der VPN zusammen bricht wenn mehr als ein Device verbunden ist mit der gleichen öfftentlichen IP ,ich besitze einen Draytek 3900 , der als VPN-User Datenbank den LDAP Server auf unseren QNAS TURBO verwendet. Wir verwenden als Verbindungstyp L2TP\IPSec mit Preshared Key. Als Protokoll wird PAP verwendet. Hab schon mit Port Forwarding im Router versucht das Problem zu beheben mit udp port 500, 4500 sowie TCP 10000, war aber leider vergebens. Im Router selbst hab ich auch keine Option gefunden, die es Untersagen würde, mehr als einen VPN Tunnel von der gleichen Ip anzunehmen.

Vielleicht wisst Ihr ja Rat. Danke schon mal im vorraus, wer sich die Zeit nimmt und versucht zu Helfen.

BG

Content-Key: 239480

Url: https://administrator.de/contentid/239480

Ausgedruckt am: 29.03.2024 um 00:03 Uhr

Mitglied: 108012
108012 29.05.2014 um 01:33:41 Uhr
Goto Top
Hallo,

ich habe mal eine Frage dazu, warum öffnest Du an
so einem VPN Konzentrator, der bis zu 500 IPSec
Tunnel unterstützt die Ports?

Denn normaler weise können die VPN Nutzer sich
doch direkt mit dem Vigor3900 verbinden, oder?

Und wenn so eine Verbindung steht kann man doch
in der Regel auch auf das komplette dahinter liegende
Netzwerk zugreifen, oder nicht?

Im Router selbst hab ich auch keine Option gefunden, die es
Untersagen würde, mehr als einen VPN Tunnel von der gleichen
Ip anzunehmen.
Kann man denn nicht am Router einstellen das er immer
eine IP Adresse aus dem eigenen internen Netzwerk (LAN)
per DHCP an den VPN Nutzer vergibt und diese IP Adresse
bindet man dann an die Mac Adresse des VPN Benutzer.

Vielleicht wisst Ihr ja Rat. Danke schon mal im vorraus,
wer sich die Zeit nimmt und versucht zu Helfen.
Der Vigor3900 ist schon eine richtige Rakete was VPN
Verbindungen anbetrifft und ich denke das es dort bestimmt
eine Möglichkeit gibt oder sogar mehrere.

Gruß
Dobby
Mitglied: Carpediem89
Carpediem89 29.05.2014 aktualisiert um 01:52:32 Uhr
Goto Top
Erstmal Danke für die schnelle Antwort.

Ja eine Verbindung mit dem Router per VPN per login mit dem Lpad server klappt ohne Probleme, das Problem tritt erst auf wenn ich einen zweiten Laptop per VPN mit anderen Nutzerdaten einlogge, die das gleiche Netzwerk nutzen (als Beispiel eine Nebenstelle) also die gleiche öffentliche IP hat. Dann bricht die Verbindung beider zusammen vollständig, kein Ping gar nichts. Davor geht die komplette Netzwerkkommunikation inkl DHCP.

Die Ports hab ich nur kurzzeitig zu testen geöffnet um zu sehen ob das, dass Problem behebt.
Mitglied: 108012
108012 29.05.2014 um 02:03:29 Uhr
Goto Top
Ja eine Verbindung mit dem Router per VPN per login
mit dem Lpad server klappt ohne Probleme,
Ah ok das hatte ich dann falsch verstanden,
ich dachte daran dass eben das schon nicht
funktioniert.

das Problem tritt erst auf wenn ich einen zweiten Laptop per
VPN mit anderen Nutzerdaten einlogge, die das gleiche
Netzwerk nutzen (als Beispiel eine Nebenstelle).
Vergibt denn Dein Vigor3900 jedem VPN Nutzer
eine IP Adresse aus Eurem Netzwerk vor Ort?

Schau Dir mal die Einstellungen unter LAN > Bind IP to MAC
an und vergibt mal bitte für die beiden Laptops so eine IP
Adresse und schau noch einmal nach ib das dann funktioniert
aber lösche bitte vorher den Cache.
Was auch noch sein kann ist dass dort vor Ort
also nicht bei Euch sondern auf der Seite der
VPN Nutzer eine neue IP Adresse vergeben wird
via DHCP und es dann zu Problemen kommt auf Eurer Seite.

Die Ports hab ich nur kurzzeitig zu testen geöffnet um
zu sehen ob das, dass Problem behebt.
Ich denke eher das es ein Problem ist was
auf beiden Seiten ist.

Gruß
Dobby
Mitglied: Carpediem89
Carpediem89 29.05.2014 aktualisiert um 02:41:18 Uhr
Goto Top
Das dachte ich zuerst auch hab dann aber von mir Zuhause aus versucht mit zwei Laptops per Vpn zuzugreifen, was soll ich sagen das gleiche Problem.

Ich versuch das gleich mal mit Bind IP to MAC und geb dann Bescheid aber er vergibt wenn sich mehrere VPN User einloggen automatisch in einen bestimmten Adressenbereich die Ip's, das funktioniert.

Danke und Beste Grüße


Hat leider nicht funktioniert er zeigt mir bei Bind IP to MAC die vergebene IP nicht an sie ist aber eindeutig per DHCP vergeben, da ich zwei mal einloggen musste per VPN und dabei den alles Resetet hab vergab der Vigor auch eine neue IP. Hab die MAC-Adresse und die IP dann Manuel hinzugefügt ich war leider trotzdem von DHCP betroffen.

http://picload.org/image/lcidpac/7dc4c3fea38761885acb3188e3a589.jpg --> Das Bild zeigt was passiert wenn zwei VPN Tunnel verbunden sind mit unterschiedlicher Öffentlicher IP.

Die IP-Adressen der Nebenstellen sind intern im Bereich 192.168.0.1/255 Subnet 255.255.255.0 aber unsere ist 10.0.1.0/255 bis 10.0.15.0/255 Subnet 255.255.240.0.
Mitglied: 108012
108012 29.05.2014 um 02:50:56 Uhr
Goto Top
Das dachte ich zuerst auch hab dann aber von mir
Zuhause aus versucht mit zwei Laptops per Vpn zuzugreifen,
Ne klar das ist dann ja auch nur eine öffentliche IP Adresse
die da genutzt wird, oder? Das sollte dann auch nicht funktionieren
es geht zwar schon nur dann eben mittels einer Site-to-Site
Verbindung und dann können auch beide auf das Netzwerk zugreifen.
Also sprich einer Router zu Router VPN Verbindung.

Das sollte dann kein Problem mehr darstellen.

Gruß
Dobby
Mitglied: Carpediem89
Carpediem89 29.05.2014 aktualisiert um 03:22:58 Uhr
Goto Top
Ja das hab auch schon gelesen das da Site-to-Site besser ist leider geht die Nebenstelle über eine Router der nicht zum Unternehmen gehört sondern wird als Vlan von Nachbar Unternehmen bereitgestellt , daher kann ich leider nicht auf den Router zugreifen.

Außerdem hat das mit dem Vigor 2300 davor eigentlich immer problemlos funktioniert (ohne Site-to-Site).

Danke dir die Mühe.

BG
Mitglied: 108012
108012 29.05.2014 um 03:22:38 Uhr
Goto Top
Außerdem hat das mit dem Vigor 2300 davor eigentlich
immer problemlos funktioniert (ohne Site-to-Site).
Dann wird es mit dem Vigor3900 garantiert auch funktionieren!
Aber ganz bestimmt sogar! Denn der ist ja eigentlich für solche
VPN Geschichten prädestiniert, ist bestimmt irgend eine
Konfigurationssache und dann funktioniert es hier auch wieder.


Gruß
Dobby
Mitglied: Carpediem89
Carpediem89 29.05.2014 aktualisiert um 03:24:47 Uhr
Goto Top
Genau danach such ich. Leider kann ich es aber nicht finden. Hab das komplette Ding schon zweimal durchsucht.
Mitglied: colinardo
Lösung colinardo 29.05.2014, aktualisiert am 03.06.2014 um 01:21:37 Uhr
Goto Top
Moin,
auszug aus ftp://ftp.draytek.pl/POMOC/Gotowe_przyklady/3300V/VPN_Dostep_zdalny/IPSec_Host-to-LAN_Smart%20VPN_DHCP_over_IPSec.pdf
If the remote user is behind the NAT, then other hosts within the same subnet cannot connect to the VPN server. That is, only one host can dial IPSec to the VPN server at the same time if behind the NAT.
Vermutlich kann der Draytek dann die bereits generierte IPSec Policy für den ersten Client nicht auch für den zweiten benutzen, und bricht dann beim Versuch eine dynamische IPSec-Policy mit gleicher Security Gateway IP zu generieren ab.

Hatte ich auch schon bei einem anderen Draytek Modell...

Grüße Uwe
Mitglied: keine-ahnung
Lösung keine-ahnung 29.05.2014, aktualisiert am 03.06.2014 um 01:21:28 Uhr
Goto Top
Moin,
If the remote user is behind the NAT, then other hosts within the same subnet cannot connect to the VPN server. That is, only one host can dial IPSec to the VPN server at the same time if behind the NAT.
schlecht leben muss nicht billig sein face-wink. Da scheint die Authentifizierung auschliesslich im main-mode über die IP realisiert zu werden. Wenn das wirklich drückt, musst Du den VPN-Router wechseln, bspw. LANCOM können das ...

LG, Thomas
Mitglied: aqui
Lösung aqui 29.05.2014, aktualisiert am 03.06.2014 um 01:21:17 Uhr
Goto Top
...oder ganz simpel auf dem QNAP NAS einfach den Openvpn Server mit einem Mausklick aktivieren....
Oder noch einfacher:
Reines IPsec verwenden auf dem Draytek ohne L2TP !
Dazu findest du grundlegende Infos hier:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Mitglied: 108012
108012 29.05.2014 aktualisiert um 13:10:00 Uhr
Goto Top
ftp://ftp.draytek.pl/POMOC/Gotowe_przyklady/3300V/VPN_Dostep_zdalny/IP
Bezieht sich aber auf den Draytek Vigor3300V und nicht auf den Vigor3900.

Die letzte aktuelle Firmware voraus gesetzt (vers. 1.08) sollte sich unter:
- "VPN and Remote Access" ein Karteireiter namens "VPN Server Wizard"
befinden und dort kann man dann auch einen VPN Server einrichten.

- Und unter "VPN Profiles" kann man im Karteireiter "Advanced"
für das erstellte Profile bei "Route/NAT" auch auch "NAT" umstellen

Gruß
Dobby



P.S. Kleiner Nachtrag:
In den "Release Notes" der Firmware 1.08 befinden sich folgende Punkte:
"New Features"
- Support VPN LAN to LAN for overlap/duplicate subnets
Improvement"
- Support NAT option for IPsec LAN to LAN
"Known Issues"
You need to disable "Force IPsec with L2TP" options for pure
L2TP tunnel in VPN and Remote Access >> PPP General Setup.
Mitglied: colinardo
Lösung colinardo 29.05.2014, aktualisiert am 03.06.2014 um 01:20:47 Uhr
Goto Top
Wir verwenden als Verbindungstyp L2TP\IPSec mit Preshared Key
Bei der Nutzung von L2TP mit IPSec gilt bei deinem Draytek-Modell folgende Einschränkung:
Note :
More than one L2TP over IPsec connections from the same remote public IP is not supported.
For more than one VPN connections and better VPN performnace, please use PPTP/IPsec instead.
zu sehen unter VPN and Remote Access > PPP General Setup > L2TP unten.

Ein Demo-Interface für den Draytek 3900 findet sich unter folgender Adresse (dank an @108012):
http://60.250.189.150:3900/

Also reines IPSec und die L2TP Option an der genannten Stelle deaktivieren, dann sollte es laufen.

Grüße Uwe
Mitglied: aqui
aqui 30.05.2014 um 20:41:49 Uhr
Goto Top
Wenns das denn nun war bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
Mitglied: Carpediem89
Carpediem89 03.06.2014 um 01:22:59 Uhr
Goto Top
Danke für eure Mühen, hat alles super geklappt. Ich zieh den Hut vor euch. :D

Team Mission Accomplished

BG
Mitglied: Carpediem89
Carpediem89 03.06.2014 um 01:24:45 Uhr
Goto Top
Lösung:

VPN and Remote Access > PPP General Setup > L2T > Force L2Tp with IPsec policy disabled