Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Vpn passthrought

Mitglied: d-fault

d-fault (Level 1) - Jetzt verbinden

23.11.2011, aktualisiert 18.10.2012, 5515 Aufrufe, 3 Kommentare

Hallo,
ich möchte einen VPN-Tunnel (IPSec-VPN mit PSK) zwischen zwei Routern über das Internet aufbauen (LAN-LAN). Allerdings ist auf der einen Seite der entsprechende Router (VPN-Partner) wiederum hinter einen Router welcher für die Internet-Verbindung zuständig ist.
Bei jedem der Router ist eine NAT eingerichtet.

Nun sollte das Szenario mit VPN-Passthrought und NAT-Traversal lösbar sein. Allerdings bekomme ich das einfach nicht hin.

Tunnelaufbau bricht schon bei Phase 1 ab und mit den Logs kann ich auch nicht so viel anfangen.

In meinem Szenario werden nur Bintec R1202 verwendet.

\|/ 10.1.3.254 (NAT: 10.1.3.0 255.255.255.0)
Router 3 (an DSL, mit NAT, IPSec-VPN-Partner 1, Standard-Route: WAN)
| 20.20.20.5
|
|
| Internet
|
|
| 20.20.20.2
Router 2 (an DSL, mit NAT, Standard-Route: WAN; Portweiterleitungen an Router 1: UDP 500; UDP 4500; ESP)
/|\ 10.1.2.254 (NAT: 10.1.2.0 255.255.255.0)
|
| LAN
|
| 10.1.2.253
Router 1 (an R2, mit NAT, IPSec-VPN-Partner 2, Standard-Route: Router 2)
/|\ 10.1.1.254 (NAT: 10.1.2.0 255.255.255.0)

Der Bintec R1202 (mit NAT) sitzt zwischen dem Internet und einem weiteren Router (auch wieder mit NAT), welcher einem IPSec-VPN-Tunnel mit einem im Internet befindlichen VPN-Partner herstellen soll. Jedoch kann dieser Tunnel nicht aufgebaut werden.

Die Frage ist welche Einstellungen müssen ab Bintec R1202 gemacht werden, damit der VPN-Tunnel durchgeleitet wird.

Protokolle:

Router 3:
1 2011-11-23 12:40:12 Debug INET NAT: new outgoing session on ifc 10001 prot 17 20.20.20.5:500/20.20.20.5:702 -> 20.20.20.2:500
2 2011-11-23 12:40:12 Debug IPSec P1: peer 1 (VPN-Name) sa 30 (I): identified ip 20.20.20.5 -> ip 20.20.20.2
3 2011-11-23 12:40:12 Debug IPSec P1: peer 1 (VPN-Name) sa 30 (I): notify id 500 -> id 20.20.20.2 (unencrypted): No proposal chosen proto 1 spi(16) = [b296e7e9 ecd3d41b : 0eb0a3d8 1cd4d49e]
4 2011-11-23 12:40:12 Informationen IPSec P1: peer 1 (VPN-Name) sa 30 (I): failed id fqdn(any:0,[0..5]=r1202b) -> ip 20.20.20.2 (No proposal chosen)
5 2011-11-23 12:40:12 Informationen IPSec P1: peer 1 (VPN-Name) sa 0 (-): blocked for 15 seconds
6 2011-11-23 12:40:12 Informationen IPSec P1: peer 1 (VPN-Name) sa 30 (I): delete ip 20.20.20.5 -> ip 20.20.20.2: Blocked

Router 2:
43 2011-11-23 12:43:56 Debug INET interface 10001: TCP SYN [20.20.20.2:55357] -> [10.2.1.12:8192] clamp MSS 1460 ==> 1452
44 2011-11-23 12:43:50 Debug INET interface 10001: TCP SYN [20.20.20.2:55357] -> [10.2.1.12:8192] clamp MSS 1460 ==> 1452
45 2011-11-23 12:43:49 Debug INET NAT: delete session on ifc 10001 prot 6 10.2.2.12:51377/20.20.20.2:42735 <-> 20.21.22.45:80
46 2011-11-23 12:43:49 Debug INET NAT: delete session on ifc 10001 prot 6 10.2.2.12:51376/20.20.20.2:41039 <-> 20.21.22.78:80
47 2011-11-23 12:43:47 Debug INET interface 10001: TCP SYN [20.20.20.2:55357] -> [10.2.1.12:8192] clamp MSS 1460 ==> 1452
48 2011-11-23 12:43:42 Debug INET NAT: new outgoing session on ifc 10001 prot 17 10.1.2.253:904/20.20.20.2:945 -> 20.20.20.5:500
49 2011-11-23 12:43:39 Debug INET NAT: delete session on ifc 10001 prot 17 20.20.20.2:53/20.20.20.2:865 <-> 169.254.100.100:53
50 2011-11-23 12:43:39 Debug INET NAT: delete session on ifc 10001 prot 17 10.1.2.253:889/20.20.20.2:970 <-> 169.254.100.100:53
51 2011-11-23 12:43:39 Debug INET NAT: delete session on ifc 10001 prot 17 20.20.20.2:35302/20.20.20.2:37121 <->20.21.22.25:53
52 2011-11-23 12:43:38 Debug INET NAT: delete session on ifc 10001 prot 17 20.20.20.2:55557/20.20.20.2:47338 <-> 20.21.22.25:53
53 2011-11-23 12:43:35 Debug INET NAT: delete session on ifc 10001 prot 17 20.20.20.2:50208/20.20.20.2:55229 <-> 20.21.22.25:53

Router 1:
1 2011-11-23 12:43:58 Informationen IPSec P1: peer 1 (VPN-Name) sa 32 (I): failed id fqdn(any:0,[0..5]=r1202a) -> ip 20.20.20.5 (Timeout)
2 2011-11-23 12:43:58 Informationen IPSec P1: peer 1 (VPN-Name) sa 0 (-): blocked for 30 seconds
3 2011-11-23 12:43:58 Informationen IPSec P1: peer 1 (VPN-Name) sa 32 (I): delete ip 10.1.2.253 -> ip 20.20.20.5: Blocked
4 2011-11-23 12:43:43 Debug INET NAT: new outgoing session on ifc 1000 prot 17 10.1.2.253:500/10.1.2.253:904 -> 20.20.20.5:500
5 2011-11-23 12:43:43 Debug IPSec P1: peer 1 (VPN-Name) sa 32 (I): identified ip 10.1.2.253 -> ip 20.20.20.5
6 2011-11-23 12:43:40 Debug INET NAT: delete session on ifc 1000 prot 17 10.1.2.253:53/10.1.2.253:889 <-> 169.254.100.100:53


Vielleicht haben Sie noch einen Lösungsansatz.
danke
Mitglied: mrtux
23.11.2011 um 14:52 Uhr
Hi !

Kannst Du mir mal erklären warum Du das so kompliziert machst und welche Vorteile Du in deiner Konstellation siehst? Ich sehe da eigentlich nur Nachteile....Setz den Bintec an die Front und betreibe den Router 2 über PPPoe Pass-through als reines DSL Modem, vor allem wenn es sich um einen popelige Homerouter vom Provider handelt (z.B. Speedport o.ä.). Und wenn Du ein zweites Netzwerksegment benötigst, dann kannst Du das über den Switch im Bintec genauso lösen.

mrtux
Bitte warten ..
Mitglied: Fluxkompensator
24.11.2011 um 17:16 Uhr
Router 3 Zeile 4:

4 2011-11-23 12:40:12 Informationen IPSec P1: peer 1 (PROCOS) sa 30 (I): failed id fqdn(any:0,[0..5]=r1202b) -> ip 20.20.20.2 (No proposal chosen)

Scheint so als würde bei Phase 1 die Sicherheitsaushandlung scheitern, überprüf das mal..
Bitte warten ..
Mitglied: aqui
30.11.2011, aktualisiert 18.10.2012
Und das ist sonnenklar warum die Phase 1 schon scheitert, denn der davorliegende NAT Router blockiert IPsec !!

Dort muss logischerweise zwingend ein Port Forwarding eingerichtet sein auf den VPN Zielrouter bzw. dessen IP der dahinter liegt mit folgenden Ports die IPsec nutzt:
UDP 500
UDP 4500
ESP Protokoll (IP Protokoll Nummer 50, kein TCP/UDP ! ESP ist ein eigenes IP Protokoll !)
Wenn du das gemacht hast wird auch die VPN Verbindung problemlos laufen !!
Details dazu siehe auch hier:
https://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ... (hier bezogen auf OVPN Ports !)
https://www.administrator.de/wissen/ipsec-protokoll-einsatz%2c-aufbau%2c ...
Bitte warten ..
Ähnliche Inhalte
Vmware

VMWare ESXi 6 65 67 Passthrought mit RocketRaid 2740

Frage von DraGonHeart2311Vmware5 Kommentare

Hardware Supermicro X9DR3-F CPU 16 CPUs x Intel(R) Xeon(R) CPU E5-2670 0 @ 2.60GHz Arbeitsspeicher 47,97 GB non ECC ...

Cluster

VPN - Aber wie?

gelöst Frage von schneerunzelCluster5 Kommentare

Hallo zusammen. . ich brauch eine neue Lösung für VPN Verbindungen von Clients zum RZ Standort. Leider bin ich ...

LAN, WAN, Wireless

Ein VPN im VPN aufbauen

Frage von MasterSchlumpfLAN, WAN, Wireless3 Kommentare

Hallo Freunde, ich habe eine Frage. Welchern Ausgangsort habe ich, wenn ich von meinem PC aus 2 VPN Verbindungen. ...

Router & Routing

Tunnel VPN to VPN

Frage von itschloeglRouter & Routing8 Kommentare

Guten Abend. Folgende Problemstellung: Ich habe ein Firmennetzwerk, welches mehrere Standorte umfasst. Alle Standorte sind via VPN an den ...

Neue Wissensbeiträge
Linux Netzwerk

Installation eines Logservers mit Loganalyzer als Debian-VM auf Hyper-V

Anleitung von lcer00 vor 13 StundenLinux Netzwerk

Zuerst sei auf den schönen Beitrag von aqui hier im Forum verwiesen, in dem die loganalyzer-installation bereits beschrieben ist: ...

Humor (lol)
Antennagate 2018
Information von magicteddy vor 13 StundenHumor (lol)2 Kommentare

Da haut der angekaute Elektronikhersteller die teuersten Geräte auf den Markt und bekommt anscheinend die Basics mal wieder nicht ...

Datenschutz

Die Datenkrake Google verlängert ihr Arme mal wieder ein wenig, automatische Anmeldung

Tipp von magicteddy vor 1 TagDatenschutz3 Kommentare

Benutzer mit einem Google Account und gespeicherten Zugangsdaten werden von chrome 69 automatisch bei Google angemeldet, natürlich alles zum ...

Verschlüsselung & Zertifikate
Meine Wissenssammlung zu Bitlocker
Erfahrungsbericht von DerWoWusste vor 2 TagenVerschlüsselung & Zertifikate3 Kommentare

Die Motivation für diesen Beitrag waren die vielen Posts rund um dieses Thema, die deutlich machen, wie viele Einzelaspekte ...

Heiß diskutierte Inhalte
E-Mail
Welche ist die beste E-Mail Groupware für die Zukunft?
Frage von ITCrowdSupporterE-Mail24 Kommentare

Guten Tag allerseits :) Ich möchte mich mit einer Frage heute mal an die Schwarmintelligenz wenden. Aktuell befasse ich ...

Firewall
Wesyb Offline
Frage von DkuehlbornFirewall14 Kommentare

Hallo Kollegen, ein Kunde hat von Wesyb die Sicherheitslösung im Einsatz. Seit August scheint deren Internetseite nicht mehr verfügbar ...

Video & Streaming
DVD auf Festplatte sichern
Frage von Thor01Video & Streaming13 Kommentare

Hallo, mittlerweile hat meine DVD Sammlung ein alter erreicht wo die eine oder andere DVD schon das Zeitliche gesegnet ...

Server-Hardware
Empfehlung für Hardware eines Software Routers
Frage von janosch12Server-Hardware12 Kommentare

Hallo Gemeinde, ich brauche von euch ein paar Tipps in Sachen Router-Hardware. Aktuell haben wir auf einem 2 HE ...