Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst VPN-problem mit Checkpoint Secureclient R60 und TP-Link 941ND

Mitglied: Lochkartenstanzer

Lochkartenstanzer (Level 5) - Jetzt verbinden

26.06.2011, aktualisiert 13:29 Uhr, 10061 Aufrufe, 12 Kommentare

Hallo Kollegen,

Mal wieder ein VPN-Problem

Vorgeschichte:

VPN funktionierte bisher einwandfrei (und funktioniert weiterhin) mit einem Speedport (genaues Modell muß ich erst erfragen)

Problem:

Mit einem TP-Link 941ND bekommt er keine Verbindung zur zentrale, Meldung lautet: Keine Antwort von host (o.ä.).


Ich bekam einen Anruf von einem Außendienstmitarbeiter, daß er keine VPN-verbindung zur Zentrale bekommt. Die Verbindung wird mit dem Secureclient R60 zu einer CP FW-1 NG aufgebaut. Genauen Release-Stand kann ich leider nicht nachschauen, da diese von einem anderen Dienstleister betreut wird.

Solange er üebr Kabel mit den Speedport sich verbindet, funktioniert die VPN-verbindung.

Nimmt er den TP-Link mit einem DSL-Modem (oder den Speedport mit PPPoE-Passtrough), um auch über WLAN Internet zu haben, funktioniert die VPN-verbindung nicht. Es kommen keine Antworten von der Firewall zurück. Internet (auch andere Dienste als http/https) funktioniert einwandfrei.

Der TP-Link ist auf dem neusten Firmware-Stand (frisch vom hersteller gezogen), die Einstellunge für SPI-Firewall, PPTP, L2TP und IPsec sind auf enabled (wobei es keine Unterschied macht ob man die auf disabled setzt (alle 16 Kombinationen durchprobiert).

Es kommen auf jeden Fall keine antworten von der Firewall zurück. Da ich leider keine Kotrolle üebr die Checkpoitn habe, kann ich nicht per sniffer nachschauen,. ob die Pakete dort ankommen und nicht beantwortet werden oder der TP-link der "böse" ist. Der Kunde hat leider keinen zweiten Rechner, mit dem er die PPPoE-Verbindung sniffen könnte.

Ich weiß, daß die Informationen etwas dürftig sind, aber vielleicht ist ja schon mal jemand von Euch über ein ähnliches Problem gestolpert. und kann mir einen Hinweis geben, in welcher Richtung ich weitersuchen könnte. Google war da leider etwas unergiebig.

Nachtrag: Könnte es ein MTU-Problem mit T-Online sein? Ich habe im Moment leider keine Möglichkeit das zu verifizieren.
Mitglied: aqui
26.06.2011 um 14:21 Uhr
Na ja TP Links bewegt sich am untersten Ende der Preisskala. Unverständlich warum man im einem Firmenumfeld auf Consumer China Billigsthardware setzen muss und da auch noch den allerletzen Euro spart...aber das ist ja bekannt lich ein anders Thema....Denn es gibt ja nun wahrlich bessere Alternativen bei denen es gar nicht erst zu solchen Problemen kommen muss, wenn sogar ein dümmlicher Speedport das korrekt behandeln kann !!
Bugs muss man also hier einkalkulieren. Vermutlich macht der TP Link wirklich kein ESP Passthroug (...oder welches VPN Protokoll der Client auch immer benutzt was du uns ja leider auch nicht mitteilst )
Testweise solltest du also besser statisch UDP 500, UDP 4500 und das ESP Protokoll (Achtung: nur wenn IPsec verwendet wird !) auf die lokale IP Adresse des Cliets in den Router eintragen. Ggf. löst das schon das Problem.
Bei PPTP bentzt du dann statt der o.a. ports eben TCP 1723 und das GRE Protokoll...wie immer.
Ein MTU Problem ist es sicher nicht, jedenfalls nicht beimTunnelverbindungsaufbau, da dort keine Pakete größer 256 Byte verwendet werden. Der Tunnel solllte also immer zustande kommen !
Bitte warten ..
Mitglied: Lochkartenstanzer
26.06.2011 um 16:01 Uhr
Hallo aqui,

Danke für deine Antwort.

Die Außendienstmitarbeiter sind für Ihre "Büroinfrastruktur" weitgehend selbst zuständig. Die bekommen einen funktionierenden Anschluß (T-Home mit Speedport) und ein Notebook gestellt, Alles andere ist meist Eigeninitiative der Außendienstmitarbeiter.

Der TP-Link ist anscheinend von einem anderen Internetanschluß "übriggeblieben" und der Mitarbeiter wollte damit "drahtlos" ins Internet, was zwar klappt, aber er kann damit nicht mehr VPN-Nutzen. Im Moment habe ich ihn dazu verdonnert wieder den Speedport zu nutzen.

Ich persönlich bevorzuge Linksys/Cisco und wenns "billig" sein muß AVM.

Aber als neugiereiger Mensch würde es mich schon interessieren, warum der TP-Link nicht will, obwohl der Speedport das kann. das VPN ist leider die Baustelle eines anderen Dienstleisters, daher komme ich im Moment nicht an Details heran. Das einzige was ich auf die Schnelle herausfinden konnte, war, daß der Client UDP-Encapsulation benutzt. "IKE over TCP" wird anscheinend unterstützt, aber nicht bentutzt.

Nunja, ich werde beim nächsten Kontakt mit dem Kunden mal die passenden Ports/Protokolle "aufmachen" um zu schauen, ob das dem Problem abhilft.
Bitte warten ..
Mitglied: dog
26.06.2011 um 16:39 Uhr
Warum macht ihr es nicht ganz einfach und benutzt den TP-Link nur als WLAN AP?
Problem gelöst.
Bitte warten ..
Mitglied: Lochkartenstanzer
26.06.2011 um 17:26 Uhr
Zitat von dog:
Warum macht ihr es nicht ganz einfach und benutzt den TP-Link nur als WLAN AP?
Problem gelöst.

Das wäre zu einfach

Im Ernst, das war mein allererster Vorschlag, und als Alternative einen WLAN-Router zu nehmen, mit dem das funktioniert, z.B. einen Speedport mit WLAN oder eine Fritzbox. Irgendwie wollte der Außendienstmitarbeiter das nicht. Nunja, im Moment ist er dazu verdonnert halt den Speedport ohne WLAN zu nutzen. -> Problem gelöst.

Worum es mir aber ging, wie ich oben schon sagte: Ich bin ein neugiereiger Mensch und wüßte halt gerne, warum der TP-Link Probleme macht, damit ich dann handfeste Argumente habe, den Kunden in Zukunft die TP-Links auszureden. Ein einfaches "geht nicht!" genügt manchmal leider nicht, weil derjenige irgendwo bei irgendeinem gesehen hat, daß es doch ging (auch wenn es ein Riesenaufwand war, was der Kunde aber meist nicht weiß.).
Bitte warten ..
Mitglied: mrtux
26.06.2011 um 18:32 Uhr
Hi !

Also ich habe mittlerweile (preislich gezwungenermassen) einige Erfahrung mit den Teilen. Bei den Dingern gibt es mindestens zwei Fallen:

1.
Firmware aktuell?

2.
Auch das popligste Ding (unter 10 Euro) von denen hat oftmals einen (ausgehenden) Minipaketfilter. Wenn der aktiv gesetzt ist und der User da auch noch selbst herumgefummelt hat, dann musst Du dich nicht wundern. Oftmals (also je nach Modell) gibt es einen einzigen Schalter (nennt sich meist klangvoll "Firewall" oder oftmals auch "Parental-Control"), der ist meist unter der Rubrik "Security" im WebGui zu finden, dort darf kein Haken drin sein. Und natürlich hat der Schalter nix mit NAT zu tun, das wird dadurch nicht beeinflusst...

mrtux
Bitte warten ..
Mitglied: aqui
27.06.2011 um 12:06 Uhr
...." ;als neugiereiger Mensch würde es mich schon interessieren, warum der TP-Link nicht will, obwohl der Speedport das kann. .."
Dann befriedige doch ganz einfach mal deine Neugier und sniffer den VPN Traffic am Client mal mit, dann weisst du doch ob die VPN Pakete ankommen oder nicht und ob der TP Link saber forwardet oder nicht !! Mit oder ohne Port Forwarding.
Übrigens: Ganz ohne gehts nicht. Der benutzer muss zwingend die Ports UDP 500 und UDP 4500 eintragen. ESP (Protokoll 50) sollte dann per VPN Passthrough geforwardet werden.
Das hast du ja vermutlich noch nichtmal konfiguriert auf dem TP-Link und auch kein Feedback diesbezüglich gegeben..? Was sollen wir dir also noch antworten hier ??
Wenn nicht ist der TP Link der böse Buhmann weil er kein ESP forwardet...eine typische Krankheit bei Billigsthardware !
Hast du denn wenigstens das statische Port Forwarding schon mal ausprobiert ??
Bitte warten ..
Mitglied: Lochkartenstanzer
27.06.2011 um 12:15 Uhr
Da die Kiste nicht direkt in meinem Zugriff ist (ca 400 km entfernt) bin ich darauf angewiesen wann der Außendienstler wieder Zeit hat. Der soll ja nicht nur sich mit dem Router beschäftigen sondern Aufträge generieren, damit der Kunde dann genug Geld hat, um mich dann damit zu bezahlen.

Ich werde also warten müssen, bis ich wieder Gelegenheit habe, auf seiner Kiste per Remote-Zugriff rumwerkeln zu dürfen.
Bitte warten ..
Mitglied: mrtux
28.06.2011 um 16:23 Uhr
Hi !

Zitat von aqui:
Übrigens: Ganz ohne gehts nicht. Der benutzer muss zwingend die Ports UDP 500 und UDP 4500 eintragen. ESP (Protokoll 50)

Ähmm reden wir hier von einer eingehenden oder ausgehenden VPN Verbindung? So wie ich das verstanden habe, will der Kunde durch den TP-Link auf das Firmennetz oder?

Gerade habe ich (nur testweise) einen 10 Euro TP-Link vor einem WRT-54gl und durch beide geht IPsec VPN problemlos auf einen Bintec R1200 ....

Das sieht so aus:
WinXP Pro (Shewsoft) -> WRT54gl (Tomato) -> TP-Link (R480) -> Teledat300 -> Telekom DSL 768 -> Business DSL16000 -> Speedport 701 (nur Modem) -> Bintec R1200 (eigeb. IPsec VPN Daemon)....funtzt absolut stabil und problemlos....Umgekehrt würde ich das nicht aufbauen (wollen).... :-P

mrtux
Bitte warten ..
Mitglied: Lochkartenstanzer
28.06.2011 um 16:39 Uhr
Zitat von mrtux:
Hi !

> Zitat von aqui:
> ----
> Übrigens: Ganz ohne gehts nicht. Der benutzer muss zwingend die Ports UDP 500 und UDP 4500 eintragen. ESP (Protokoll
50)

Ähmm reden wir hier von einer eingehenden oder ausgehenden VPN Verbindung? So wie ich das verstanden habe, will der Kunde
durch seinen TP-Link auf das Firmennetz oder?


Ausgehend:

In der Zentrale sitzt eine CP-FW1-NG hinter einem Cisco-Router.

Die Clients haben (je nach Alter des Systems) den SecuRemote/Scureclient von Checkpoint und bauen damit eine VPN-Verbindung über ihren jeweils gerade verfügbaren Internetanschluß, meist Ttelekom-DSL zur Zentrale auf. Die meisten "kostenlos" vom provider mitgelieferten Router funktionierten enwandfrei, solage der Provider bei der Voreinstellung nicht zufällig das gleiche RFC-1918-Netz getroffen hat wie in der Zentrale.

Es muß über den TP-Link nur eine Verbindug "raus" aufgebaut werden, Ich hatte schon früher mal mit einem TP-Link zu tun (weiß nicht mehr welches Modell) und da lief es auf Anhieb. Bis zu diesem Fall ist mir auch kein "Billigrouter" begegnet, der nicht spätestens nach einen FW-Update IPSec durchgelassen hat (NAT-Traversal mit UDP) und ein Portforwarding brauchte.


PS: Der Außendienstmitarbeiter ist momentan viel unterwegs, da habe ich in den nächsten Tagen verutlich keine Gelegenheit, danach zu schauen.
Bitte warten ..
Mitglied: Lochkartenstanzer
01.07.2011 um 11:36 Uhr
Ich habe gerade nachricht bekommen, daß das Problem gelöst und kein weiterre Handlungsbedarf mehr vorhanden wäre.

Ich versuche noch herauszufinden wie der AD-Mitarbeiter das Problem "gelöst" hat. und poste es hier.
Bitte warten ..
Mitglied: Lochkartenstanzer
01.07.2011 um 18:47 Uhr

Update:


Die Lösung des AD-Mitarbeiters bestand darin, wie ich ihm als (erste) alternative schon vorgeschlagen hatte. den TP-Link als reinen AP zu betreiben.

Da er glücklich und zufrieden ist, werde ich leider nie erfahren, warum der TP-Link im Gegensatz zu anderen Modellen aus seiner Familie, mit dem Checkpoint Secureclient nicht zusammenarbeiten wollte.
Bitte warten ..
Mitglied: Corner
09.10.2012 um 11:02 Uhr
Hallo,

ich habe das selbe Problem mit TP-Link.

Unzwar kann ich mich im Firmenintranet über WLAN ohne Probleme über Global Remote einwählen. Wenn ich mich von zuhause einwählen will über Global Remote geht es nicht. Er verbindet zwar mit einem Server aber wenn das Zertifikat übrprüft wird, bleibt er stehen (stundenlang ohne Fehlermeldung).

Beim Router habe ich Port 4500 und 500 unter Port Triggering freigeschaltet (beide UDP). Habe ebenfalls zwei Virtuelle Server mit den beiden Protseingerichtet. Firewall auch schonm komplett deaktiviert und es bringt nichts.

Ich lese die ganze Zeit bei TP-Link , dass man angeblich das ESP Protokoll einstellen kann aber ich finde es nicht. Ich kann ledlich zwischen UDP und TCP entscheiden. Ich habe zwei TP-Link Router. Der Hauptrouter ist ein TL-R860 und dann habe ich einen WLAN-Router als Subnetz eingerichtet (TL-WR642G). Beide sollten eigentlich VPN Pass-Through PPTP, L2TP, IPSec (ESP) unterstützen.

Weiß jemand an was das liegen kann? Ich komme nicht mal mit dem Hauptrouter über Kabel raus auch wenn ich Pass through aktiviert habe.

Vielen Dank im Voraus

mfg Corner
Bitte warten ..
Ähnliche Inhalte
Router & Routing
TP-Link TP ER5120
gelöst Frage von Lengen1971Router & Routing5 Kommentare

Hallo, hat jemand Erfahrung mit diesem Multi-WAN Router? Wir haben den gerade installiert um folgende Geräte zu routen: - ...

Router & Routing

VPN mit Checkpoint-Firewall und Checkpoint VPN Client

Frage von mbit-05Router & Routing1 Kommentar

Hallo zusammen, kennt sich jemand mit CheckPoint-Firewalls aus? Ich möchte folgendes Konfigurieren: CheckPoint-Firewall in Zentrale hat ein VPN zu ...

Router & Routing

Ipsec Vpn-verbindung mit Tp-link R600vpn einrichten

Frage von FlorianH8790Router & Routing6 Kommentare

Hallo, ich hätte ein paar fragen bezüglich des Einrichtens einer VPN verbindung mit dem TP-Link R600vpn Router Wenn sich ...

Router & Routing

Problem mit TP-Link WDR7500 Router und DNS

gelöst Frage von schleipaRouter & Routing11 Kommentare

Hallo zusammen, ich habe bei mir folgendes Setting aufgebaut. Ich habe über einen Draytek Vigor 2960 zwei verschiedene Internetzugänge ...

Neue Wissensbeiträge
Sicherheit

MikroTik-Router patchen, Schwachstelle wird ausgenutzt

Information von kgborn vor 8 StundenSicherheit

Am 23. April 2018 wurde von Mikrotik ein Security Advisory herausgegeben, welches auf eine Schwachstelle im RouterOS hinwies. Mikrotik ...

Windows 10

Microcode-Updates KB4090007, KB4091663, KB4091664, KB4091666 für Windows 10

Information von kgborn vor 15 StundenWindows 101 Kommentar

Kurze Information für Administratoren von Windows 10-Systemen, die mit neueren Intel CPUs laufen. Microsoft hat zum 23. April 2018 ...

iOS
Updates für Iphone und Co
Information von sabines vor 18 StundeniOS

Gestern abend ist iOS 11.3.1 erschienen, ein kleineres Update, dass einige Lücken schließt und "Lahmlegen" nach einem Display Tausch ...

Windows 7

Windows 7 - Server 2008 R2: Exploit für Total Meltdown verfügbar

Information von kgborn vor 2 TagenWindows 7

Kleine Information für Administratoren, die für die Updates von Windows 7 SP1 und Windows Server 2008 R2 SP1 verantwortlich ...

Heiß diskutierte Inhalte
Batch & Shell
Powershell: Im AD nach Rechnern mit bestimmten IP-Adressen suchen
gelöst Frage von Raven42Batch & Shell36 Kommentare

Hallo zusammen, ich suche nach einer Möglichkeit nach Computern im AD zu suchen , deren IP-Adresse mit 10.11.12. beginnt. ...

C und C++
Frage1 C Programmierung-Makefile Frage2 PHP-Programmierung HTTP-Fehler 404
Frage von KatalinaC und C++34 Kommentare

Hallo, ich habe 2 Fragen, die nichts miteinander zu tun haben aber mit denen ich mich gerade beschäftige: 1. ...

LAN, WAN, Wireless
Watchguard T15 VPN Einrichtung
gelöst Frage von thomasjayLAN, WAN, Wireless25 Kommentare

Hallo zusammen, wir möchten gerne über unsere Watchguard T15 einen VPN-Tunnel (Mobile VPN with IPSec) einrichten! Als Client nutzen ...

Windows Server
Alten DC entfernen
Frage von smartinoWindows Server24 Kommentare

Hallo zusammen, ich habe hier eine Umgebung übernommen und erstmal einen DCDIAG gemacht. Dabei fällt auf, daß eine ganze ...