Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Zugriff auf VPN Router (Draytek Vigor 2930) durch Fritzbox (7490)

Mitglied: natas78

natas78 (Level 1) - Jetzt verbinden

30.11.2014 um 13:34 Uhr, 5840 Aufrufe, 9 Kommentare

Hallo,

habe folgendes Problem:

Meine bisherige Konfiguration war die folgende:
Im Draytek Router waren die Anmeldeinfos für den Provider eingetragen und dieser hat Internet, VPN SSL und WLAN ermöglicht.

Nun musste ich aber eine Fritzbox vorschalten.
Das heißt meine jetztige Konfiguration sieht so aus zuerst kommt die Fritzbox (Wan: XXX, LAN 192.168.0.253).
Dann kommt der Draytek Router (WAN 192.168.0.254, LAN 192.168.1.254).

Die Verbindung zwischen Fritzbox und Draytek sieht so aus: Fritz LAN-Port 1 -> Draytek WAN-Port 1

Im Draytek sind die Einstellungen folgende:

WAN:
IP-Adress 192.168.0.254
Gateway: 192.168.0.253
DNS: 192.168.0.253

LAN:
IP-Adress: 192.168.1.254
Gateway: 192.168.1.254
DNS: 192.168.1.254

Fritzbox hat folgende Einstellungen:
Statische IP Route:
Netzwerk: 192.168.1.0
Gateway: 192.168.0.254

DHCP (Draytek: 192.168.1.0, Fritzbox: 192.168.0.0) und WLAN ist bei beiden aktiviert.

So nun das, was ich nicht verstehe:
Wenn ich mich per WLAN von dem Draytek Router verbinde und dann eine VPN SSL Verbindung mit der externen WAN-Adresse von der Fritzbox aufbaue funktioniert alles wunderbar.

Wenn ich in das WLAN der Fritzbox bin und von dort aus die Verbindung versuche kommt keine zustande. Genauso verhält es sich mit allen anderen Verbindungen von extern, die eine VPN SSL aufbauen wollen.

Die TCP-Ports 443, 1723 werden von der Fritzbox an den Draytek Router (192.168.0.254) weitergeleitet. Ebenso die Protokolle ESP und GRE.

Beide Router sind von einem Computer über die Adressen 192.168.1.254 (Draytek) und 192.168.0.253 (Fritzbox) erreichbar.
Mitglied: Lochkartenstanzer
30.11.2014 um 13:40 Uhr
Zitat von natas78:

Nun musste ich aber eine Fritzbox vorschalten.

Warum?

So nun das, was ich nicht verstehe:
Wenn ich mich per WLAN von dem Draytek Router verbinde und dann eine VPN SSL Verbindung mit der externen WAN-Adresse von der
Fritzbox aufbaue funktioniert alles wunderbar.

Wenn ich in das WLAN der Fritzbox bin und von dort aus die Verbindung versuche kommt keine zustande. Genauso verhält es sich
mit allen anderen Verbindungen von extern, die eine VPN SSL aufbauen wollen.

Die TCP-Ports 443, 1723 werden von der Fritzbox an den Draytek Router (192.168.0.254) weitergeleitet. Ebenso die Protokolle ESP
und GRE.

Wenn Du von innen Dich auf den externen Port verbindest, kommen manche Router drucheinander. Insbesondere billige Plastikrouter. Wozu soll das überhaupt gut sein? Und warum verbindest Du Dich mit deinem SSl-VPn nicht direkt auf den draytek?

lks
Bitte warten ..
Mitglied: natas78
30.11.2014 um 14:03 Uhr
Ich versuche mich ja mit dem Draytek zu verbinden.

Nur klappt das nicht. Ich habe eine feste IP.
Nun gehe ich über diese IP und lande im WAN-Port der Fritzbox. Von dort soll ich über die Portfreigabe mit den Ports 443, 1723 und den weitergeleiteten Protokollen GRE und ESP auf den Draytek Router, welcher dann als VPN-Server die VPNs aufbauen soll.

Nur klappt das von aussen nicht. Das funktioniert nur, wenn ich im WLAN des Draytek Routers bin.
Bitte warten ..
Mitglied: colinardo
30.11.2014, aktualisiert um 14:45 Uhr
Hallo natas78, Willkommen auf Administrator.de!
Du sprichst hier nur von einem SSL-VPN welches die Clients aufbauen sollen, nicht PPTP oder einem IPSec-Tunnel, sehe ich das richtig ?
Die TCP-Ports 443, 1723 werden von der Fritzbox an den Draytek Router (192.168.0.254) weitergeleitet. Ebenso die Protokolle ESP und GRE.
Wenn ja, dann benötigst du nur eine Weiterleitung von Port 443 auf der Fritzbox für die SSL-VPN Variante von Draytek !
ESP und GRE und Port 1723 haben mit dem SSL-VPN nun überhaupt nichts am Hut und werden nur für IPSec (ESP[50]) bzw. PPTP[1723,GRE] Verbindungen benötigt!!

Wichtig für das SSL-VPN: Das verwendete Server-Zertifikat auf dem Draytek sollte als Common-Name entweder die externe feste IP oder den Domain-Name enthalten unter dem du dich von extern verbindest! Bei selbst signierten Zertifikaten beachte auch folgende Seite:
http://www.draytek.com/index.php?option=com_k2&view=item&id=203 ...

Ob die VPN-Pakete erfolgreich am Draytek ankommen lässt sich schnell mit Wireshark und einem Paket-Mittschnitt auf der Fritzbox klären.

Bitte teile uns doch die Fehlermeldung deines VPN-Clients mit. "Geht nicht" ist keine aussagekräftige Fehlermeldung. Merci.

Grüße Uwe
Bitte warten ..
Mitglied: natas78
30.11.2014 um 14:39 Uhr
Die Ports 1723 und die Protokolle ESP UND GRE hab ich benutzt, um das vor Ort zu überprüfen. D.h. ich versuche übers iPhone eine PPTP-Verbindung vom Mobilnetz aufzubauen. Das klappt auch nur, wenn ich WLAN am iPhone aktiviert habe und dann im WLAN des Drytek Routers bin.
Wäre natürlich schön, wenn VPN SSL und PPTP gehen würde.

Ich werde das mit dem Zertifikat mal ausprobieren und die Pakete mal mitschneiden.

VG

Martin
Bitte warten ..
Mitglied: aqui
30.11.2014 um 18:33 Uhr
Weitere Hilfen für heterogenen IPsec VPN Betrieb findest du auch hier:
https://www.administrator.de/wissen/ipsec-vpn-mit-cisco-mikrotik-pfsense ...
Bitte warten ..
Mitglied: natas78
01.12.2014 um 11:36 Uhr
Also mit dem Smart VPN Client von Drytek bekomme ich eine VPN SSL Verbindung hin. Denke also, dass es nicht an den Routereinstellungen liegt, sondern am Browser.
Eine PPTP Verbindung geht allerdings immernoch nicht, auch nicht mit dem Smart VPN Client.
Brauche ich hierfür in der Fritzbox noch was anderes als die Freigabe von 1723 und GRE?
Bitte warten ..
Mitglied: colinardo
01.12.2014, aktualisiert um 17:18 Uhr
Zitat von natas78:

Also mit dem Smart VPN Client von Drytek bekomme ich eine VPN SSL Verbindung hin. Denke also, dass es nicht an den
Routereinstellungen liegt, sondern am Browser.
Dito, sagte ich ja die Browser sind inzwischen sehr restriktiv bei falschen Zertifikatsinfos, besonders wenn Java im Spiel ist so wie das bei Draytek per Browser der Fall zu sein scheint. Siehe Link oben.
Eine PPTP Verbindung geht allerdings immernoch nicht, auch nicht mit dem Smart VPN Client.
Nochmal: "Geht nicht" ist keine Fehlermeldung !! Bitte sag und doch was der Client für einen Fehler meldet. Und was sagen die Paketmitschnitte ? Kommen die Pakete auf Port 1723 auf dem Draytek an oder nicht ?

Brauche ich hierfür in der Fritzbox noch was anderes als die Freigabe von 1723 und GRE?
Nein, das reicht in dem Fall aus. Trotzdem würde ich nicht mehr auf das unsichere PPTP setzen sondern es gleich via OpenVPN oder L2TP/IPSec einrichten.

Grüße Uwe
Bitte warten ..
Mitglied: natas78
07.12.2014, aktualisiert um 18:40 Uhr
Also eine eine Verbindung mit dem VPN-Router kommt zustande. Es hapert aber an der Authentifizierung.

Hier mal ein Telnet-Mitschnitt der beiden Verbindungsversuche:

Zunächst der Verbindungsversuch, wenn ich mich im WLAN der Fritzbox befinde (= Fehlschlag).

0:11:24.010 PPP Start (VPN-0)
0:11:56.610 PPP Closed : LCP Time-out (VPN-0)

Danach ein Verbindungsversuch im WLAN des Draytek-VPN-Routers (hier funktioniert es)

0:12:36.050 PPP Start (VPN-0)
0:12:38.710 CHAP Login OK (VPN-0, (Benutzername))
0:12:38.730 IPCP Opening (VPN-0, (Benutzername))
Own IP Address : 192.168.1.254 Peer IP Address

Danach habe ich die Verbindung manuell getrennt.

0:12:41.890 PPP Closed : Remote Terminating (VPN-0, (Benutzername))

Ich habe echt keine Ahnung woran es noch liegen könnte. Bei beiden malen gehe ich über die externe Feste-IP.
Bitte warten ..
Mitglied: colinardo
07.12.2014, aktualisiert um 20:08 Uhr
Ich habe echt keine Ahnung woran es noch liegen könnte. Bei beiden malen gehe ich über die externe Feste-IP.
Stichwort Hairpin-NAT, bitte versuche die Verbindung von außerhalb deiner Netzwerk direkt aus dem Internet (z.B . via 3G), dann kannst du ein Hairpin-NAT Problem der Fritzbox ausschließen !! Normalerweise haben die Fritten aber keine Probleme mit Harpin NAT, aber überprüfen kann hier nicht schaden ...
Ansonsten helfen uns hier nur noch harte Fakten wie ein Wireshark-Mittschnitt, denn ein LCP Timeout kann mehrere Ursachen haben!
Bitte warten ..
Ähnliche Inhalte
Router & Routing

FritzBox 7490 und Draytek Vigor 130 - geht das ?

gelöst Frage von hyperpacRouter & Routing1 Kommentar

Moin, da die Fritzbox 7490 ja kein 802.1Q unterstützt möchte ich folgendes tun: - Fritzbox als VDSL2 Modem und ...

Router & Routing

LAN-to-LAN VPN Draytek Vigor 2910 und FritzBox 7490

Frage von bobbele66Router & Routing21 Kommentare

Hallo an die VPN Experten, Szenario: gehosteter Server, hier steht ein konfigurierter (gemieteter) VPN Router Draytek Vigor 2910. Büro, ...

Router & Routing

VPN DrayTek Vigor 2960

Frage von ZappBrannigenRouter & Routing

Hallo, ich bin dabei einen Router einzurichten, es handelt sich um einen DrayTek Vigor 2960. Es funktioniert soweit fast ...

LAN, WAN, Wireless

VPN Edge Router zu Fritzbox 7490

Frage von WebKameraLAN, WAN, Wireless2 Kommentare

Hallo, ich habe einen Edgerouter von Ubiquiti. An dem hängen 4 IPKameras. Ich möchte das mir der Edgerouter ein ...

Neue Wissensbeiträge
Sicherheit
Sicherheitsrisiko: Die Krux mit 7-Zip
Information von kgborn vor 7 StundenSicherheit

Bei vielen Anwendern ist das Tool 7-Zip zum Entpacken von Archivdateien im Einsatz. Die Software ist kostenlos und steht ...

Internet

Datendealing im WWW Tracking Methoden immer brutaler

Information von sabines vor 16 StundenInternet

Interessanter Artikel zum Thema Tracking im WWW und die immer "besseren" Methoden des Trackings. Professor Arvind Narayanan (Princeton-Universität) betreibt ...

Erkennung und -Abwehr

Ups: Einfaches Nullzeichen hebelte den Anti-Malware-Schutzt in Windows 10 aus

Information von kgborn vor 1 TagErkennung und -Abwehr

Windows 10 ist das sicherste Windows aller Zeiten, wie Microsoft betont. Insidern ist aber klar, das es da Lücken, ...

Windows 10

Windows 10 on ARM: von Microsoft entfernte Info - Klartext, was nicht geht

Information von kgborn vor 1 TagWindows 10

Windows 10 on ARM ist ja eine neue Variante, die Microsoft im Verbund mit Geräteherstellern am Markt etablieren will. ...

Heiß diskutierte Inhalte
Server
Route-Befehl Unterstützung (unter CMD)
gelöst Frage von FKRR56Server36 Kommentare

Guten Tag , i.M. habe ich Probleme über den CMD-Route-Befehl ein Routing auf einen entfernten Server zuzulassen. Der Server ...

Windows 10
Windows 10 (1709) Tastur und Maus wieder einschalten?
Frage von LochkartenstanzerWindows 1028 Kommentare

Moin, Ich habe von einem Kunden einen Win10-Rechner bekommen, bei dem weder Tastatur noch Maus geht. Die Hardware funktioniert ...

Microsoft
TV-Tipp: Das Microsoft-Dilemma
Information von kgbornMicrosoft17 Kommentare

Aktuell gibt es in Behörden und in Firmen eine fatale Abhängigkeit von Microsoft und dessen Produkten. Planlos agieren die ...

Webbrowser
Welcher Browser ist der Beste?
Frage von justtinWebbrowser15 Kommentare

Hallo Leute Ich habe eine interessante Frage. Mich wurde mal interessieren welcher Browser ist eure meinung nach der beste? ...