Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Bintec-Ipsec Client hinter AVM 7150

Frage Netzwerke

Mitglied: goaknecht

goaknecht (Level 1) - Jetzt verbinden

21.03.2008, aktualisiert 18.10.2012, 11176 Aufrufe, 19 Kommentare

Hallo auch !

habe hier ein Problem mit einer IPSEC-Client Verbindung.

Mitarbeiter soll sich von zu Hause in das Firmennetzwerk einwählen. ( Bintec X1200)

Bei allen anderen Mitarbeiter funktioniert alles einwandfrei. (IP-Sec-Client zu Bintec X1200)

Bei diesem Mitarbeiter sitzt allerdings eine AVM FritzBox zwischen dem Bintec-IPsec-Client und dem Bintec X1200.

Verbindung wird sauber aufgebaut. Verbindung wir auch als Status up im Bintec Router angezeigt allerdings ist kein Ping ins Firmennetz möglich.

Habe schon UDP Port 500 und auch UDP 4500 geöffnet. Leider immer nur Verbindung aber kein Ping.

Da das mit den Ports auch schon nicht geklappt hat habe ich einfach mal kurzfristig die komplette AVM Firewall abgeschaltet aber leider wieder nur bestehende Verbindung aber kein Ping.

Da ich mal was über ESP gelesen habe, habe ich ESP im AVM auch geöffnet ... leider wieder ohne Erfolg.

Wählt sich der Mitarbeiter über z.B. UMTS von außerhalb ein ist alles ok. Also kann es ja eigentlich nicht an den Bintec X1200 Einstellungen liegen oder ?

Wäre klasse, wenn da vielleicht irgendjemand mal einen Tip für mich hätte.

Danke ....

4e1e1caaa3f54caecdd0cafc99966bb1-logbuch - Klicke auf das Bild, um es zu vergrößern
Mitglied: aqui
21.03.2008 um 11:43 Uhr
Für VPNs die IPsec im ESP Modus mit NAT Traversal benutzen musst du in der Port Weiterleitungsliste folgende Ports freigehen:

ESP mit der IP Protokollnummer 50 (Achtung nicht TCP oder UDP 50)
IKE mit UDP Port 500
NAT Traversal mit UDP Port 4500

auf die lokale IP des Clients. Der Client sollte tunlichst KEIN DHCP nutzen (oder im DHCP Server die MAC Adresse an eine feste IP binden), denn sollte sich seine IP Adresse aufgrund der Dynamik von DHCP einmal ändern greift die PFW Liste von oben nicht mehr.

Der Router MUSS VPN Passthrough supporten, sonst funktioniert es nicht !
Bitte warten ..
Mitglied: goaknecht
21.03.2008 um 11:57 Uhr
Danke erst einmal für die schnelle Antwort.

Der IP-sec Client von Bintec bringt eine virtuelle Netzwerkkarte mit.
Bei der Verbindung über den Cleint wird diese dann genutzt.

Die IP-Adresse der virtuellen Karte gebe ich im IP-Sec-Client vor.

Muss ich die Port-Freigaben auf meine Lokale Netzwerkkarte oder auf die Virtuelle Netzwerkkarte binden ? DHCP ist natürlich aus.

Lokale Adresse 192.168.2.89
Virtuelle Adresse bei Verbindung : 192.168.3.200
Bitte warten ..
Mitglied: aqui
21.03.2008 um 12:18 Uhr
Der IP-sec Client von Bintec bringt eine virtuelle Netzwerkkarte mit. Bei der Verbindung über den Cleint wird diese dann genutzt....

Das ist gängige Praxis JEDER Art von VPN Clients !! Wie sollte es denn auch anders funktionieren ?!

Du musst das Port Forwarding auf die lokale LAN Schnittstelle des Rechners einstellen ! Also auf die IP Adresse indem sich auch der Router LAN Port befindet. (Deshalb auch die Anmerkung statt DHCP statische IPs zu verwenden ! Eine virtuelle VPN Schnittstelle bekommt ja niemals vom DHCP Server des Routers eine IP das wäre Quatsch !)

Auf die virtuelle IP Adresse wäre ja vollkommener Unsinn, denn die befindet sich ja in einem ganz anderen IP Netz (Nämlich dem VPN Netz) das der Router nicht kennt. Da wäre dann die Port Weiterleitung so oder so auch völlig ohne Wirkung !
Bitte warten ..
Mitglied: goaknecht
21.03.2008 um 12:41 Uhr
Da bin ich wieder !

Das habe ich mir schon fast gedacht. Wollte es nur ausschließen.

Hier mal der Auszug aus der Fritzbox.

ICSEC-UDP UDP 500 192.168.2.89 500
IPSEC-Client-ESP ESP 192.168.2.89
Bintec UDP 4500 192.168.2.89 4500


Die Lokale Adresse des Client ist 192.168.2.89

geht aber trotzdem nicht. Verbindung wird aufgebaut aber kein Ping möglich.

Was kann es jetzt noch sein ?
Bitte warten ..
Mitglied: goaknecht
21.03.2008 um 13:21 Uhr
Keiner mehr einen Tip für mich ?

Also kurz nochmal:

Verbindung steht.
Lokale Ip-Adresse: 192.168.2.89
Virtuelle IP bei Verbindung : 192.168.3.200

Portforwarding in AVM Box:

udp 500--192.168.2.89-- auf 500
udp 4500--192.168.2.89--auf 4500
esp auf 192.168.89

Selbst mir komplett ausgeschalteter Firewall der AVM Box kein Ping möglich !

Hilfe Hilfe ... wer weiß was ?

Danke ...
Bitte warten ..
Mitglied: DocAndy
21.03.2008 um 13:22 Uhr
Hallo, mal ne ganz blöde Frage/Lösungsansatz:
Auf dem Client-PC befindet sich nicht zufällig eine Firewall(z.b. Norton Internetsecurity), die den Datenverkehr in ein anderes Netz unterbindet/blokiert?
Ich habe mit dieser Art Software immer wieder mal schwierigkeiten, da die Kunden vergessen das andere Netz als "vertrauenswürdig" zu deklarieren.

Mit freundlichen Grüßen Doc Andy

Nachtrag:
Also ich selber greife auf meine Firma mit derselben Software hinter einer AVM Fritzbox 7050 ohne Probleme zu.
Bitte warten ..
Mitglied: DocAndy
21.03.2008 um 13:30 Uhr
Noch ne kleine Anmerkung:

Den Eintrag in der Profilkonfiguration des IPSEC-Clients bzgl. VPN-IP-Netze hast Du hoffentlich gesetzt?!
Mit dem Eintrag(hier muss der Netzwerkbereich des Firmennetzes eingetragen werden) wird definiert, welche Pakete den Tunnel benutzen.
Bitte warten ..
Mitglied: goaknecht
21.03.2008 um 13:30 Uhr
Hallo !

Nein keinerlei Firewall außer der internen der Fritzbox.
Als Virenscanner läuft Bitdefender ohne Firewall.
Microsoft Firewall ist aus.
Bitte warten ..
Mitglied: DocAndy
21.03.2008 um 13:34 Uhr
Hast Du die Windows Firewall komplett deaktiviert?
-Reg-Karte Allgemein auf deaktiviert
-Reg-Ausnahmen alle Haken setzen
-Reg-Karte Erweitert alle Haken bei den Verbindungen entfernen

Erst wenn Du die Win-Firewall so konfigurierst, ist Sie auch tatsächlich aus. Ansonsten greifen die Richtlinien/Einschränkungen weiterhin.
Bitte warten ..
Mitglied: goaknecht
21.03.2008 um 13:35 Uhr
Der Eintrag in das Zeilnetz ist auch gesetzt.
Daran liegt es auch nicht.
Bitte warten ..
Mitglied: goaknecht
21.03.2008 um 14:06 Uhr
Erst einmal danke für die vielen Antworten.

Habe mal den IPSec-Client auf einem anderem Rechner im Netz hinter der Fritz-Box installiert und siehe da alles funktioniert tadelos.

Handelt sich jetzt um einen W2K.

Der andere PC wo es nicht funktioniert ist ein XP-Prof. Muss dann wohl doch irgendwo an der Maschine selbst liegen.

Danke.
Bitte warten ..
Mitglied: 51705
21.03.2008 um 22:41 Uhr
Für VPNs die IPsec im ESP Modus mit NAT
Traversal benutzen musst du in der Port
Weiterleitungsliste folgende Ports
freigehen:

ESP mit der IP Protokollnummer 50 (Achtung
nicht TCP oder UDP 50)
IKE mit UDP Port 500
NAT Traversal mit UDP Port 4500

Öhm, NAT-T ist gerade für Systeme gedacht, welche eben kein Passthrough bieten. Speziell mit dem Funkwerk IPSec Client habe ich viele Installationen (sogar 2 Vistas), wo das ohne zusätzliches Portforwarding funktioniert (spätestens in den Mobilfunknetzen wirst du das auch kaum konfigurieren können ).

Ostergrüße,
Steffen
Bitte warten ..
Mitglied: aqui
22.03.2008 um 12:09 Uhr
Die Firewall der AVM Box hat doch keinerlei Einfluss, das ist doch Unsinn !! Durch die AVM Box läuft doch nur der VPN Tunnel, das ist alles was die sieht. Die Wirkdaten im Tunnel selber kann die AVM Box dann logischerweise ja gar nicht sehen !!!
Da du ja schreibst die VPN Verbindung wird aufgebaut hat die AVM Box damit auch nichts mehr zu tun, denn sonst wäre der Tunnel ja erst gar nicht aufgebaut worden !!!

Kannst du den Tunnelendpunkt also den Bintec Router pingen ??? Nur mal so als Frage ob der Tunnel WIRKLICH aufgebaut ist. Denn das muss immer klappen !! (Vorausgesetzt der Bintec lässt sich pingen !)
Bitte warten ..
Mitglied: aqui
22.03.2008 um 12:15 Uhr
Stimmt da hast du Recht. Wie immer ist es nun aber ein Winblows Problem (..und damit vermutlich zu 99% wieder ein Firewall Problem !) wie goaknecht ja nun rausbekommen hat.

Dann kann man ja eigentlich den Thread auf
http://www.administrator.de/index.php?faq=32
setzen ?!
Bitte warten ..
Mitglied: baumschule
02.02.2011 um 12:23 Uhr
Hallo,

ich stehe momentan vor dem selben Problem.
IPSEC Verbindung zwischen einem R1200 und dem Secure IPSec Client funktioniert; jedoch wird kein Host im Zielnetz erreicht, wenn der Client die Internet-Verbindung über einen Router (FritzBox) nutzt.

Wenn man sich am Client-PC (der selbe!) direkt mit PPPOE verbindet, funktioniert alles problemlos.

Windows Firewall ist ausgeschaltet.

Ich habe auch schon versucht die Firewall der FritzBox auszuschalten, indem ich den jeweiligen Client-PC als "Exposed Host" eingetragen habe. Alles jedoch ohne Verbesserung.

Hat mittlerweile jemand eine brauchbare Lösung hierfür?
Bitte warten ..
Mitglied: aqui
03.02.2011 um 00:03 Uhr
Das ist de facto eine Fehlkonfiguration deinerseits !!
IPsec Verbindungen über die FB funktionieren fehlerlos wenn diese eine statische Port Weiterleitung der IPsec Ports:
UDP 500
UDP 4500
ESP Protokoll mit der IP Protokoll Nummer 50 (nicht UDP oder TCP 50 !!)
auf den Client eingestellt hat.
Logisch das durch diese statische Port Weiterleitung der Client auch eine feste statische IP haben muss ! Mindestens aber eine IP die auf Baisis seiner Mac Adresse immer dieselbe ist wie im Port Forwarding definiert.
Du musst auch sicherstellen, das die FB keine Fernwartung aktiviert hat, denn sonst blockt sie selber IPsec, da ihre Fernwartungs VPN Funktion auf IPsec basiert !
Wenn du das alles beachtest funktioniert das absolut Problemlos !!
Im Zweifel einen alternativen Client austesten wie den freien Shrew VPN Client !
Bitte warten ..
Mitglied: baumschule
03.02.2011 um 07:45 Uhr
So, ich habe jetzt die 3 Portweiterleitungen eingerichtet, und siehe da:

->keine Verbesserung!

Natürlich hat der Client ein feste IP, und die FritzBox eigene Ferwartung ist auch deaktiviert.

Dass das mit der Portweiterleitung nix bringt war quasi vorher schon klar, denn ich habe das ja bereits per Exposed Host versucht, so dass jeglicher eingehender Verkehr auf den Client geht.

Es muss ja definitiv mit der FritzBox zu tun haben, aber es kann (selbst wenn das jetzt funktionieren würde) ja nicht sein, dass man bei jedem Router, eines möglichen Mitarbeiters solche Einstellungen vornehmen muss... Oder wie sollen dann Zugänge von öffentlichen Orten aus möglich sein?? z.B. Flughafen, Internet-Cafe, Hotspot, UMTS, u.s.w.
Bitte warten ..
Mitglied: aqui
03.02.2011, aktualisiert 18.10.2012
Ja, damit hast du vermutlich Recht. Wenn es bei allen anderen klappt und nur bei diesem einen Client nicht liegt der Fehler zu 99% dort !
Nun musst du etwas schwerere Geschütze rausholen !
Es gibt mehrere Ursachen:
  • Client Rechner filtert IPsec durch lokale FW
  • FB filtert mehr oder weniger diese Pakete
  • Lokaler Provider filtert IPces Verbindungen

Dafür musst du nun erstmal checken ob überhaupt IPsec Verbindungsanforderungen beim Bintec ankommen.
Dazu nimmst du einen Wireshark Sniffer oder MS Netmonitor auf dem Clientrechner installieren und checken ob hier sauber die IPsec Pakete rausgehen. Um ganz sicher zu gehen das sie nicht in einer lokalen FW des Clientrechners hängenbleiben am besten mit einem externen Wireshark im LAN checken ob diese Pakete rausgehen Richtung FB.
Das gleiche machst du analog auf der Bintec Seite und checkst ob dort eingehende IPsec Anforderungen genau von diesem Client kommen.
Da der Bintec ein guter Router ist führt der auch ein Syslog. Statt Paket Sniffer kannst du also auch hier im Log genau nachsehen ob dort Pakete von diesem Client eingehen.
Analog siehst du natürlich auch mit dem Wireshark ob der Bintec auf Clientseite auf IPsec Requestes an den Bintec antwortet, denn du siehst ja dann dort auch die Antwortpakete vom Bintec !
Es ist nicht ganz klar was und woher der o.a. Logbuch Auszug kommt. Wenn das aber die Client ist dann sieht das ganz gut aus, denn dort sind keine Fehler zu sehen.
Dumm ist natürlich mal wieder das für die VPN wieder eins der 192.168er Banalnetze verwendet wurde ! Du musst also auch zwingend darauf achten das es nicht zu einer Überschneidung kommt sollte der Client ebenfalls dieses Netz nutzen. Es gilt immer das hier zum VPN Design:
http://www.administrator.de/wissen/vpns-einrichten-mit-pptp-117700.html ...
Ist das der Fall ist dann klar das nix klappt !
Das musst du also prüfen, damit du genau sehen kannst WO diese IPsec Pakete hängenbleiben. Genau an dem Punkt setzt du dann an.
Wenns ganz böse kommt filtert der Provider IPsec Verbindungen da er diese nur Business Kunden verkaufen will. Dann hast du allerdings ein generelles Problem was du erstmal so nicht lösen kannst. Ggf. also vorher mal die Hotline des Providers anrufen bevor du dir einen Wolf suchst !
Bitte warten ..
Mitglied: baumschule
03.02.2011 um 10:41 Uhr
Also, noch mal zur Klarstellung:

Die Verbindung via IPSec klappt immer! Was nicht klappt, ist, dass mann das Ziel Netz auch erreicht...

Zielnetz und lokales Netz liegen natürlich in völlig getrennten Subnetzen; diese Vorraussetzung ist für mich selbsverständlich...

Es klappt bei keinem Client, der hinter einer FritzBox ist. Wir haben hier mehrere Geräte getestet...
Es klappt allerdings bei jedem Client, wenn diese sich direkt mit dem Internet verbinden (ohne Router direkt ans DSL-Modem und über PPPOE).

Damit können wir also ein Clientseitige Firewall ausschließen (die momentan sowieso aus sind).
Ebenfalls ausschließen können wir, dass der Provider die IPSec Verbindungen filtert. (denn dann würde die Variante über PPPOE ja auch nicht funktionieren)

Also ist es definitiv die FritzBox....

Was kann man hier noch machen? Firewall wurde schon ausgeschaltet, indem wir einen "Exposed Host" (auf den jeweiligen Client-PC) angelegt haben; Portweiterleitungen wurden angelegt, und Fritz Fernzugang (VPN) ist auch nicht eingerichtet...

Filtert die FritzBox evt. alles was mit IPSec zu tun hat, weil sie denkt, dass sie die VPN Gegenstelle ist, obwohl der VPN Zugang nicht eingerichtet ist....
Ich kann mir das nicht erklären....

Fakt ist ja auch, dass die meisten deutschen Haushalte eben über eine FritzBox verfügen, und von all denen aus dann keine funktionierende VPN Verbindung aufgebaut werden könnte...
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Windows 7
Wsus client findet am wsus server nicht alle updates (1)

Frage von endurance zum Thema Windows 7 ...

LAN, WAN, Wireless
Client Mode oder Bridge Mode bei Anbindung an einen AP per W Lan (3)

Frage von xpstress zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
gelöst TP-Link WA501G als Client einrichten - Keine IP Adresse wir bezogen (14)

Frage von bestelitt zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (9)

Frage von JayyyH zum Thema Switche und Hubs ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...

Backup
Clients als Server missbrauchen? (9)

Frage von 1410640014 zum Thema Backup ...