Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

EasyBox 802A mit Fritzbox 7270 und VPN?

Frage Netzwerke Router & Routing

Mitglied: spamme

spamme (Level 1) - Jetzt verbinden

03.04.2011, aktualisiert 18.10.2012, 15282 Aufrufe, 15 Kommentare

Hallo,

ich habe (mangels Sprachkennwort) meine FritzBox 7270 hinter die Easybox gehängt. geht auch alles problemlos...
Jetzt würde ich gerne zur Fritzbox eine VPN Verbindung herstellen. Da hakt es nun.
Auf der Easybox ist die Firewall etc aus, weil in diesem Subnetz (24er Maske) nur die FB hängt.
DynDns ist aif der EB aktiv.

Wieso klappt VPN einfach net?

Mir gehen einfach die Ideen aus.

Danke für eure Tipps.

P.S:
Eigentlich würde mir RDP zu einem PC reichen.
Das ist aber nur die zwichenlösung, welche an einem "ungültigen" Gateway (FB) Zertifikat.....
Mitglied: goscho
03.04.2011, aktualisiert 18.10.2012
Morgen spamme,
ich habe (mangels Sprachkennwort) meine FritzBox 7270 hinter die Easybox gehängt.
Was bedeutet: "Mangels Sprachkennwort"?
Hast du einen Vodafone-DSL-Telefon-Anschluss und keine Zugangsdaten, um die Fritzbox an Stelle der Easybox zu nutzen?

Der einfachste Weg ist das Weglassen der Easybox und alles auf der FBF7270 einzurichten.
Mit welchem Client versuchst du eigentlich von wo aus ein VPN aufzubauen?

Hier ist ein recht gutes VPN-Portal von AVM.

Wenn du die Easybox nicht weglassen kannst, musst du die für dein VPN benötigten Protokolle an die FBF weiterleiten:
UDP 500
ESP
Schau mal hier rein.

Eigentlich würde mir RDP zu einem PC reichen.
Das geht problemlos, wenn das VPN steht.
Glaube mir, du möchtest keine ungesicherten Verbindungen zu deinem Netzwerk erlauben.
Bitte warten ..
Mitglied: aqui
03.04.2011, aktualisiert 18.10.2012
Da Fritz VPN NAT Traversal benutzt macht es ggf. noch Sinn auf der Easybox zusätzlich den Port UDP 4500 an deine FB per Port Forwarding zu übertragen.
Damit sollte dann alles sauber funktioneren.
Technisch das gleiche Szenario wie hier:
http://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ...
beschrieben, allerdings nutzt OpenVPN andere Ports als das von AVM verwendete IPsec VPN Protokoll. Siehe oben wie von Goscho schon richtig angeführt !
Wenn du das beachtest funktioniert das vollkommen problemlos !
Das richtige Koppelszenario zeigt dir dieses Tutorial:
http://www.administrator.de/wissen/kopplung-von-2-routern-am-dsl-port-4 ...

Ganz ungesichert ist RDP Forwarding ohne die FB im Schlepptau allerdings nicht, sondern bedingt sicher, da RDP eine einfache RC4 Verschlüsselung besitzt dessen wirkliche Sicherheit damit aber dann nur von einem starken und sicheren Passwort abhängig ist ! Banalpasswörter lassen sich in Minuten hacken und damit hat man dann vollen Zugriff auf deinen Rechner. IPsec ist in der Beziehung etwas sicherer, schützt aber auch nicht bei Banalpasswörtern !
Allerdings musst du auch dann dafür ein Loch in die Firewall der Easybox bohren für den RDP Port TCP 3389. Wenn du damit leben kannst ist das auch eine Möglichkeit, die allerdings weniger sicher und weniger flexibel ist als ein IPsec VPN !
Bedenke das dein RDP empfangener Rechner dann auch eine Freigabe in der lokalen Firewall haben muss um den RDP Zugriff von nicht lokalen, remoten IP Adressen zu erlauben !
Das stellst du in den erweiterten Eigenschften der Firewall unter Remote Desktop --> Port --> Bereich ändern --> Alle Computer inkl. Internet ein.
Sinn macht es zusätzlich auch den Rechner dann mit einer statischen IP zu betreiben die außerhalb des DHCP Bereichs der Easybox liegt. Ansonsten kann es sein das der statische Port Weiterleitungs Eintrag auf der Easybox auf einen dedizierte lokale IP ins Leere geht, sollte der PC im lokalen LAN durch die Dynamik von DHCP einmal seine IP Adresse verändert haben.
Ggf. kann man die Mac Adresse an eine feste DHCP IP binden sofern die Easybox so etwas supportet. Da hilft dir dann ein Blick ins Handbuch...wie immer !
Bitte warten ..
Mitglied: spamme
03.04.2011 um 20:17 Uhr
Hi,

tausend Dank die portfreigabe wars.
bin davon ausgeangen, dass es agal ist wenn die FW auf der EB aus sit UND der dyndns muss auch auf der FB eingerichtet sein (falsche zugangsdaten da er sonst ja nur die inter IP rausgibt..)
Naja jetzt geht es ja

Danke.
Bitte warten ..
Mitglied: Pjordorf
04.04.2011 um 00:55 Uhr
Hallo,

Zitat von spamme:
bin davon ausgeangen, dass es agal ist wenn die FW auf der EB aus sit
Naja nicht ganz. Firewall <> NAT. NAT wird aber oft als Firewallfunktion bezeichnet / verwendet. Und das dein Vodaphone Teil immer noch NAT macht, hätte dir bei deiner IP an der FB sowie deiner Öffentliche IP auffallen müssen da die bestimmt nicht im gleichen Netz sind.

Naja jetzt geht es ja
Klasse.

Gruß,
Peter
Bitte warten ..
Mitglied: aqui
04.04.2011 um 08:52 Uhr
@spamme
Bitte dann auch
http://www.administrator.de/index.php?faq=32
nicht vergessen !!
Bitte warten ..
Mitglied: KarstenH
06.02.2012 um 15:24 Uhr
Hallo,

ich habe ähnliches Szenario, jedoch mit der Easybox 803 (LTE). Ich habe die Ports für IPsec UDP 500 und 4500 an die FritzBox weitergeleitet, aber bei mir sagt der Fritz Fernzugang Client log das "die Gegenstelle nicht erreichbar ist". DynDNS läuft aber problemlos.
Ich habe mich durch diverse Foren gearbeitet und auch gefunden das die FritzBox als NAT-Router verwendet werden muß, was aber nirgends richtig bestätigt wurde. Auch das habe ich getestet. Also Fritzbox und Easybox in einem eigenen Netz mit jeweils fix IP´s und wieder die Ports an die Fritzbox weitergeleitet, auch das war vergebens.
Weiterhin habe ich mal einen DMZ Port für die FritzBox eingerichtet und das NAT über die Fritzbox gemacht, das VPN hat da aber auch nicht funktioniert. Es antwortet weiterhin laut Fritz Client "die Gegenstelle" nicht. Ich habe immer von externen Netzen (UMTS) von außen getestet und es hat mit DSL sauber funktioniert, weiterhin auch vom iPhone. Jetzt wo die Easybox 803 von mir wegen LTE eingesetzt werden muß, kriege ich das VPN nicht mehr hin.

Hat jemand noch eine Idee ?

Gruß
Karsten
Bitte warten ..
Mitglied: aqui
06.02.2012, aktualisiert 18.10.2012
.. ."Ich habe die Ports für IPsec UDP 500 und 4500 an die FritzBox weitergeleitet,"...
Das ist ja auch nur die halbe Miete. Die Pruduktivdaten werden in einem ESP Tunnel übertragen bei IPsec !
Logischerweise musst du also auch noch das ESP Protokoll mit einem Port Forwarding Eintrag weiterleiten !! (Analog wie das GRE Protokoll Nr. 47 bei PPTP basierten VPNs wie du hier als Beispiel sehen kannst !)
ESP ist ein eigenständiges IP Protokoll mit der Protokoll Nummer 50 (nicht TCP oder UDP 50 !).
Ohne das funktioniert schonmal gar nix mit dem IPsec VPN. Vielleicht solltest du dir nochmal die Feinheiten des IPsec Protokolls anlesen:
http://www.administrator.de/wissen/ipsec-protokoll-einsatz%2c-aufbau%2c ...
Kein großes Wunder also das deine Gegenstelle nicht antwortet wenn du das nicht gemacht hast und ESP nicht durchkommt !
Bitte warten ..
Mitglied: KarstenH
06.02.2012 um 15:45 Uhr
Hi,

wenn ich das hier aus deinem Link lese:

ESP hat jedoch den Nachteil, dass es bei Netzwerken, die PAT Router (Port Address Translation) benutzen (wie gängige Heim-Router), Einschränkungen unterliegt. Im Grunde kann nur EIN PC im Heimnetz einen VPN Tunnel in die Firma aufbauen - würde es gleichzeitig ein zweiter versuchen, würde dies prinzipbedingt scheitern, da ESP keine Ports benutzt, die man "patten" könnte.

Aus diesem Grunde wurde NAT-Traversal erfunden.
Dabei wird ESP in UDP gekapselt, und auf UDP Port 4500 über den NAT-Router (der aber in Wahrheit allermeist ein PAT-Router ist) gesendet.

... dann stelle ich fest das ESP ohne Port ist und ich doch Nat-T verwende, was auch in den config files .cfg die mit der Fernzugangs Software erstellt werden mit "nat_t=yes" zu lesen ist. Dann wäre das ja Port 4500 den ich bereits weitergeleitet habe ...

Du schreibst das ich das ESP Protokoll mit einem Port Forwarding Eintrag weiterleiten soll ... wie soll das dann bei einem portlosen Protokoll gehen ?

Wenn gekapselt in TCP dann Port 10000 ?
Bitte warten ..
Mitglied: aqui
06.02.2012 um 15:49 Uhr
Ja ja ist nur die Frage ob du NAT Traversal machst bzw. das in deiner Konfig aktiviert ist.
Ansonsten nimme einen Wireshark Sniffer und sieh dir das genau an. Da kannst du dann wenigstens 100% sicher sein wo diese Pakete abbleiben.
Generell ist dieser "Easybox" Schrott allerbilligste HW die so gut wie nix kann. Man sollte also davon rein gar nichts erwarten, denn für VPN Support wollen solche Provider meistens teure Business Pakete verkaufen... Es mag also durchaus gewollt sein das es nicht geht.
Bitte warten ..
Mitglied: KarstenH
06.02.2012 um 15:54 Uhr
Wie du auch am 3.4. geschrieben hast, nutzt die FritzVPN Lösung NAT-T und wie geschrieben ist NAT-T auch in den cfg Files aktiviert !?
Also muß ich wohl davon ausgehen das NAT-T aktiv ist ...
Bitte warten ..
Mitglied: aqui
06.02.2012 um 15:56 Uhr
Wie gesagt nachmessen mit dem Wireshark...dann musst du nicht nur davon ausgehen sondern weisst es ganz genau.
Die Frage ist warum du überhaupt diese sinnlose Router Kaskadierung machst und die FB nicht direkt an den Splitter hängst. Damit hättest du die Probleme gar nicht erst !
Bitte warten ..
Mitglied: KarstenH
06.02.2012 um 15:59 Uhr
Zitat von aqui:
Wie gesagt nachmessen mit dem Wireshark...dann musst du nicht nur davon ausgehen sondern weisst es ganz genau.
Die Frage ist warum du überhaupt diese sinnlose Router Kaskadierung machst und die FB nicht direkt an den Splitter
hängst. Damit hättest du die Probleme gar nicht erst !



Jo, das würde ich wohl gerne. Das Stichwort ist LTE ...

Sehe derzeit nicht ein gut 300 € für eine LTE Fritzbox auszugeben
Bitte warten ..
Mitglied: KarstenH
14.02.2012 um 19:50 Uhr
Hi,

habe es hinbekommen. Grundsätzlich falsch gemacht habe ich nichts, es lag ganz einfach an einem Bug in der neuen AVM Fritz Fernzugangs Client Software 64 Bit. Da scheint ein Bug im IKE Dienst gewesen zu sein. zufällig herausbekommen weil ein Kollege das gleiche Problem hatte wie ich, obwohl er die FritzBox nativ einsetzt und es vorher immer geklappt hat.
Also: IPsec Ports UDP 500 und 4500 an die FB weiterleiten, wichtig ist nur das sich die FritzBox im NAT Modus mit IP befindet und beide Router ein anderes Netz haben als das LAN mit den Clients.

Funktioniert nun bei mir einwandfrei vom Laptop und dem iPhone

Gruß
Karsten
Bitte warten ..
Mitglied: Brilonese
26.12.2012 um 17:18 Uhr
Hallo, ich habe gerade ein ähnliches Problem:

FritzBox hängt hinter einer Easybox 803. Die Easybox (Schrott von Vodafone) läßt sich nicht entfernen, da sie lediglich dafür da ist, bei der Anmeldung die PIN an das LTE-Modem weiterzugeben.
Nun soll VPN auf der nachgeschalteten FritzBox (habe da mittlerweile folgende ausprobiert: 7170, 7240, 7270) realisiert werden.
- Internet über LAN 1
- NAT-Router mit IP
- Zugangsdaten werden nicht benötigt
- DynDns über goip.de
Alles läuft soweit. Sobald ich meine VPN-Datei übertrage (UDP-Ports 500 und 4500) übertrage, läuft nichts mehr:

/*
    • C:\Users\Brilonese\AppData\Roaming\AVM\FRITZ!Fernzugang\dyndns-server_com\fritzbox_dyndns-server_com.cfg
    • Wed Aug 17 10:55:28 2011
*/

vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "xxx.goip.de";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "xxx.goip.de";
localid {
fqdn = "yyy.goip.de";
}
remoteid {
fqdn = "xxx.goip.de";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "123";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.100.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.200.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.200.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

Welche Ports müssen wie freigegeben werden? Verstehe auch nicht den letzten Beitrag:

Beide Router haben ein anderes Netz: 192.168.100.1 (FB) und 192.168.178.1 (Schrottbox von Vodafone)
Welches LAN mit Clients ist gemeint. Ich habe doch nur zwei Netze mit zwei Routern?
Wie stelle ich sicher, dass sich die FritzBox im NAT Modus befindet? Ohne NAT würde das doch sowieso nicht funzen, oder? Habe doch eingangs bereits NAT ausgewählt.

Vielleicht kann mir jemand helfen?
Bitte warten ..
Mitglied: aqui
27.12.2012 um 11:31 Uhr
Die FB mach wie jeder weiss IPsec ! Damit sind es die allseits bekannten Ports UDP 500, UDP 4500 und das ESP Protokollt (IP protokollnummer 51, Achtung: NICHT UDP/TCP Port ! ESP ist ein eigenes IP Protokoll !)
Lies dir dazu bitte die Spezifikationen durch:
http://www.administrator.de/wissen/ipsec-protokoll-einsatz-aufbau-ben&o ...
Ein weiteres beispiel findest du hier:
http://www.administrator.de/wissen/ipsec-vpn-auf-m0n0wall-oder-pfsense- ...
Die Fritz ist immer im NAT Modus. Das ist nicht abschaltbar sofern man keine alternative Firmware wie z.B. "Freetz" benutzt. Die Frage ist also überflüssig, ebenso sie technischen Schlussfolgerungen was NAT ist.
Lies dir dazu bitte auch das WIE durch !!
http://de.wikipedia.org/wiki/Network_Address_Translation
Wie imemr vermutlich hast du in der FB Konfig einen Fehler...
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(2)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Server
gelöst Windows Server 2012 mit Fritzbox per VPN verbinden (13)

Frage von StefanT81 zum Thema Windows Server ...

Netzwerkmanagement
Heimnetzwerk über Fritzbox per VPN mit vServer verbinden (6)

Frage von StefanT81 zum Thema Netzwerkmanagement ...

Router & Routing
gelöst Fritzbox 7490 VPN IP Range anpassen (4)

Frage von hannsgmaulwurf zum Thema Router & Routing ...

Router & Routing
FritzBox 7490 VPN Problem ab FritzOS 6.5 (6)

Frage von 1x1speed zum Thema Router & Routing ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...