6
IPsec Zugang mit bintec R1202 - Kein Internet am Client nach Einwahl
Hallo,
wir haben im Geschäft einen bintec R1202. Auf dem Router sind zwei VPN-Zugänge eingerichtet - jeweils ein PPTP- und ein IPSec-Zugang (beides vorerst zum Testen). Ich muss vorweg sagen, dass ich mich mit dem Router noch nicht bis ins Detail auskenne, da er sehr viele Möglichkeiten bietet.
Nun ist es so, dass mit beiden Protokollen erfolgreich ein Tunnel aufgebaut werden kann (egal ob mit Windows oder Apple Endgeräten). Allerdings haben wir das Problem, dass wir nach den Einwahl über den IPSec Tunnel kein Internetzugang mehr am Client haben. Bei PPTP gibt es hingegen keinerlei Probleme.
Der Router verwendet die neueste Firmware Version.
Das sind die NAT-Schnittstellen:
Folgende Ports habe ich unter "Netzwerk -> NAT -> NAT-Konfiguration" für die Weiterleitung konfiguriert:
Diese Regeln gelten für alle Ports am bintec, nicht nur für den WAN-Port.
Habt ihr vielleicht eine Idee, warum wir keinen Internetzugang nach der Einwahl mit IPSec, jedoch mit PPTP bekommen? Wenn ihr noch mehr Informationen braucht, bitte bescheid sagen.
EDIT: Hier ein Screenshot von der Seite, wenn man eine neue Route erstellen möchte (Menü: "Netzwerk -> Routen"):
Viele Grüße
wir haben im Geschäft einen bintec R1202. Auf dem Router sind zwei VPN-Zugänge eingerichtet - jeweils ein PPTP- und ein IPSec-Zugang (beides vorerst zum Testen). Ich muss vorweg sagen, dass ich mich mit dem Router noch nicht bis ins Detail auskenne, da er sehr viele Möglichkeiten bietet.
Nun ist es so, dass mit beiden Protokollen erfolgreich ein Tunnel aufgebaut werden kann (egal ob mit Windows oder Apple Endgeräten). Allerdings haben wir das Problem, dass wir nach den Einwahl über den IPSec Tunnel kein Internetzugang mehr am Client haben. Bei PPTP gibt es hingegen keinerlei Probleme.
Der Router verwendet die neueste Firmware Version.
Das sind die NAT-Schnittstellen:
Folgende Ports habe ich unter "Netzwerk -> NAT -> NAT-Konfiguration" für die Weiterleitung konfiguriert:
Diese Regeln gelten für alle Ports am bintec, nicht nur für den WAN-Port.
Habt ihr vielleicht eine Idee, warum wir keinen Internetzugang nach der Einwahl mit IPSec, jedoch mit PPTP bekommen? Wenn ihr noch mehr Informationen braucht, bitte bescheid sagen.
EDIT: Hier ein Screenshot von der Seite, wenn man eine neue Route erstellen möchte (Menü: "Netzwerk -> Routen"):
Viele Grüße
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 206331
Url: https://administrator.de/contentid/206331
Printed on: April 23, 2024 at 13:04 o'clock
6 Comments
Latest comment
Hallo,
Ich nehme prinzipiell mal an, dass du die Route ins Internet durch die VPN legst. Da aber keine Rückroute aus dem Internet zu dir gelegt wurde wird es gekappt. Ähnlich wie eine Client to Lan VPN, bei der dein kompletter Traffic durchs VPN getunnelt werden soll. Schau mal, wie man das in der r1012 konfiguriert.
Das "schöne" an Funkwerk ist ja, dass man, selbst wenn man sich mit den UTMs gut auskannte mit den Routern
und den r10x fast direkt wieder von vorne anfangen musste.
Gruß
Ich nehme prinzipiell mal an, dass du die Route ins Internet durch die VPN legst. Da aber keine Rückroute aus dem Internet zu dir gelegt wurde wird es gekappt. Ähnlich wie eine Client to Lan VPN, bei der dein kompletter Traffic durchs VPN getunnelt werden soll. Schau mal, wie man das in der r1012 konfiguriert.
Das "schöne" an Funkwerk ist ja, dass man, selbst wenn man sich mit den UTMs gut auskannte mit den Routern
und den r10x fast direkt wieder von vorne anfangen musste.
Gruß
Hallo,
danke für die Antwort. Ich arbeite mich momentan erst noch in das Thema Routing & Co. ein und bin daher noch nicht sehr erfahren.
Ich habe in meinem ersten Post ein Bild vom Routing Menü hinzugefügt. Vielleicht kannst du mir ja einen Tipp geben, was ich eintragen müsste.
danke für die Antwort. Ich arbeite mich momentan erst noch in das Thema Routing & Co. ein und bin daher noch nicht sehr erfahren.
Ich habe in meinem ersten Post ein Bild vom Routing Menü hinzugefügt. Vielleicht kannst du mir ja einen Tipp geben, was ich eintragen müsste.
Ich würde mir die o.g Bilder nochmals anschauen, so wie das für mich ausschaut laitest du einfach alles irgendwie durch den Tunnel. ;) Konfigurier das mal auf eure Netze entsprechend
Hallo,
ich kann wes zwar nicht so gut erklären oder in Worte kleiden wie andere, aber ich versuche es mal und
hoffe dass Du es trotzdem verstehst!
- Bei dem verwenden von IPSec ist irgend wo in Deiner Konfiguration hinterlegt oder eingestellt
das der "gesamte" Netzwerkverkehr durch den Tunnel geleitet wird und wenn die Verbindung "steht"
oder zu Stande gekommen ist dann versucht natürlich Dein PC die Webseiten nur in dem Netzwerk zu öffnen
mit dem der VPN Tunnel besteht, aber die sind eben nur im Internet verfügbar und nicht dort!
- Bei Deinen PPTP Einstellungen wird das nicht der Fall sein und Du kannst ganz normal auch Webseiten
im Internet öffnen.
Gruß
Dobby
ich kann wes zwar nicht so gut erklären oder in Worte kleiden wie andere, aber ich versuche es mal und
hoffe dass Du es trotzdem verstehst!
- Bei dem verwenden von IPSec ist irgend wo in Deiner Konfiguration hinterlegt oder eingestellt
das der "gesamte" Netzwerkverkehr durch den Tunnel geleitet wird und wenn die Verbindung "steht"
oder zu Stande gekommen ist dann versucht natürlich Dein PC die Webseiten nur in dem Netzwerk zu öffnen
mit dem der VPN Tunnel besteht, aber die sind eben nur im Internet verfügbar und nicht dort!
- Bei Deinen PPTP Einstellungen wird das nicht der Fall sein und Du kannst ganz normal auch Webseiten
im Internet öffnen.
Gruß
Dobby
Ok,
ich glaube bei der Konfiguration brauche ich eure Hilfe.
Also, sowie wie mein Wissen zum Thema NAT reicht, habe ich das so verstanden: Der IPsec Client bekommt eine Adresse aus dem LAN des Routers zugewiesen, also z.b. 10.80.1.x mit 24 Bit Subnetzmaske, also 255.255.255.0, richtig? Damit scheint es so, also ob der IPsec Client direkt im lokalen Netz ist.
Wenn der Client nun also eine Anfrage an eine Adresse in einem externen Netz sendet, dann trägt der Router dies alles in seine NAT-Tabelle ein, damit er weiß, welcher Teilnehmer im lokalen Netz die Antwort bekommt. Wenn die Antwort dann eintrifft, wird in der NAT-Tabelle nachgeschaut, dass es die Adresse des IPsec-Clients war, die die Antwort bekommt. Nun versucht der Router die Antwort an diese Adresse im LAN weiterzureichen, dies gelingt allerdings nicht, da der IPsec Client ja eigentlich physikalisch garnicht an dieses Netz angeschlossen ist.
Das würde also bedeuten, dass der Router die Antwort an die WAN-Adresse des IPsec-Clients weiterreichen müsste oder? Damit würde also auch der gesamte Internetverkehr des Clients über den VPN-Router laufen und somit abhängig von dessen Bandbreite im WAN abhängig sein?
Nun habe ich beim bintec Router zwei Möglichkeiten für Portweiterleitungen: eingehende und ausgehende NAT-Verbindung. Ich würde so vorgehen, dass ich die drei oben im Screenshot gezeigten Portweiterleitungen für PPTP und IPsec erst einmal nur für das WAN-Interface am Router umstelle, sodass. Es handelt sich bei diese 3 Einträgen um die Art "eingehende NAT-Verbindung" für die entsprechenden Ports. Wenn ich diese Einträge entferne, bekomme ich garkeine VPN-Verbindung mehr (PPTP und IPsec).
Nun müsste ich doch ebenfalls noch 2 "ausgehende" Einträge für die IPsec Schnittstelle für Port 500 und 4500 für das UDP-Protokoll erstellen, aber so, dass die Antworten dann wieder zurück an die WAN-Adresse des IPsec Clients gehen?
Ich danke euch für eure Hilfe
ich glaube bei der Konfiguration brauche ich eure Hilfe.
Also, sowie wie mein Wissen zum Thema NAT reicht, habe ich das so verstanden: Der IPsec Client bekommt eine Adresse aus dem LAN des Routers zugewiesen, also z.b. 10.80.1.x mit 24 Bit Subnetzmaske, also 255.255.255.0, richtig? Damit scheint es so, also ob der IPsec Client direkt im lokalen Netz ist.
Wenn der Client nun also eine Anfrage an eine Adresse in einem externen Netz sendet, dann trägt der Router dies alles in seine NAT-Tabelle ein, damit er weiß, welcher Teilnehmer im lokalen Netz die Antwort bekommt. Wenn die Antwort dann eintrifft, wird in der NAT-Tabelle nachgeschaut, dass es die Adresse des IPsec-Clients war, die die Antwort bekommt. Nun versucht der Router die Antwort an diese Adresse im LAN weiterzureichen, dies gelingt allerdings nicht, da der IPsec Client ja eigentlich physikalisch garnicht an dieses Netz angeschlossen ist.
Das würde also bedeuten, dass der Router die Antwort an die WAN-Adresse des IPsec-Clients weiterreichen müsste oder? Damit würde also auch der gesamte Internetverkehr des Clients über den VPN-Router laufen und somit abhängig von dessen Bandbreite im WAN abhängig sein?
Nun habe ich beim bintec Router zwei Möglichkeiten für Portweiterleitungen: eingehende und ausgehende NAT-Verbindung. Ich würde so vorgehen, dass ich die drei oben im Screenshot gezeigten Portweiterleitungen für PPTP und IPsec erst einmal nur für das WAN-Interface am Router umstelle, sodass. Es handelt sich bei diese 3 Einträgen um die Art "eingehende NAT-Verbindung" für die entsprechenden Ports. Wenn ich diese Einträge entferne, bekomme ich garkeine VPN-Verbindung mehr (PPTP und IPsec).
Nun müsste ich doch ebenfalls noch 2 "ausgehende" Einträge für die IPsec Schnittstelle für Port 500 und 4500 für das UDP-Protokoll erstellen, aber so, dass die Antworten dann wieder zurück an die WAN-Adresse des IPsec Clients gehen?
Ich danke euch für eure Hilfe
UPDATE: Wie ich nun mit einem Kollegen herausgefunden habe, liegt es am DNS.
Wenn ich mich am Client per IPSec ins Firmennetz einwähle und danach die IP eines externen Server (z.B. die IP von cisco.com) anpinge, dann geht der Ping durch. Gebe ich den Namen ein, passiert nichts, d.h. die Namen werden nicht aufgelöst.
Ein Workaround hierfür ist, den DNS-Server des im Firmennetz vorhandenen VPN-Routers im Client für die IPSec-Verbindung einzutragen. Dann geht auch das Internet.
Allerdings ist dies keine Lösung auf Dauer, da wir auch iOS-Clients haben und man bei diesen keinen DNS einstellen kann.
Weiß vielleicht jemand Rat?
Wenn ich mich am Client per IPSec ins Firmennetz einwähle und danach die IP eines externen Server (z.B. die IP von cisco.com) anpinge, dann geht der Ping durch. Gebe ich den Namen ein, passiert nichts, d.h. die Namen werden nicht aufgelöst.
Ein Workaround hierfür ist, den DNS-Server des im Firmennetz vorhandenen VPN-Routers im Client für die IPSec-Verbindung einzutragen. Dann geht auch das Internet.
Allerdings ist dies keine Lösung auf Dauer, da wir auch iOS-Clients haben und man bei diesen keinen DNS einstellen kann.
Weiß vielleicht jemand Rat?
