Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Netzwerk Fritzbox 7390 VPN Verbindung - Portfreigabe NAT-T

Frage Netzwerke

Mitglied: scenix

scenix (Level 1) - Jetzt verbinden

09.02.2013, aktualisiert 22:24 Uhr, 6983 Aufrufe, 7 Kommentare

Ich bekomme es einfach nicht hin obwohl es so Simple sein sollte....

Ich habe ein Netzwerk von 3 Fritzboxen die ein VPN bilden mit verschiedenen Netzen 192.168.x.0/24.

Zum Problem:


Ich habe einen VPN-Client(Server) der sich mit Fritzfernzugang einwählt sowie über die Öffentliche IP eines Router surft.

Nun möchte ich eine Portfreigabe auf den ==> VPN-Client(Server) einrichten gesagt getan.

upd 9987 ==> 192.168.0.204 (IP des VPN Client im Netz)

Es ist aber so das alle Portweiterleitungen auf den VPN-Client nicht funktionieren. Scheint wohl ein Problem mit dem NAT sein.

Obwohl ich use_nat_t = no; ausgeschaltet habe ist irgendwo der Wurm drinne, kann mir jemand helfen der Tiefer in der Geschichte ist ?

Die VPN-Client Config
version {
revision = "$Revision: 1.30 $";
creatversion = "1.1";
}


pwcheck {
}


datapipecfg {
security = dpsec_quiet;
icmp {
ignore_echo_requests = no;
destunreach_rate {
burstfactor = 6;
timeout = 1;
}
timeexceeded_rate {
burstfactor = 6;
timeout = 1;
}
echoreply_rate {
burstfactor = 6;
timeout = 1;
}
}
masqtimeouts {
tcp = 15m;
tcp_fin = 2m;
tcp_rst = 3s;
udp = 5m;
icmp = 30s;
got_icmp_error = 15s;
any = 5m;
tcp_connect = 6m;
tcp_listen = 2m;
}
ipfwlow {
input {
}
output {
}
}
ipfwhigh {
input {
}
output {
}
}
NAT_T_keepalive_interval = 20;
}


targets {
policies {
name = "xxxx.dyndns.org";
connect_on_channelup = no;
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
virtualip = 192.168.0.204;
remoteip = 0.0.0.0;
remotehostname = "XXXX.dyndns.org";
localid {
user_fqdn = "XXX@XXXX.de";
}
mode = mode_aggressive;
phase1ss = "all/all/all";
keytype = keytype_pre_shared;
key = "k9bkXXXXXXXXXba80a#d302";
cert_do_server_auth = no;
use_nat_t = no;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipaddr = 192.168.0.204;
}
phase2remoteid {
ipnet {
ipaddr = 192.168.0.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.0.0 255.255.255.0",
"reject udp any any eq 53",
"reject udp any any eq 500",
"reject udp any any eq 4500",
"permit ip any any";
wakeupremote = no;
}
}


policybindings {
}

Vielen dank an die die versuchen zu Helfen!
Mitglied: aqui
09.02.2013, aktualisiert um 23:00 Uhr
Nur nochmal zum Verständnis um dieses völlig verdrehte Netz zu verstehen:
  • Du hast 3 Fritzboxen die per Site to Site VPN gekoppelt sind
  • Ein Server der an einem externen Standort also NICHT an einem dieser 3 Standorte steht wählt sich auf einen der 3 Router (derjenige der lokal das .0.0er Netz hat) als Client ein.
  • Dieser Server hat als default Gateway die Tunnel IP sprich routet dann seinen gesamten Traffic internet usw. in den Tunnel auf den 0.0er Router über den er dann ins Internet geht
  • Auf dieser .0.0er Fritzbox soll dann ein Port Forwarding von UDP 9987 auf die VPN Client IP des dort per VPN eingewählten VPN Client, sprich des Servers gemacht werden ?
Ist das so richtig ?
1te Frage bevor wir ins Eingemachte gehen: Das Port Forwarding bewirkt das dort eingehende UDP 9987 Verbindungen mit einer externen Absender IP Adresse am Server ankommen !!
  • Die lokale Firewall des Servers hast du entsprechend customized das die externe IP Adressen zulässt ? Per Default blockt die das sonst !
  • Hast du mit einem Wireshark_Sniffer oder MS_Netmonitor auf dem Server erstmal gecheckt ob dort überhaupt geforwardete UDP 9987 Pakete vom Router ankommen ??
Das wären die notwendigen ersten Schritte im Troubleshooting, damit man erstmal weiss WO man ansetzen muss !
Nebenbei bemerkt ist das schon ein sehr krankes Konstrukt...
Bitte warten ..
Mitglied: scenix
10.02.2013, aktualisiert um 03:13 Uhr
Hallo aqui,

du hast es voll im Blick ich habe eben mal kurz Wireshark ausprobiert und habe folgende Erkenntnis:

Die Paket werden von Router (192.168.0.1) angenommen jedoch nicht weitergeleitet.

Internes LAN kann Client pingen sowie anderes rum also das Funktioniert. (Im Modus NAT-T)

(Wenn ich den Modus NAT-T ausmache habe ich nicht mehr die möglichkeit den Traffice über den VPN zu routen).

Ich glaube es liegt einfach an AVM das die Boxen sich so nicht Konfigurieren lassen. Mit einer ASA oder Fortigate würde mir das nicht passieren :D



_______________________________________
Falls die VPN-Software das IPSec-Protokoll ohne NAT-Traversal oder das PPTP-Protokoll verwendet, ergeben sich folgende Einschränkungen:

Gleichzeitige Verbindungen von mehreren VPN-Clients im FRITZ!Box-Heimnetz zum selben VPN-Server sind nicht möglich.
Der IPSec-Betriebsmodus "Authentification Header" (AH) kann nicht genutzt werden.
Da die VPN-Software die Trennung der Internetverbindung nicht registriert, wird nach dem erneuten Aufbau der Internetverbindung nicht automatisch eine neue VPN-Verbindung mit dem VPN-Server im Internet ausgehandelt. Dies ist aber notwendig, da die FRITZ!Box üblicherweise bei Aufbau einer neuen Internetverbindung vom Internetanbieter eine neue IP-Adresse erhält.
Die FRITZ!Box sollte daher so eingerichtet sein, dass die Internetverbindung dauerhaft gehalten wird.


_______________________________________________


Sprich weg ich kann die Fritzbox Kiste vergessen ==> da aus diesem Artikel hervor geht ohne NAT-Traversal nur MAX eine Verbindung möglich ....

Gruß SceniX
Bitte warten ..
Mitglied: aqui
10.02.2013 um 10:13 Uhr
Bitte lies dir erstmal die Grundlagen von IPsec ESP und NAT Traversal an:
http://www.administrator.de/contentid/73117
Dann verstehst du vielleicht endlich warum NAT Traversal NICHTS mit deinem Problem zu tun hat !
Das bestimmt lediglich WIE der VPN Tunnel über NAT aufgebaut wird, hat aber nichts mit dem Traffic innerhalb des Tunnels zu tun !!! Also den Traffic über den wir hier reden !
Bitte warten ..
Mitglied: scenix
11.02.2013 um 00:56 Uhr
Danke für die Aufklärung.

Es hängt mit den ACL zusammen da der Traffic von WAN nicht zum VPN-Client kommt. Jetzt ist die frage wie bringe ich der BOX es bei das der Traffic dort hin darf !


Gruß SceniX
Bitte warten ..
Mitglied: aqui
11.02.2013 um 12:30 Uhr
Die drunterliegende Frage ist ob die Box das überhaupt kann. Das ist ein billiges Consumer Produkt für Couch Surfer aber nicht für Netzwerk Profis...erwarte also da nicht allzuviel !!
Bitte warten ..
Mitglied: scenix
11.02.2013 um 15:46 Uhr
Hab das nun an den AVM Support gesendet mal schauen was die dazu sagen :D
Bitte warten ..
Mitglied: aqui
11.02.2013 um 16:21 Uhr
Die Antwort von denen wäre in der Tat mal interessant hier zu posten... !
Vermutlich müssen die sich aber erstmal von den Bauchschmerzen erholen den sie beim Anblick deines etwas "kranken" Designs bekommen haben...
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
VPN an ASUS Netzwerk hinter FritzBox 7390
Frage von SchlittiLAN, WAN, Wireless2 Kommentare

Hiho, ich habe da ein paar Probelem und hoffe das mir jemand helfen kann. Kurz zu meiner Konstellation. DSL ...

Router & Routing
VPN: Verbindung von FritzBox (7390) über SSL zum Firmennetzwerk (Watchguard)
gelöst Frage von rrobbyyRouter & Routing4 Kommentare

Hallo zusammen, derzeit loggen sich einige Anwender manuell über die Watchguard-VPN-Software mit SSL in unser Netzwerk ein. Dies funktioniert ...

Windows Netzwerk
Portforwarding und NAT bei einer VPN Verbindung
Frage von TimDe91Windows Netzwerk2 Kommentare

Hallo zusammen, ich habe seit kurzem einen neuen Internetanschluss von einem anderen Provider (BORNET Glasfaser). Leider wird als zugrunde ...

Linux Netzwerk
Fritzbox: VPN-Problem nach Zwangstrennung mit NAT
gelöst Frage von Mitch123Linux Netzwerk9 Kommentare

Ich benutze 2 Fritzboxen an verschiedenen Standorten, um einen VPN-Tunnel herzustellen und die Remotenetze mittels LAN-LAN-Kopplung miteinander zu verbinden. ...

Neue Wissensbeiträge
Apple

IOS 11.2.1 stopft HomeKit-Remote-Lücke

Tipp von BassFishFox vor 21 StundenApple

Das Update für iPhone, iPad und Apple TV soll die Fernsteuerung von Smart-Home-Geräten wieder in vollem Umfang ermöglichen. Apple ...

Windows 10

Windows 10 v1709 EN murkst bei den Regionseinstellungen

Tipp von DerWoWusste vor 1 TagWindows 10

Dieser kurze Tipp richtet sich an den kleinen Personenkreis, der Win10 v1709 EN-US frisch installiert und dabei die englische ...

Webbrowser

Kein Ton bei Firefox Quantum über RDP

Tipp von Moddry vor 1 TagWebbrowser

Hallo Kollegen! Hatte das Problem, dass der neue Firefox bei mir auf der Kiste keinen Ton hat, wenn ich ...

Internet

EU-DSGVO: WHOIS soll weniger Informationen liefern

Information von sabines vor 1 TagInternet4 Kommentare

Wegen der europäische Datenschutzgrundverordnung stehen die Prozesse um die Registrierung von Domains auf dem Prüfstand. Sollte die Forderungen umgesetzt ...

Heiß diskutierte Inhalte
Hardware
Kein Bild mit nur einer bestimmten Grafikkarten - Mainboard Konfiguration
Frage von bestelittHardware18 Kommentare

Hallo zusammen, ich hatte schon einmal eine ähnliche Frage gestellt. Damals hatte ich genau das gleiche Problem. Allerdings lies ...

Windows Server
RODC kann nicht aus Domäne entfernt werden
Frage von NilsvLehnWindows Server18 Kommentare

HAllo, ich arbeite in einem Universitätsnetzwerk mit 3 Standorten. Die Standorte haben alle ein ESXi Cluster und auf diesen ...

Hardware
Links klick bei Maus funktioniert nicht
gelöst Frage von Pablu23Hardware16 Kommentare

Hallo erstmal. Ich habe ein Problem mit meiner relativ alten maus jedoch denke ich nicht das es an der ...

Netzwerkmanagement
Mehrere Netzwerkadapter in einem PC zu einem Switch zusammenfügen
Frage von prodriveNetzwerkmanagement16 Kommentare

Hallo zusammen Vorweg, ich konnte schon einige IT-Probleme mit Hilfe dieses Forums lösen. Wirklich klasse hier! Doch für das ...