Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Netzwerk Fritzbox 7390 VPN Verbindung - Portfreigabe NAT-T

Frage Netzwerke

Mitglied: scenix

scenix (Level 1) - Jetzt verbinden

09.02.2013, aktualisiert 22:24 Uhr, 6354 Aufrufe, 7 Kommentare

Ich bekomme es einfach nicht hin obwohl es so Simple sein sollte....

Ich habe ein Netzwerk von 3 Fritzboxen die ein VPN bilden mit verschiedenen Netzen 192.168.x.0/24.

Zum Problem:


Ich habe einen VPN-Client(Server) der sich mit Fritzfernzugang einwählt sowie über die Öffentliche IP eines Router surft.

Nun möchte ich eine Portfreigabe auf den ==> VPN-Client(Server) einrichten gesagt getan.

upd 9987 ==> 192.168.0.204 (IP des VPN Client im Netz)

Es ist aber so das alle Portweiterleitungen auf den VPN-Client nicht funktionieren. Scheint wohl ein Problem mit dem NAT sein.

Obwohl ich use_nat_t = no; ausgeschaltet habe ist irgendwo der Wurm drinne, kann mir jemand helfen der Tiefer in der Geschichte ist ?

Die VPN-Client Config
version {
revision = "$Revision: 1.30 $";
creatversion = "1.1";
}


pwcheck {
}


datapipecfg {
security = dpsec_quiet;
icmp {
ignore_echo_requests = no;
destunreach_rate {
burstfactor = 6;
timeout = 1;
}
timeexceeded_rate {
burstfactor = 6;
timeout = 1;
}
echoreply_rate {
burstfactor = 6;
timeout = 1;
}
}
masqtimeouts {
tcp = 15m;
tcp_fin = 2m;
tcp_rst = 3s;
udp = 5m;
icmp = 30s;
got_icmp_error = 15s;
any = 5m;
tcp_connect = 6m;
tcp_listen = 2m;
}
ipfwlow {
input {
}
output {
}
}
ipfwhigh {
input {
}
output {
}
}
NAT_T_keepalive_interval = 20;
}


targets {
policies {
name = "xxxx.dyndns.org";
connect_on_channelup = no;
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
virtualip = 192.168.0.204;
remoteip = 0.0.0.0;
remotehostname = "XXXX.dyndns.org";
localid {
user_fqdn = "XXX@XXXX.de";
}
mode = mode_aggressive;
phase1ss = "all/all/all";
keytype = keytype_pre_shared;
key = "k9bkXXXXXXXXXba80a#d302";
cert_do_server_auth = no;
use_nat_t = no;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipaddr = 192.168.0.204;
}
phase2remoteid {
ipnet {
ipaddr = 192.168.0.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.0.0 255.255.255.0",
"reject udp any any eq 53",
"reject udp any any eq 500",
"reject udp any any eq 4500",
"permit ip any any";
wakeupremote = no;
}
}


policybindings {
}

Vielen dank an die die versuchen zu Helfen!
Mitglied: aqui
09.02.2013, aktualisiert um 23:00 Uhr
Nur nochmal zum Verständnis um dieses völlig verdrehte Netz zu verstehen:
  • Du hast 3 Fritzboxen die per Site to Site VPN gekoppelt sind
  • Ein Server der an einem externen Standort also NICHT an einem dieser 3 Standorte steht wählt sich auf einen der 3 Router (derjenige der lokal das .0.0er Netz hat) als Client ein.
  • Dieser Server hat als default Gateway die Tunnel IP sprich routet dann seinen gesamten Traffic internet usw. in den Tunnel auf den 0.0er Router über den er dann ins Internet geht
  • Auf dieser .0.0er Fritzbox soll dann ein Port Forwarding von UDP 9987 auf die VPN Client IP des dort per VPN eingewählten VPN Client, sprich des Servers gemacht werden ?
Ist das so richtig ?
1te Frage bevor wir ins Eingemachte gehen: Das Port Forwarding bewirkt das dort eingehende UDP 9987 Verbindungen mit einer externen Absender IP Adresse am Server ankommen !!
  • Die lokale Firewall des Servers hast du entsprechend customized das die externe IP Adressen zulässt ? Per Default blockt die das sonst !
  • Hast du mit einem Wireshark_Sniffer oder MS_Netmonitor auf dem Server erstmal gecheckt ob dort überhaupt geforwardete UDP 9987 Pakete vom Router ankommen ??
Das wären die notwendigen ersten Schritte im Troubleshooting, damit man erstmal weiss WO man ansetzen muss !
Nebenbei bemerkt ist das schon ein sehr krankes Konstrukt...
Bitte warten ..
Mitglied: scenix
10.02.2013, aktualisiert um 03:13 Uhr
Hallo aqui,

du hast es voll im Blick ich habe eben mal kurz Wireshark ausprobiert und habe folgende Erkenntnis:

Die Paket werden von Router (192.168.0.1) angenommen jedoch nicht weitergeleitet.

Internes LAN kann Client pingen sowie anderes rum also das Funktioniert. (Im Modus NAT-T)

(Wenn ich den Modus NAT-T ausmache habe ich nicht mehr die möglichkeit den Traffice über den VPN zu routen).

Ich glaube es liegt einfach an AVM das die Boxen sich so nicht Konfigurieren lassen. Mit einer ASA oder Fortigate würde mir das nicht passieren :D



_______________________________________
Falls die VPN-Software das IPSec-Protokoll ohne NAT-Traversal oder das PPTP-Protokoll verwendet, ergeben sich folgende Einschränkungen:

Gleichzeitige Verbindungen von mehreren VPN-Clients im FRITZ!Box-Heimnetz zum selben VPN-Server sind nicht möglich.
Der IPSec-Betriebsmodus "Authentification Header" (AH) kann nicht genutzt werden.
Da die VPN-Software die Trennung der Internetverbindung nicht registriert, wird nach dem erneuten Aufbau der Internetverbindung nicht automatisch eine neue VPN-Verbindung mit dem VPN-Server im Internet ausgehandelt. Dies ist aber notwendig, da die FRITZ!Box üblicherweise bei Aufbau einer neuen Internetverbindung vom Internetanbieter eine neue IP-Adresse erhält.
Die FRITZ!Box sollte daher so eingerichtet sein, dass die Internetverbindung dauerhaft gehalten wird.


_______________________________________________


Sprich weg ich kann die Fritzbox Kiste vergessen ==> da aus diesem Artikel hervor geht ohne NAT-Traversal nur MAX eine Verbindung möglich ....

Gruß SceniX
Bitte warten ..
Mitglied: aqui
10.02.2013 um 10:13 Uhr
Bitte lies dir erstmal die Grundlagen von IPsec ESP und NAT Traversal an:
http://www.administrator.de/contentid/73117
Dann verstehst du vielleicht endlich warum NAT Traversal NICHTS mit deinem Problem zu tun hat !
Das bestimmt lediglich WIE der VPN Tunnel über NAT aufgebaut wird, hat aber nichts mit dem Traffic innerhalb des Tunnels zu tun !!! Also den Traffic über den wir hier reden !
Bitte warten ..
Mitglied: scenix
11.02.2013 um 00:56 Uhr
Danke für die Aufklärung.

Es hängt mit den ACL zusammen da der Traffic von WAN nicht zum VPN-Client kommt. Jetzt ist die frage wie bringe ich der BOX es bei das der Traffic dort hin darf !


Gruß SceniX
Bitte warten ..
Mitglied: aqui
11.02.2013 um 12:30 Uhr
Die drunterliegende Frage ist ob die Box das überhaupt kann. Das ist ein billiges Consumer Produkt für Couch Surfer aber nicht für Netzwerk Profis...erwarte also da nicht allzuviel !!
Bitte warten ..
Mitglied: scenix
11.02.2013 um 15:46 Uhr
Hab das nun an den AVM Support gesendet mal schauen was die dazu sagen :D
Bitte warten ..
Mitglied: aqui
11.02.2013 um 16:21 Uhr
Die Antwort von denen wäre in der Tat mal interessant hier zu posten... !
Vermutlich müssen die sich aber erstmal von den Bauchschmerzen erholen den sie beim Anblick deines etwas "kranken" Designs bekommen haben...
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Netzwerke
gelöst VPN Verbindung WIndows Rechner via FritzBox Fernzugang - Kein Internet

Frage von garack zum Thema Netzwerke ...

Netzwerkprotokolle
gelöst VPN-Verbindung von Fritzbox 7490 auf Synology NAS am anderen Anschluss (5)

Frage von ExkoSven zum Thema Netzwerkprotokolle ...

LAN, WAN, Wireless
gelöst Site-to-Site VPN mit LTE Router Teltonika RTU950 und Fritzbox 7390 (10)

Frage von flavourflo zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (32)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...