Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Problem beim VPN Aufbau End-To-Site

Frage Netzwerke Router & Routing

Mitglied: casper99

casper99 (Level 1) - Jetzt verbinden

12.11.2006, aktualisiert 14.11.2006, 12328 Aufrufe, 4 Kommentare

VPN Aufbau zwischen Draytek Smart VPN Client hinter AVM FRITZ BOX 3030 zu einem externen Teledat 803 Router funktioniert nicht mit Fritz Box

Hallo, ich habe folgendes Scenario

PC (Draytek VPN Client) --> FritzBox 3030 --> Internet --> Teledat 803 VPN Router

Die Einwahl per L2TP und Ipsec funktioniert nur wenn ich die FritzBox umgehe und direkt über ein Modem die Verbindung aufbaue.
Habe NAT in Verdacht. Hat jemand ne Idee wie das auch mit der Fritz Box geht?
Habe laut den Seiten von AVM auch den AH serverseitig schon abgeschaltet.
Mitglied: aqui
13.11.2006 um 12:58 Uhr
Ja das vermutest du richtig mit NAT ! L2TP benutzt IPsec. IPsec AH Mode lässt sich überhaupt nicht über NAT übertragen, da es dann in den encapsulated Packets zu einem Checksummen Problem kommt. IPsec vermutet dann eine Manipulation und stoppt den Verbindungsaufbau. Du kannst nur IPsec im ESP Mode übertragen.
Dafür muss die Fritzbox im IP Forwarding Setup IKE/ISAKMP Port UDP 500 und ESP (Protokoll 50 ,Achtung NICHT Port TCP 50) auf die IP Adresse deines Clients eingetragen haben !
Kann die FB das nicht, kannst du den Port an dem dein Client ist als sog. "DMZ" Port definieren, dann forwardet die FB alles was nicht anderweitig in der Port Forwarding Tabelle angegeben ist auf diesen Port.
Bitte warten ..
Mitglied: hevtig
13.11.2006 um 23:31 Uhr
Dafür muss die Fritzbox im IP
Forwarding Setup IKE/ISAKMP Port UDP 500 und
ESP (Protokoll 50 ,Achtung NICHT Port TCP 50)
auf die IP Adresse deines Clients eingetragen
haben !
Kann die FB das nicht, kannst du den Port an
dem dein Client ist als sog. "DMZ"
Port definieren, dann forwardet die FB alles
was nicht anderweitig in der Port Forwarding
Tabelle angegeben ist auf diesen Port.

Das ist nach meinen Erfahrungen so nicht ganz richtig.
Selbst wenn der Draytek Client in der DMZ stehen würde, was natürlich möglichst zu verhindern gilt, so muß dennoch ESP weitergeleitet werden.
Die Fritzbox sollte das allerdings auch so können.
Also ESP und Port 50 UDP an den Client weitergeleitet und es sollte gehen.
Sollte NAT-T unterstützt werden muß Port 4500 UDP weitergeleitet werden.

AVM sagt dazu folgendes:
Zitat
ID Related Document Nr. 5511 1
VPN-Verbindungen über die Internetverbindung der FRITZ !Box herstellen
Ist Ihre FRITZ!Box als DSL-Router eingerichtet, kann sich über die Internetverbindung der
FRITZ!Box ein VPN-Klient in Ihrem Netzwerk mit einem VPN-Server im Internet verbinden.
Die Firewall der FRITZ!Box unterstützt dafür "VPN-Passthrough" für die VPN-Protokolle
IPSec und PPTP.
Um eine VPN-Verbindung zwischen dem Klienten und dem VPN-Server aufzubauen, führen
Sie bitte die hier beschriebenen Maßnahmen nacheinander durch.
1 Vorbereitungen
1. Erkundigen Sie sich beim Hersteller oder Administrator des VPN-Servers, ob beim
Aufbau der VPN-Verbindung das Protokoll PPTP oder das Protokoll IPSec
verwendet wird.
Wenn das Protokoll IPSec verwendet wird, fragen Sie außerdem nach, ob die
VPN-Lösung IPSec NAT-Traversal unterstützt, und ob der VPN-Server
ausschließlich IKE-Pakete (Internet Key Exchange Protocol) vom Quell-Port UDP
500 entgegennimmt oder auch von anderen Quell-Ports.
Das Standardprotokoll des VPN-Servers von Windows XP und
Windows 2003 ist PPTP.
2. Wird das Protokoll IPSec verwendet und unterstützt die VPN-Lösung IPSec
NAT-Traversal, können Sie ohne weitere Maßnahmen eine VPN-Verbindung
zwischen dem Klienten und dem VPN-Server aufbauen.
Wird das Protokoll IPSec verwendet und unterstützt die VPN-Lösung nicht IPSec
NAT-Traversal, fahren Sie mit Abschnitt 2 fort und beachten Sie die Hinweise in
Abschnitt 3.
Wird das Protokoll PPTP verwendet, können Sie ohne weitere Maßnahmen eine
VPN-Verbindung aufbauen. Beachten Sie jedoch die Hinweise in Abschnitt 3.
2 FRITZ!Box einrichten
Richten Sie die FRITZ!Box wie hier beschrieben ein, wenn die VPN-Verbindung über
das Protokoll IPSec aufgebaut wird, die VPN-Lösung nicht IPSec NAT-Traversal
unterstützt und der VPN-Server ausschließlich IKE-Pakete vom Quell-Port UDP 500
entgegennimmt.
ID Related Document Nr. 5511
1. Rufen Sie an einem Computer, der mit der FRITZ!Box verbunden ist, die
Benutzeroberfläche der FRITZ!Box auf. Geben Sie dazu im Internetbrowser (z.B.
Internet Explorer) die Adresse http:
fritz.box ein.
2. Klicken Sie auf "Einstellungen", und wählen Sie im Menü "Internet" den Punkt
"Portfreigabe" aus.
3. Klicken Sie auf "Neue Portfreigabe"
4. Wählen Sie im Dropdown-Menü hinter "Portfreigabe aktiv für:" "Andere
Anwendungen" aus
5. Tragen Sie unter "Bezeichnung" einen Namen für die neue Portfreigabe ein (z.B.
VPN).
6. Wählen Sie unter "Protokoll" im Dropdown-Menü das Protokoll UDP aus.
7. Tragen Sie unter "von Port" und "an Port" jeweils 500 ein.
8. Tragen Sie unter "an IP-Adresse" die IP-Adresse des Computers ein, von dem
VPN-Verbindungen ins Internet hergestellt werden sollen.
9. Klicken Sie auf "Übernehmen".
3 Einschränkungen beim Aufbau von VPN -Verbindungen
Diese Einschränkungen gelten nicht, wenn die VPN-Verbindung über das
Protokoll IPSec aufgebaut wird und die VPN-Lösung IPSec NAT-Traversal
unterstützt.
An einem VPN-Klienten können Sie nicht mehrere Verbindung gleichzeitig zu ein
und demselben VPN-Server im Internet aufbauen.
Den IPSec-Betriebsmodus "Authentification Header" (AH) können Sie nicht
nutzen.
Den automatischen Auf- und Abbau von Internetverbindungen
("Short-Hold-Mode") durch die FRITZ!Box können Sie nur eingeschränkt nutzen.
Da der VPN-Klient den Abbau einer Internetverbindung nicht mitbekommt,
handelt er nach dem erneuten Aufbau einer Internetverbindung nicht automatisch
eine neue VPN-Verbindung mit dem VPN-Server im Internet aus. Dies ist aber in
der Regel notwendig, da die FRITZ!Box üblicherweise bei Aufbau einer neuen
Internetverbindung vom Internetanbieter auch eine neue IP-Adresse erhält.
//Zitat Ende
Bitte warten ..
Mitglied: casper99
14.11.2006 um 00:08 Uhr
Danke für die bisherigen Antworten.
Das hat leider alles nichts geholfen.
Weder die Portfreigaben noch das einstellen des Rechners in die DMZ.
Es funktioniert nur auf 1 Weise:
Das Modem der Fritz Box ausschalten bzw. keine Einwahl der Fritz Box ins Internet.
Ein externes DSL Modem an die LAN Buchse, und dann vom Notebook per PPPoE eine Internetverbindung aufbauen. Dann hat mein Notebook auch die öffentliche IP Adresse.
Somit kann ich mich verbinden und IpSec funktioniert auch.
Liegt das eventuell am Client, der unbedingt die öffentliche IP Adresse haben will???
Diese Lösung ist natürlich nicht optimal da die anderen PCs im LAN kein Internet mehr haben.
Es sollte nur zur Lösung beitragen. Ich weiss nicht weiter.
Bitte warten ..
Mitglied: hevtig
14.11.2006 um 00:41 Uhr
Schon sehr seltsam.
Ich selber habe es mit einer LANCOM Lösung hinbekommen.
Du solltest auf alle Fälle den "Aggressive Mode" einsetzen hinter einem NAT.
Desweiteren wäre es natürlich interessant, was das logging des Teledat 803 VPN Router anzeigt.
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Windows Netzwerk
Direct Access mit VPN aufbau (6)

Frage von geocast zum Thema Windows Netzwerk ...

Firewall
gelöst VPN Site to Site von IPFire zu Sophos UTM (19)

Frage von touro411 zum Thema Firewall ...

Router & Routing
Site to Site VPN zwischen Sonicwall und Fritzbox (5)

Frage von Kiste zum Thema Router & Routing ...

Microsoft
AD Problem und VPN (4)

Frage von Yannosch zum Thema Microsoft ...

Heiß diskutierte Inhalte
DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (10)

Frage von JayyyH zum Thema Switche und Hubs ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...

Backup
Clients als Server missbrauchen? (9)

Frage von 1410640014 zum Thema Backup ...